Korlátozza a hozzáférést csak meghatározott felhasználókhoz vagy számítógépekhez
A domain-elkülönítés (az előző cél szerint, amely korlátozza a hozzáférést a megbízható számítógépekhez) lehetővé teszi az elszigetelt tartomány tagjainak számítógépek számára, hogy elfogadják a nem megbízható számítógépek hálózati forgalmát. Egyes hálózati számítógépek azonban olyan érzékeny adatokat helyezhetnek el, amelyeket tovább kell korlátozni azoknak a felhasználóknak és számítógépeknek, amelyek hozzáférhetnek az üzleti kérelem adataihoz.
A Speciális biztonsággal rendelkező Windows tűzfal lehetővé teszi a hozzáférést a számítógéphez és a tartománycsoport tagjaihoz, a számítógéphez való hozzáférés engedélyezéséhez. Ezeket a csoportokat hálózati hozzáférési csoportoknak (NAG) hívják. Amikor a számítógép hitelesíti a kiszolgálót, a kiszolgáló ellenőrzi a számítógépes fiók és a felhasználói fiók tagságát, és csak akkor ad hozzáférést, ha a NAG tagság meg van erősítve. Amikor hozzáadja ezt a csekket, egy virtuális "biztonságos zóna" jön létre a tartományi elkülönítési zónában. Számos számítógép létezik egy biztonsági zónában, és valószínűleg külön zónát hoz létre minden olyan kiszolgálócsoport számára, amely biztonsági hozzáférési követelményeket tartalmaz. A kiszolgálói elkülönítési zóna részét képező számítógépek gyakran a titkosítási zóna részét képezik (lásd a titkosítást a bizalmas hálózati erőforrások elérésekor).
Az alábbi ábra egy önálló kiszolgálót, valamint példákat mutat be olyan számítógépekről, amelyek képesek vagy nem tudnak kapcsolatba lépni vele. Számítógépek vállalati hálózaton kívül Woodgrove vagy számítógépek, amelyek egy elszigetelt tartomány, de nem szükségesek NAG tagjai nem tudnak kommunikálni önálló kiszolgáló.
Ez a megközelítés felel meg a kiszolgálói elkülönítési szabályzatnak. a következő tulajdonságokkal rendelkezik:
Az elkülönített szerverek csak a NAG tagjai számítógépről vagy felhasználóktól fogadják a nem kívánt bejövő hálózati forgalmat.
Az elszigetelt szervereket elszigetelt tartomány részeként lehet megvalósítani, és egy másik zónának tekinthetők. A zóna csoport tagjai olyan szabályokat kapnak, amelyek hitelesítést igényelnek, és meghatározzák, hogy a NAG-tagtól érkező hálózati forgalom hitelesített-e.
A kiszolgálóelkülönítés az elszigetelt tartománytól függetlenül is konfigurálható. Ehhez csak azon számítógépek konfigurálásához, amelyeknek kapcsolódási biztonsági szabályokkal rendelkező elszigetelt kiszolgálóval kell kommunikálniuk a hitelesítés és a NAG tagsági ellenőrzés végrehajtásához.
Titkosítási zónának egyidejűleg konfigurálhatja a kiszolgáló elkülönítési zónáit. Ehhez be kell állítania a GPO-t a szabályokkal, a hitelesítési követelmény mellett a kényszerített titkosítást, és korlátozni kell a hozzáférést a NAG tagokhoz. További információkért lásd: Titkosítás kérése bizalmas hálózati erőforrások elérése közben.
A telepítési feladat végrehajtásához a következő összetevőkre van szükség.
Active Directory. Az Active Directory támogatja a kapcsolatbiztonsági szabályok központi kezelését, szabályokat állít be egy vagy több csoportházirend-objektumban, és automatikusan alkalmazásra kerül a tartomány összes releváns számítógépén. További információ az Active Directoryról: További források.