- PR -

ドメインへのアクセスについて

1|2 次のページへ»
投稿者投稿内容
こあ
常連さん
会議室デビュー日: 2004/02/21
投稿数: 42
お住まい・勤務地: 東京都
投稿日時: 2004-04-30 23:09
皆さん、こんばんは。よっぴーと申します。
今回は、現在構築中のActiveDirectoryドメインについて2点質問があります。


【1】ドメインに参加している端末からでないと共有ファイルにアクセスできないようにすることは可能でしょうか?

現環境では、クライアントがドメインに参加せずに、ワークグループの状態でも、[毎ネットワーク]-[ネットワーク全体]等から、ドメインのユーザーアカウントとパスワードを入力すれば、ドメインコントローラ上にある共有ファイルにアクセスできてしまいます。



【2】ドメインにコンピュータアカウントを持った端末ではないと、ドメインにさんかできないようにするにはどうすれば良いでしょうか?

現環境では、【1】と同様に、ユーザーアカウントさえあれば、[システムのプロパティ]等からドメインに参加ができてしまいます。


皆様、ご教授の程、よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-01 15:48
こんにちわ.
引用:

よっぴーさんの書き込み (2004-04-30 23:09) より:

【1】ドメインに参加している端末からでないと共有ファイルにアクセスできないようにすることは可能でしょうか?

現環境では、クライアントがドメインに参加せずに、ワークグループの状態でも、[毎ネットワーク]-[ネットワーク全体]等から、ドメインのユーザーアカウントとパスワードを入力すれば、ドメインコントローラ上にある共有ファイルにアクセスできてしまいます。

これをやろうとすると,「正当な account があるのに接続できない」という状態を生み出すので,無理なのではないかと...file/directory の access control で制限するなどできないのでしょうか?

引用:

【2】ドメインにコンピュータアカウントを持った端末ではないと、ドメインにさんかできないようにするにはどうすれば良いでしょうか?

現環境では、【1】と同様に、ユーザーアカウントさえあれば、[システムのプロパティ]等からドメインに参加ができてしまいます。

user account があるだけでは参加できないと思います.Domain へ参加するには,その Domain の Administrators の資格が必要かと.その user の user account が参加している user group は?
こあ
常連さん
会議室デビュー日: 2004/02/21
投稿数: 42
お住まい・勤務地: 東京都
投稿日時: 2004-05-01 19:03
kazさん、ありがとうございます。

引用:

これをやろうとすると,「正当な account があるのに接続できない」という状態を生み出すので,無理なのではないかと...file/directory の access control で制限するなどできないのでしょうか?


この制限をかけようとした理由は、運用上の問題として、ドメインには参加せず、その端末のローカルユーザーをドメインに登録してあるユーザー・パスワードと同じにして使用するという人がいるためです。
(全員ドメインに参加してもらいたいのです。)

引用:

user account があるだけでは参加できないと思います.Domain へ参加するには,その Domain の Administrators の資格が必要かと.その user の user account が参加している user group は?

すみません、少々言葉がたりなかったかもしれません。クライアントからドメインを指定して、「このコンピュータをドメインに参加させる」等を行った場合です。尚、グループは、Domain Usersグループです。

以上、よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-04 21:36
こんばんわ.
引用:

すみません、少々言葉がたりなかったかもしれません。クライアントからドメインを指定して、「このコンピュータをドメインに参加させる」等を行った場合です。尚、グループは、Domain Usersグループです。

この点で認識が一致していないようです.「コンピュータをドメインに参加させる」というのは,何を指しています?Domain に参加しているサーバの共有ファイルを利用することですか?文章のままだと,「マイコンピュータ」->「プロパティ」->「コンピュータ名」のところで,Workgroup から Domain へ参加する処理のことを指しているように思えます.この場合は Domain 側での権限がともなわないと Domain へは参加できません.それ以外に「ドメインに参加する」というのが,意味合いとしてちょっと理解できかねますが,具体的にどのような処理を行った場合でしょうか?
こあ
常連さん
会議室デビュー日: 2004/02/21
投稿数: 42
お住まい・勤務地: 東京都
投稿日時: 2004-05-05 20:43
こんばんは。
kazさん、再度ありがとうございます。

引用:

文章のままだと,「マイコンピュータ」->「プロパティ」->「コンピュータ名」のところで,Workgroup から Domain へ参加する処理のことを指しているように思えます.


kazさんのおっしゃった通り、[コンピュータ名]のところDomain参加を行っております。ただ、いつもはドメインコントローラにDomain Usersグループのユーザーアカウントを作ってさえいれば(Administrator権限がなくても)、ドメインにログオンできています。

少々的はずれな発言かもしれませんが、再度よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-05 23:42
こんばんわ.
引用:

よっぴーさんの書き込み (2004-05-05 20:43) より:

kazさんのおっしゃった通り、[コンピュータ名]のところDomain参加を行っております。ただ、いつもはドメインコントローラにDomain Usersグループのユーザーアカウントを作ってさえいれば(Administrator権限がなくても)、ドメインにログオンできています。

話の辻褄が合っていない気がします.Domain の Administrator 権限がなくても Domain に参加できるのですか?それは,既に Domain にそのコンピュータの「コンピュータ・アカウント」が作成されてしまっているから?でもいったん Domain から外れたら,コンピュータ・アカウントは再作成する必要があったと思いますが...

それと,「いつも」とは,しょっちゅう「Domain に参加」しているのでしょうか?

引用:

現環境では、【1】と同様に、ユーザーアカウントさえあれば、[システムのプロパティ]等からドメインに参加ができてしまいます。

一応念を入れて確認しますが,Domain User の権限で「ドメインに参加できる」のですよね?これが事実なら,Domain User 権限でなく,Domain Guest の権限に降格するとか...いずれにせよ,一定の権限を持っている account の権利を剥奪するには,さらに低位の権限に降格するしか手はないのではないかと.

問題となっている人たちの権限を改めて確認されたほうがよろしいのではないでしょうか?
こばさん
大ベテラン
会議室デビュー日: 2004/03/17
投稿数: 147
投稿日時: 2004-05-06 16:41
 質問の趣旨は、アクセスするためのユーザー/パスは知っている人が、ドメインに参加していない端末からアクセスすることを締め出したいという意味ですか?

 ドメインへの参加権限の話になっているのもので・・・
こばさん
大ベテラン
会議室デビュー日: 2004/03/17
投稿数: 147
投稿日時: 2004-05-06 16:58
引用:

 ドメインへの参加権限の話になっているのもので・・・

すみません。連休明けでボケてました。
ドメインへの参加権限も質問のひとつだったのですね。

Domain Users では参加できないです。
密かに Domain Admins グループに属しているような気がします。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)