- PR -

リモート接続時のセキュリティーについて

1
投稿者投稿内容
sun
会議室デビュー日: 2005/02/04
投稿数: 16
投稿日時: 2005-02-07 10:21
教えて下さい!!
WIN2003サーバとXp-Proでアクテブディレクトリーの構築の準備を進めています。
通常のドメイン参加とターミナルサービス経由のドメイン参加でポリシーの適用
を分けたいと思います。

(通常のドメイン参加は規制を緩やかに、ターミナルサービス経由は、サーバ上
 での作業なので、規制を強固に行いたいと考えております。

このような時の簡易な方法はどのようにすれば良いのでしょうか?

下記のようイメージです。
OUでポリシA、ポリシB、ポリシC で 
ポリシAは共通的に適用、
ポリシBはリモート接続以外時適用
ポリシCはリモート接続時適用



まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2005-02-07 12:26
ターミナルサービス経由のドメイン参加

通常のドメイン参加
とは いったい何を指すのですか?

ドメインへの参加=ドメインユーザーでのログオン
ではないことを申し添えます。
想像するに、ドメインのユーザーアカウントでTSにログオンする場合と
クライアントのコンソールにログオンする場合 ということでしょうか?
sun
会議室デビュー日: 2005/02/04
投稿数: 16
投稿日時: 2005-02-07 13:17
表現がわかりずらく申し訳有りません。
「まるちねす」さんの内容でOKです。
アクテブディレクトリ環境で、ドメインユーザuser01でログオンを行っていますが、
@クライアントPCではコンパネは利用できる。
ATS経由でサーバにUSER01でログオンをした場合はコンパネは使用出来ない。

このような場合です。

TSはサーバで処理されますので、セキュリテはクライアント
で行うより強くしておいた方が良いと思いますので・・・

ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2005-02-07 21:21
ログイン方法ではなく、マシンごとにセキュリティ設定を分けるほうが
自然な感じがしますが。
そのような例ですと。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2005-02-09 11:56
クライアントコンソールへのログオンユーザー
user01
TSへのログオンユーザー
TSuser01
のようにユーザーを分け、

ユーザーアカウントを別々のOUに属させ、それぞれにポリシーを設定します。
この方法ですと、TSとクライアントコンソール上で別々のポリシーを適用して
作業させることが可能です。(私もこの方法で運用してます。)
マシンポリシーだと、そのマシンにログオンする全ユーザーが影響を受けてしまうので
はないでしょうか?(それでもいいというなら別ですが。)

ユーザーを分けるとログオンを2回行わなければならず面倒ですが、
(分けなくても2回ですが、ひとつのID・パスワードで済む)

コンソールログオンはID・パスワードを入力させる(user01)----通常の方法
TSへのログオンーは TS接続用のID、パスワードを記憶したアイコン
(*.RDP ファイルなど)
を作成しクリックするのみでTSへログオンできるようにしています。
セキュリティ上どうかということはあるでしょうが、
コンソールログオンは厳重に管理しているので、ひとつの方法たりえると思います。
(二重ログオンにした結果、ID・パスワードを書いたメモを机に貼られるほうが
 むしろ問題なので・・・・)

以上、ご参考までに。
1

スキルアップ/キャリアアップ(JOB@IT)