Udeluk log paa fil server fra laptop

Hvis du har konfigureret filrettigheder rigtigt på serveren, så kan de ikke få adgang til dine filer.
Medmindre de hugger et brugernavn og password.

En mulighed du har for at yderligere sikre dit netværk, er at bruge IPSEC mellem klienterne og serveren.
Men igen skal det konfigureres rigtigt, for at have en ønskede effekt.

MEN ! med IPSEC på netværket, kan de ikke hacke noget som LANMAN eller ligende som kunne "sniffe" adgangskoder fra brugerne.

En noget midre procedure er at sørge for at kun kerberos benyttes til login.

Der er mange muligheder, alt efter hvad du ønsker.  :o)

Alle brugere har et brugernavn og pw som de bruger til at logge ind paa domainet fra deres stationaere arbejds maskine. Hvis de bruger dette fra deres laptop, saa hopper de ogsaa ind paa serveren, selvom deres laptop ikke er paa domainet. Det er denne situation jeg oensker lukket.

Uden at vide noget om det, saa lyder brug af IPSEC at skyde over maalet. Findes der ikke en hurtigere/nemmere loesning? F.eks. adgang til fil serveren sker kun fra en maskine som er logget ind paa domainet + fra en bruger som findes paa domainet?

Jo det er helt klart måden.
Jeg troede faktisk bare at i allerede brugte dette.

Du vil gerne have at brugere ikke kan benytte deres egen private maskine til at oprette forbindelse til filserveren, og dermed kunne få adgang til data ?
Er det forstået korrekt ?

Ja, det er korrekt.

Har lige laest om det, og jeg formoder at det der skal implementeres er IPsec's "server isolation". Vi har imidlertid een ekstra ting som skal overholdes. Fra tid til anden, faar vi besoeg af kunder. De skal nogen gange have adgang til fil serveren. Kan de dette uden at joine domainet og med "server isolation" implementeret?

Er det et 2003 eller 2008 domæne i har?

Det er et 2008 domaine vi har...

Som jeg ser dit problem, kan du løse det på 2 måder.
Den ene er ipsec domain isolation, som du selv nævner.
Fordelen herved er at det stort set er umulig at snyde...
Ulempen er at det kan være vanskeligt at konfigurer, og at du kan få problemer med computere der ikke er medlem af domænet, skal have adgang til din filserver.

En alternativ måde at benytte ipsec er med preshared key.
Her får du muligheden for at tillade eksterne computere adgang til dit ipsec netværk, men det skal konfigureres på deres maskiner når de er på besøg.
(det kan du måske scripte dig ud af)

Den anden måde tilbyder som sådan ikke nogen sikkerhed, men kræver kendskab til netværket for at snyde.
Hvis du bruger 2008 som din DHCP kan du konfigurer den til kun at tilbyde ip adresser til kendte MAC adresser.
Dvs kommer der en computer med en MAC som ikke er godkendt af DHCP, vil den ikke få en IP.
Fordele er at du kan tillade eksterne computere adgang ved at kende deres mac.
Ulempen er at det egentlig ikke er nogen "rigtig" form for sikkerhed, og kender man nok til netværk vil det også kunne brydes.

Loesningen med DHCP bruger vi pt. men der er folk der gaar ind og saetter deres ip manuelt, og kommer derfor paa samme net. Ved brug af deres brugernavn + kodeord kan de nu hoppe de ind paa filserveren.

IPsec: Jeg laeser at pga. omstruktureringen af IP pakkerne, saa kan man ikke bruge dette IPsec med NAT. Alle computere har adgang til internettet via en gateway (FrontEnd TMG). Faar jeg problemer her i og med det forkommer NATting?

Jeg har undersøgt det ved mine kollegaer, men vi må indrømme at vi ved det faktisk ikke.
Der er ingen af os der P.T har sat ipsec op med en TMG løsning.
Jeg vil mene at der skal konfigureres ipsec på et af de interface som er på TMG, og så burde det fungerer.
MEN som sagt har ingen af os prøvet det i praksis.

henrik... du har vaeret til stor hjaelp. Svar => point.

Jeg har faaet installeret IPsec via advanced security paa vores windows 7 maskiner igennem gpo. Har lidt problemer med XP maskinerne, men mon ikke jeg snart faar det paa plads. Ellers opretter jeg endnu et spg :-) Tak igen.

Velbekom.
Håber du får det til at virke.