Server/Domain Isolation, gevolg users ander domein in forest

Titel

Mijn excuses voor de beetje vage titel, maar plaats was beetje te kort voor de gewenste titel:
Is het mogelijk bij Server and Domain isolation om meerdere domeinen (in hetzelfde forest) te isoleren van devices die niet tot een van de domeinen in de forest behoren ?

Situatie

Ik ben een oplossing aan het onderzoeken waarbij controlled en uncontrolled devices van elkaar gescheiden moeten worden. Naast 802.1X en nog wat andere alternatieven kwam ik uit bij Server and domain isolation.

Ik ben daarom Domain and Server isolation van microsoft aan het onderzoeken als oplossing en heb al vele documenten doorgelezen, waaronder de documenten hier:
http://www.microsoft.com/technet/network/sdiso/default.mspx

Ik heb het idee dat er een scheiding wordt gemaakt tussen devices die tot het domein behoren en devices die niet tot het domein behoren en dat er geen communicatie mogelijk is tussen "isolated" devices en "niet isolated devices"

Probleem en omgeving

Het probleem is echter dat de omgeving waarvoor het bedoelt is, bestaat uit een enkele forest met een dedicated forest root domein en regionale domeinen.

Er komen regelmatig users van andere domeinen (en locaties) op andere locaties en desondanks dienen zij toegang te krijgen tot hun programma's en data.

Wat mij nu niet duidelijk wordt in het hele Domain Isolation verhaal: Is het mogelijk om bij Domain Isolation meerdere domeinen als een groot isolated domain te categoriseren?

Dus dat bijv alle devices van de domeinen Europe, America, Asia in dezelfde forest wel met elkaar mogeen communiceren, maar niet met devices die tot geen enkel van deze domeinen behoren.

[ Voor 3% gewijzigd door punisher007 op 26-02-2007 12:21 ]

Ik DENK dat ik het antwoord heb gevonden:

Trust State
When describing IPsec hosts in this paper, "trust" does not refer to Active Directory trusts. This paper defines the trust state of a host computer as follows.

Trustworthy
A host computer can be considered trustworthy when it meets the following criteria:
• Operating system: A trusted host must run an operating system that is IPsec-capable such as Windows 2003, Windows XP, or Windows 2000 SP4.
• Domain membership: A trusted host must belong to an IPsec domain which means it is capable of participating in Active Directory and processing GPOs.

Untrustworthy
Any host that cannot meet the criteria for a trusted state is untrustworthy. Examples of host computers that are untrustworthy include:
• Computers running Windows Millennium Edition
• Computers running Windows 98
• Computers running Windows 95
• Computers running Windows NT
• Non-Windows-based computers and devices, such as Macintosh, UNIX, and Pocket PCs.
• Computers not joined to a trusted domain
• Other non-Microsoft remote access or VPN clients
It is important to note the classification of untrustworthy does not reflect on the use of the operating system in general. Rather, untrustworthy is used strictly in relation to the implementation of domain isolation in this simplified presentation.
After you have determined the trust state of the hosts in your domain, the next step is to combine hosts with the same level of trust requirements into logical groups for the purpose of planning the network traffic allowed between groups.

Source: http://www.microsoft.com/...06F1E23077&displayLang=en

Dus als het goed is, zou vanwege de transitive trusts in de forest alle devices die lid zijn van domeinen trusted moeten zijn.

[ Voor 6% gewijzigd door punisher007 op 26-02-2007 12:39 ]

Naja mijn situatie (hoewel ik dat niet beschreven had hierboven) betreft XP/2003 machines. Dat niet alle devices die in het domein hangen zomaar trusted zijn, besefte ik me wel. Toch bedankt voor het melden

Ik onderzocht eigenlijk of het mogelijk is om alle IPsec capable devices binnen (alle domeinen van) het forest tot hetzelfde Isolated Domain te laten behoren. Dat het rechtenverhaal meespeelt snap ik natuurlijk wel, maar ik was bang dat het Isolated Domain alleen bruikbaar zou zijn binnen het windows domain, maar men gaat dus uit van de brede zin van het begrip domein.

Had dit ook nog gevonden, wat bevestigd dat dit het geval zou moeten zijn:

Domain isolation. In the domain isolation scenario, which includes computers in one or more Active Directory domains, all participating computers are governed by an IPsec policy. Any two computers that participate in the isolated domain use IPsec to authenticate each other and to secure communications with each other.

Source : http://www.microsoft.com/...DA3FCA608C&displayLang=en

[ Voor 5% gewijzigd door punisher007 op 26-02-2007 14:45 ]