PEAP /非CIFSのみにActiveDirectoryアカウントを制限する方法
PEAP WiFiネットワークに統合したいVoIP電話がいくつかありますが、標準のADアカウントを作成してそれを使用することだけが心配です。誰かがそのような長期のアカウント資格情報を入手した場合、それらを使用してホストにログインし、ネットワークリソースにアクセスすることができます
ローカルアクセスをロックダウンするためのポリシー/設定オプションがいくつかありますが、それらはネットワークアクセスには適用されません。たとえば、「ログオン先」オプションを使用すると、アカウントがアクセスできるマシンを制限できますが、NPS /ドメインコントローラーと通信しているWiFiアクセスポイントは、ホスト「」を使用しているように見えます。つまり、その変数は設定されません。そのソリューション全体は、ドメインメンバーのWindowsコンピューターに対してのみ機能するように見えます-したがって、ユーザーがたとえばUnix/Macシステム(またはもちろんPEAP)から来た場合は役に立ちません
これは、Windows以外の認証(LDAPなど)にActiveDirectoryを使用する方法に関するより一般的な質問に拡張できます。私は本当の答えを見たことがないので、それが不可能かもしれないのではないかと恐れています-しかし、あなたは正しく尋ねなければなりませんか? :-)
私がこれに対処した方法(これが「業界標準」または「ベストプラクティス」であるとは言いません)は、(サービスアカウントのように)使用できる単一のアカウントを作成し、それをこのためだけに作成されたグループに入れることでした。 (そしてポリシーマッチングのためにNPSで使用されます)、そのグループをプライマリにし、ドメインユーザーから削除します。そうすれば、誰かがパスワードを取得できたとしても、「認証されたユーザー」を使用しているものにしかアクセスできず、私たちはまったく使用しません。
アカウントが侵害されていることが判明した場合は、新しいパスワードで新しいアカウントを作成し、電話のスタートアップ設定ファイルを変更し、すべての電話が新しい設定を取得したら、古いアカウントを強制終了します。
Active Directory以外のユーザーデータベースを使用する場合は可能ですが、NPS以外のサーバーを追加する必要がありますRADIUSサーバー。Ubuntuサーバーを取得するために長い間試しました。 FreeRadiusを使用してそれを実行しましたが、適切に統合する方法を学ぶのに時間がかかりすぎたため、NPSに戻りました。NPSには、指定された基準に対して、要求を外部に渡す必要があることを指定する方法があります= RADIUSサーバーなので、間違いなく可能です。