- - PR -
WinServer2003環境でlinkstation(NAS)のフォルダにアクセス監査可能ですか?
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2005-06-12 21:14
初めて書き込みます。過去ログを検索&チェックしましたが関連する項目をみ付けられませんでしたので、スレッドを立てました。
■ 当方ネットワークグループ以外のwindowsネットワーク構成は今回はじめてです。 とんちんかんなことを聞いているかもしれませんが、どなたかご教授ください。 よろしくお願いいたします。 ■質問■ WindowsServer2003をドメインコントローラーとするLANにおいて、NAS、具体的にはBuffalo社のLinkStation HD-HGLAN※にある共有フォルダーをアクセス監査対象※とすることは可能ですか? (※LinkStation120LAN、ファームウェアバージョン1.42:アップデータ済み) (※ドメインコントローラーのイベントビューワのセキュリティログにアクセスログがとられるようにしたいということです) ■予想する答■ できない (そういう明言をどこからも読み取れなかったのです。) ■背景■ 1.個人情報保護法対応のため、当社のLANをセキュリティに関してより強いものにすることになった。 2.これまではウィンドウズネットワークグループを使ったLANであった。 3.クライアントマシンはwin2000、XPpro、XPhome、NTが混在 4.その中にファイル共有用としてlinkStationがつながっている(本番機とバックアップ機の2台) 5.WinServer2003(アクティブディレクトリー)をドメインコントローラーとするドメインを構成し、ファイルのアクセス監査機能を使って、共有ファイルへのログを取ることになった。 ■環境とこれまで■ 1.ユーザー数は10、つながるマシンも20台弱 2.ドメインは混在モード(2003)、Win2003サーバーがアクティブディレクトリーとDNSサーバー、プリンターサーバーを兼任。このサーバーマシンはDell PowerEdge 400SC 3.上記PowerEdgeにはデルレジストリ準備ツールを実行 4.サーバーはWindowsServer2003 Serviece pack1(サービスパックは3.の後ダウンロード) 5.現在、クライアントPCは旧来のワークグループとドメインの両方にログオンできる状態でどちらからもlinkStation上の共有ファイルにアクセスできるようになっている 6.ドメインコントローラー上でLinkStationはコンピューターとして登録されている。 7.LinkStationのIP設定ユーティリティを実行し、このドメインに参加させている (IP設定ユーティリティ上 コンピューターの状態は正常と表示される) 8.サーバー上のマイネットワークからLinkStation上の共有フォルダのプロパティを開き、セキュリティタブから新しいユーザーのアクセス許可を登録しようとしても 「ファイルサーバーのアクセス許可の変更を保存できません アクセスが拒否されました」 というメッセージが出て拒否される。 9.以下条件の組み合わせを試すが、全て拒否 ・LinkStation上の共有フォルダの設定における 「アクセス制限機能を使用する/使用しない」 ・LinkStation上の管理者権限ユーザーを新しくつくり、それをドメイン側でadministratorとして作成、このアカウントで8.の作業を行う ・ドメイン側でLinkStationのネーミングルール(ID12桁以内パスワード8桁以内)のadministratorを作成、これをドメインユーザーとしてLinkStationに認識させ、このアカウントで8.を行う ・8.でアクセスを設定するユーザーを現在作業中のadminに対して行う/一般ユーザーに対して行う 10.サーバー上に作成した共有フォルダについてはアクセス監視が行われることは確認済み(イベントビューワにて確認) ■希望■ 上記の方法(フォルダのプロパティからセキュリティ設定を操作する)ことにこだわっているわけではありません。他の方法がわからなかったのです。 LinkStation上の共有フォルダに対してアクセス監視(セキュリティログ)をとる方法があればご教授ください。 それはできないのであれば、そのようにご教授ください。 ■当方のレベルについて■ ・TCP/IPについての基礎知識はあり、DNSとは何か、IPアドレスとは何か、pingやnslookupコマンドなどは理解しています。 ・しかしWindowsでのLANはまったくの初心者で上に書いた語句はこの一週間で泥縄式に身につけたものです。第一ウィンドウズネットワークグループの概念もこの作業を始めてやっと理解したようなありさまです。 ・当然NTサーバーでのLANなどについても全くの無知です。 ■参考にしたネット記事と本■ 以下の本や記事を参考にして作業しています。 (全部読んだわけではありません) WEB @I>TWindows Server Insider>運用 「管理者のためのActiveDirectory入門」2002/09/12 伊藤将人 著 日経IT Pro WindowsReview 「今からはじめるWindowsServer2003」2003/05/15 石川祥英 著 書籍 「ActiveDirectoryで構築する安全で管理しやすいネットワーク」 安井健治郎 著 ディー・アート 「PerfectMaster WindowsServer2003」 野田ユウキ&アンカープロ 著 秀和システム ■ 不必要に情報が多いかもしれませんが、お許しくださいませ。 どなたかのお力を借りられればと思います。 よろしくお願いします。 |
|
投稿日時: 2005-06-12 22:09
@さっぽろ さんへ
ファイルとフォルダの監査を設定できるのは、NTFS 用にフォーマットされているドライブだけです。LINK STATIONはNTFSフォーマットが不可能なので、監査はできません。BUFFALOやI・Oデータ等のLAN接続型HDDで、NTFSフォーマットできるものはなかったと思います。 個人情報保護法対応の関係で監査する必要があるのなら、Storage Server 2003(WSS 2003)オペレーティングシステムがプリインストールされたNASを導入するとか、サーバー自体に外付け(USB等)HDDを増設し、共有HDD(NTFSでフォーマット)として利用するしかないと思います。 |
|
投稿日時: 2005-06-12 23:12
EVA様
早々のしかも的確なご回答ありがとうございます。 >LINK STATIONはNTFSフォーマットが不可能なので、監査はできません。 そうでしたか! この共有フォルダは(ネットワークグループの際)ネットワークドライブz:として割り当てられており、z:のプロパティを開くとファイルシステムが「NTFS」となっているため、この点に関しては端からノーチェックでした。 すっきりしました。ご教授のとおり、監査の必要なファイル・フォルダは別に持つことを検討いたします。 助かりました。本当にありがとうございました。 @さっぽろ拝 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。