- - PR -
管理下にないPCのセキュリティ
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-03-30 16:47
始めまして、素人ですが宜しくお願いいたします。
GPOによるセキュリティの強度について確認したいです。 GPOによってポリシー管理している社内ネットワークに、個人が自宅のPCのレジストリ等を設定、変更してしまえば、管理下にないPCでも入れてしまうのでしょうか? それとも、絶対に一致しない項目があり、ネットワークに入ることは不可能なのでしょうか? 宜しくお願いします。 | ||||
|
投稿日時: 2004-03-30 16:59
こんにちわ.
GPO は group policy object で,ActiveDirectory を利用している際に「まとめて設定する」ための機能でしょう.「管理下」というのが「ActiveDirectory に所属していない」という意味なら,無理ではないかと思われます.個別に local policy を使うにしても,お気づきのとおり少し内容が異なります. もっとも,registory に「余計なものが書かれている」という状態になるだけか?そこんところは有識者の方,お願いいたします. | ||||
|
投稿日時: 2004-03-30 17:21
kazさん、早速の返答ありがとう御座います。
個人PCの持込を禁止したいと思っており、マニアな社員が設定を書き換えることで、 ADに所属させてしまうことがが出来ないと嬉しいのですが。。 | ||||
|
投稿日時: 2004-03-30 17:34
ということは,「マニアな社員」の方々は DomainAdmins に所属しているとか?それはかなり危険ではないかと.管理のための手段を濫用できるわけですから,野放しになって当然かと思います. ※一般ユーザーには一般権限を これが管理の第一歩かと思われます. | ||||
|
投稿日時: 2004-03-30 17:50
Admin権限のUserは基本的に信用するとして、
User権限やPowerUser権限の人は、持ち込みPCの設定をいくら変更してもネットワークに 入れないとしたら、Admin権限しか分からない情報って何なんでしょう? | ||||
|
投稿日時: 2004-03-30 18:20
> Admin権限のUserは基本的に信用するとして というか,信用する人に Administrators 権限を与えるべきかと... User/PowerUser では network の設定は変えられませんよね?あ, #一般ユーザーが local の管理者権限で network に参加した後のこと という意味でしょうか?でも,network に繋がっただけでは ActiveDirectory には参加できませんよね.ActiveDirectory に参加するには DomainAdmins 以上の権限が必要ですから.そこのところを「どうにか」するのは無理だと思いますし,registory を Client 側でいくらがんばってもダメなのではないかと.無論,何らかの方法で crack すれば「なんとか」なるのかもしれませんけど,それは「違法」ということになるかと. | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。