- PR -

クライアント側ローカルハードディスクのアクセス権変更を禁止したい

1
投稿者投稿内容
chulamayar
会議室デビュー日: 2004/07/16
投稿数: 2
投稿日時: 2004-07-16 23:02
Windows2000Server+Windows2000ProにてAD構築しています。

恥ずかしながら、会社から貸与しているPCに個人データを保存しアクセス権を変更し、管
理者やシステムのアクセス権を消している社員がいて困っています。

一般ユーザーにおけるネットワーク上のServerやNASの共有フォルダに対するアクセス権
変更はグループポリシーにて禁止していますが、各自が使用するクライアント側PCのロー
カルハードディスクに対してアクセス権変更の禁止をさせる事は可能でしょうか。

アドバイスいただければ幸いです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-07-17 00:32
こんばんわ.

それを「抑制できるか?」はわかりませんが,client 側の local admins に domain admins が含まれていれば,該当の Directory などの所有権を取得することで,access control を奪取することはできます.

client 側の利用者に administrator 権限を持たせなければ,その辺は強制介入できると思いますけど...
chulamayar
会議室デビュー日: 2004/07/16
投稿数: 2
投稿日時: 2004-07-17 14:23
kazさん ご返答ありがとうございます。
若干質問の仕方を変えてみてもよろしいでしょうか。


各ファイルやフォルダに対するアクセス権の変更が可能なのは、Admin権限を持ったユーザー
のみに限られていると考えていたのですが、実際はそうではなく、一般ユーザーであっても
既存のアクセス権を変更する事や、ADから個人のアカウントを付与してフルコントロール
権限をつける事も可能である事を知りました。

ファイル等の読み書き・削除・実行などは制限するつもりは全くなく、業務の範囲内で自由
に使用するのは構わないが、本来付与されているアクセス権そのものを一般ユーザーが変更
出来なくする事は可能なのでしょうか。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-07-17 18:57
こんにちわ.
引用:

chulamayarさんの書き込み (2004-07-17 14:23) より:

ファイル等の読み書き・削除・実行などは制限するつもりは全くなく、業務の範囲内で自由
に使用するのは構わないが、本来付与されているアクセス権そのものを一般ユーザーが変更
出来なくする事は可能なのでしょうか。

可能ですが,かなり細心に設計しないとならないかと.
例えば「この Directory とその下位の Directory は一般 user には変更権限を与えない」として,その中にある限りは変更できないようにすることは出来ると思います.しかし,「その中でもこの部分だけは変更を許可したい」となると,その特定部位だけ個別に変更してやる必要があります.その「部位」が多いと,管理が大変でしょう.また,これらを実施するにはまず,Directory が存在する disk drive の接続制限からはじめる必要があるわけで.でないと,「上のほうから access control を over-write」なことも出来るわけで.

あるいは,read/write/excute だけを許可するとか.このうち,write ができたら delete もできたと思いますし,運用上は困らないかと.

なんにせよ,「本来ある access control に影響を与えずに」となると,Full control を許可した時点で NG だと思います.
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2004-07-18 10:48
2Kproではドライブのアクセス権がデフォルトでEveryoneフルコントロールに
なってますので、自分の場合新規導入直後に以下のACLに変更してます。

C: Administrators フル
  Everyone 読み取り実行
  System フル

D: Administrators フル
  Everyone 変更書き込み(フル ではない)
  ・・・・データはDに置かせる、あるいはファイルサーバーに
  System フル

です。XPではデフォルトのアクセス権が変更されたようですが
それでもSystemdriveにusersでの書き込み権限があるので
これを出来ないように設定しなおします。

Kaz氏もいってるようにフルコントロールを与えた時点でusersが変更可能な状態
になっているのですから、設定しなおさないと無理だとおもいます。
ネットワークにつながっている状態ならば、管理共有\\Pcname\C$を通じて
ドライブのアクセス権をリモートから変更することは可能です。
(\\Pcname\C$ で開いて 何もないところを右クリック・・・・・・・)
1

スキルアップ/キャリアアップ(JOB@IT)