- - PR -
domain computer以外からのアクセスを禁止
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-07-27 10:31
情報ありがとうございます。
調べた結果です。 ■ファイル共有にDomain ComputersのSIDが割り当てられているか? Support Toolsのshowaccs.exeで確認したところ、問題無く割り当てされていました。 ■クライアントでログオンしているユーザーが所有しているSIDは? 適切なコマンドがわかりませんが... Resource Kitのifmember.exeあたりが妥当かと思います。 確認したところ、Domain Computersグループが表示されませんでした。 ファイルアクセス権のチェック方法がわからないので、正確なことはいえませんが... Domain Computersグループは使えなさそうです。 |
|
投稿日時: 2003-07-28 21:35
井上です。
いろいろと余計な手間をかけさせてしまったようで、面目次第もございません。 Domain Computers グループだけを指定した場合、ユーザー側の権限がまったくない状態になるので、誰もアクセスできなくなる。かといって、ユーザーに対するアクセス許可を追加すると、コンピュータ側ではねられてもユーザー側で許可されて、結果的に接続できてしまう、ということでしょうか。このグループ、ドメインに参加したコンピュータだけが自動的に面子に加わるので、都合がいいと思ったんですが。 グループポリシーでも、ユーザー用の設定を使うと同じようなことになりかねないですし、共有資源への接続は IP アドレスではアクセス制限できない上に、ドメインに参加してないコンピュータでも DHCP からのアドレス取得はできてしまうので、どっちみち無意味ですし… もうしばらく、手の空いたときにいろいろ考えてみます。 _________________ www.kojii.net [ メッセージ編集済み 編集者: 井上孝司 編集日時 2003-07-28 21:36 ] |
|
投稿日時: 2003-07-29 08:10
> このグループ、ドメインに参加したコンピュータだけが自動的に面子に加わるので、都合がいいと思ったんですが。
どうやら、Domain Computersグループはコンピュータアカウントに関連付けられているようで、 共有フォルダの認証時には使用できないようです。 > グループポリシーでも、ユーザー用の設定を使うと同じようなことになりかねないですし、 もし、グループポリシーに共有フォルダアクセスの設定があれば、可能と思いますが... グループポリシーでは、それらしい設定が無さそうですし...。 |
|
投稿日時: 2003-07-29 08:12
> グループポリシーでも、ユーザー用の設定を使うと同じようなことになりかねないですし
余談ですが... コンピュータ用のポリシーのループバックポリシー設定を使用すると、特定コンピュータを 使用した場合にのみ、ユーザー用のポリシーを適用することが可能です。 |
|
投稿日時: 2003-07-29 23:06
ななさん、井上さん
貴重なコメントたいへん有難うございます。 >もし、グループポリシーに共有フォルダアクセスの設定があれば、可能と思いますが... グループポリシーでは、それらしい設定が無さそうですし...。 グループポリシーでファイルのセキュリティを設定するところを見つけました。 グループポリシーツリーの computer configration>windows settings>security settings>file system に行き、右側のペインで右クリックして追加するフォルダを選択します。 追加されたフォルダを右クリックしてsecurityを選択、 edit securityでアクセス権が設定できます。(以上英語版windows2000server) ですが、 試した結果、一般に共有が許可されている場合にアクセス権を絞ることは出来ても、 「グループポリシーが走ったときにだけアクセス権を与える」 というのは出来ませんでした。この辺、工夫が足らないのかも知れません。 簡単に実現できると考えていたのですが、こんなに難しいとは... |
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。