Eu procuro uma maneira de impedir o acesso à rede de dispositivos que não pertençam ao nosso domínio corporativo do Active Directory.
Algumas pessoas conectam seus laptops pessoais à nossa rede corporativa e algumas delas causam problemas sem querer.
Eu já uso uma política DHCP para dar a eles um nome DNS separado (aliens.contoso.com), permitindo-me ver rapidamente se tal dispositivo está conectado (basta dar uma olhada no console DNS). Essa política é ativada quando o cliente não pertence ao nosso domínio contoso.com.
O problema com esse método é: o laptop indesejado tem configurações de IP perfeitamente corretas, para que o usuário possa usá-lo.
Isso permite apenas ter um nome DNS separado. Não consigo especificar um roteador diferente ou um endereço IP inutilizável.
Gostaríamos de atribuir configurações de IP inutilizáveis a esses laptops. Portanto, os usuários não o usarão ou nos telefonarão. Isso nos permitirá garantir que o laptop esteja limpo e fornecer instruções aos usuários.
É claro que eles podem inserir manualmente as configurações corretas, mas poucos de nossos usuários podem fazer isso, e isso reduzirá consideravelmente os problemas.
Não pretendo impor o acesso à rede com 802.1X. Eu sei que o método DHCP é mais fraco.
Acho que podemos fazer isso com o Network Protection Server (usamos o Windows 2012 R2 para o nosso servidor), mas não entendi como.
Resumindo: você não pode
Para que o servidor DHCP saiba se um dispositivo está dentro do domínio, ele deve se comunicar com um controlador de domínio, portanto, primeiro ele deve ter um endereço IP.
É por isso que as configurações que você deseja estão acinzentadas.
Um truque pode ser nomear seu computador com um prefixo especial. Em seguida, o servidor DHCP pode detectá-lo quando o computador negociar sua concessão de DHCP. Assim, a opção desejada estará disponível (não esmaecida).
A maneira usual de fazer isso é com autenticação 802.1X, mas você disse que não quer fazer isso. O NPS é usado com 802.1X, portanto, se você não for usá-lo, não terá muita utilidade para o NPS.
A única outra maneira que posso pensar em fazer isso é usar VLANs baseadas em porta (não 802.1q) para mover todas as portas de rede não usadas (que podem ser portas "convidadas") para uma vlan diferente, adicionar um auxiliar DHCP para essa VLAN e encaminhar as solicitações de DHCP para o seu servidor 2012 R2 e emitir diferentes sub-redes/gateway/etc. Ou você pode direcioná-los para um portal cativo. Ou você pode simplesmente não emitir um endereço IP para eles e não ter um gateway.