2014年10月29日 星期三

如何防止使用者從網芳看到同一個網域內的電腦

如何防止使用者從網芳看到同一個網域內的電腦

轉載至 https://social.technet.microsoft.com/Forums/zh-TW/4dd56b21-b343-4570-a1fd-d3f95c0f3b1a

A.若要從網路資源清單中移除使用者之工作群組或網域中的電腦,請使用「網路位置中不含在我附近的電腦」設定

經過一個晚上之後,在電腦裡面已經看不到網域中的其他電腦了,所以看起來「網路位置中不含在我附近的電腦」設定是有作用的,但是使用者還是可以透過\\IP的方式存取其他電腦的資源。

B.如果要讓User完全沒辦法存取SMB中的資源,可以直接把Client的網路卡中的這兩項給取消掉(如下圖)

或者直接把Server這個服務給Disable,禁止Share的行為

也可以直接把HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NetBT \ Parameters 裡面的TransportBindName 值給清除
SMBPort就不會開啟

C.可以嘗試做以下的設定:
1. 開啟群組原則管理,點選編輯Default Domain Controllers Policy
2. 電腦設定 –> Windows 設定 -> 安全性設定顯示 -> 系統服務 
找到Computer Browser後,編輯這個策略並將開啟設定為停用
3. 使用gprpdate/force 讓策略生效

實測過了,關掉Computer Browser服務還是可以在檔案總管的網路裡面看到網域裡面的電腦,所以看起來是沒有作用的

有找到GPO裡面的「網路位置中不含在我附近的電腦」設定,並啟用此設定,但是在網路中還是可以看到網域中的其他電腦

經過一個晚上之後,在電腦裡面已經看不到網域中的其他電腦了,所以看起來「網路位置中不含在我附近的電腦」設定是有作用的,但是使用者還是可以透過\\IP的方式存取其他電腦的資源


實際的需求就是希望使用者都是透過檔案主機來分享檔案,不要透過網芳的方式互丟檔案,如果把SMB的協定關掉的話,是不是也會無法透過網路存取檔案主機了呢

可以選擇透過GPOClientServer服務都停止
這樣是讓Client無法使用Share檔案,但是它還是可以抓取外部的Share檔案


因為要達成Client要可以連線到指定的File Server,不讓它存取其他Client所分享出來的資料
建議是,透過GPO把全部的Client的機器,裡面的【Server】服務都停用掉,就不會有Client分享資料的問題
但是您的File Server還是可以分享,不知道這樣說明您了解嗎??
您可以在停止Server服務的PC,在上面建立Share看看,應該其他台是沒辦法取得它Share的資料







沒有留言:

張貼留言