Как настроить раздачу DHCP для конкретной группы пользователей в Active Directory Domain Services (AD DS)? 

На Windows Server 2012 R2, где развернут Active Directory Domain Services (AD DS) с двумя группами пользователей (группа 1 и группа 2), и также настроен DHCP-сервер, как можно организовать раздачу IP-адресов таким образом, чтобы DHCP предоставлял адреса только пользователям из группы 1, в то время как пользователи из группы 2 не получали их?
  • 17 сентября 2024 г. 9:03
Ответы на вопрос 4 
Чтобы настроить раздачу DHCP для конкретной группы пользователей в Active Directory Domain Services (AD DS) на Windows Server 2012 R2, вам потребуется использовать настройки DHCP и, возможно, дополнительные меры, такие как фильтрация по MAC-адресам. Однако стоит отметить, что в стандартных возможностях DHCP нет прямой интеграции с группами пользователей в AD.

Вот шаги, которые могут помочь вам организовать раздачу IP-адресов для конкретной группы пользователей:

### Шаг 1: Определение пользователей
Убедитесь, что у вас есть четкое понимание, какие пользователи относятся к группе 1 и какие к группе 2.

### Шаг 2: Настройка DHCP

1. **Создание области раздачи DHCP**:
   - Откройте консоль DHCP на вашем сервере.
   - Создайте новую область, если её ещё нет, и настройте диапазон адресов, маску подсети и другие параметры согласно вашим требованиям.

2. **Фильтрация по MAC-адресам**:
   В DHCP-сервере вы можете использовать фильтрацию по MAC-адресам для управления тем, какие устройства могут получать IP-адреса.
   - Получите информацию о MAC-адресах устройств, относящихся к группе 1.
   - В консоли DHCP перейдите в раздел "Filters" (Фильтры) и настройте соответствующий фильтр:
     - **Allow List**: добавьте MAC-адреса устройств группы 1.
     - **Deny List**: при необходимости добавьте MAC-адреса устройств группы 2.
   
3. **Настройка резервирования (опционально)**:
   Если у вас есть конкретные устройства (например, компьютеры пользователей из группы 1), вы можете создать резервирование IP-адресов для этих устройств. При этом устройства обязательно должны предоставлять свой MAC-адрес.

### Шаг 3: Политики и фильтры DHCP
Кроме фильтрации по MAC-адресам, если у вас есть возможность настроить DHCP-опции, вы можете добавить условия, такие как "Option82", для различных подсетей.

### Шаг 4: Тестирование
После настройки убедитесь, что пользователи из группы 1 могут получать IP-адреса, а пользователи из группы 2 — нет. Для этого можно использовать устройства из каждой группы и проверить, получают ли они IP-адреса из DHCP.

### Заключение
Хотя метод фильтрации по MAC-адресам не является самым гибким, он позволяет достаточно эффективно контролировать раздачу IP-адресов в зависимости от групп пользователей. Если же пользователей много и они постоянно меняются, возможно, потребуется рассмотреть другие решения, такие как VLAN или использование RADIUS для аутентификации.
DHCP в локальной раздаёт адреса не пользователям, а устройствам. Чтобы пользователь смог пройти аутентификацию с какого-то устройства, оно должно быть в сети, а значит ему уже должен быть выделен IP-адрес.
первый вариант - разделите сеть на vlan согласно логической структуре. настройте соответственные области в dhcp 
 
 второй вариант (более сложный, но отвечающий вашим требованиям) настройте на коммутаторе 802.1x и выдавайте vlan и тд динамически на основе политик radius (ms ias) примененным к определенным группам в AD
1. Это делается на уровне коммутации, разные vlan. Запретить одному на конект в сеть дхцп и все. 
 2. Если делать на ДХЦП то только запрет на устройства а не пользователей. Через фильтры WMI на дхцп пуле, который адреса выдает.
Похожие вопросы
    Показать ещё