- - PR -
ActiveDirectory構築について
1
| 投稿者 | 投稿内容 | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-07 11:08
ActiveDirectoryの導入について、ご質問させてください。
現在、事務所で構築しようと考えてますが、本を読んでもよくわかりません。 下記について、ご教授願います。 (現状) クライアントPCはWINxp-proで約100台あります。 サーバは2003サーバで現在はグループウェアとファイルサーバとして、主に使ってます。 @グループポリシーの設定ではプリンターの出力結果のログ等は残るのでしょうか?また、ファイルサーバのファイルへのアクセスログは残るのでしょうか? AActiveDirectory構築時、プログラムのインストールを許可するグループを作成して、 インストール申請時のみ、管理者が申請した特定のユーザーを許可するグループへ一時移動し、インストール後は、元のインストールが出来ないグループへ戻したい。この様な運用は可能でしょうか? BクライアントPCのBIOSの操作等でクライアントPCにAdministrator(管理者権限)のアカウントを作成することが出来ると聞いたことがありますが、本当に出来るのでしょうか? 出来た場合各クライアントで勝手にプログラムのインストール等も可能であり、ウィルス等においても同様にクライアントPCに感染すると思われますが、そうなった場合ActiveDirectory構築時(ドメイン環境)のネットワークにも影響が出てくるのでしょうか? ドメイン参加の場合は、ローカルドメインでインストールした、プログラムやファイルが一切使えない方法はあるでしょうか? CActiveDirectory構築時にサーバだけインターネットへ接続しようとする場合(winのアップデート を利用する為)としない場合は、ADのポリシー設定は変わってきますか? その場合、あらかじめ、どちらでもできるような設定は可能でしょうか? ちなみに当面はクライアントPCは、インターネットに一切接続させなく、サーバだけ接続させ アップデートが出た場合に、サーバに必要なファイルをダウンロードし、各クライアントが 各自そのファイルを使って、アップデートをしてもらうように考えてます。 DクライアントPCは、マイクロソフトのアップデートのみを使用できるような、AD側の設定は 可能でしょうか?(他のサイトは一切、見れないようにする) 宜しくお願いします。 | ||||||||||||||||||||
|
投稿日時: 2006-10-07 14:04
こんにちわ.
どのような本を読んで「よくわかりません」なのかわかりませんが, 基本的な知識が欠乏しているように思われます. 然るべき業者さんにお願いしたほうがよろしいのでは?
Active Directory での設定ではなく, file/print server をそのように設定するのだと思います. group policy と因果関係を持たせたいのでしょうか? その必要があるのでしょうか?
そのような状態を作り出すことは可能です. が,運用は困難を極めるでしょう. このような質問が出てくる程度の知識ではそういった運用を 適切に行うことはできないと思います. Active Directory には「アプリケーションの割り当て」機能があり, 一定の条件を満たした application によっては管理者権限が無くても application を install することができる機能があります. また,user 権限を適切に設定して「一定の権限だけを与える」ことで, そういった運用をすることも可能でしょう.
ここでもやはり「知識がない」ことを見て取れますが, user account やそれらの権限は BIOS とは関係ありません. Windows OS の機能で「権限を制限する」ことができますし, そこから派生して Active Directory でも同様のことができます. ですので,Active Directory と Windows OS 上の user 権限を組み合わせて 運用するのが一般的です. BIOS で OS 上の user account を管理することはできません.
Internet への接続を直接 Active Directory で制限することはできません. 別の仕組みが必要になります. proxy や firewall と Active Directory を組み合わせて運用するとか, proxy や firewall を Active Directory を個別に管理して運用するとか, いろいろなやり方がありますが,「通信の制限」が技術的にどのように実現されるか? を考えれば「Active Directory で制限できるか?」は簡単に判別できるでしょう. hotfix を集中管理したいなら Windows Software Update Service(WSUS)で 実現できますが,これなどは「調べればすぐに判明すること」ですよ.
前述どおり,hotfix を中継 server となる WSUS で管理することもできますし, それらを利用するように Active Directory の group policy で 設定することも可能です. 繰り返しになりますが,通信の制限は Active Directory 単独で できるものではありません. これは Active Directory 以前の問題です. 以上,ご参考までに. | ||||||||||||||||||||
|
投稿日時: 2006-10-07 15:00
@監査を有効にして、それぞれのオブジェクト(例えばプリンタ)のセキュリティ設定で、それぞれのオブジェクトへのアクセスや印刷の成功、失敗などを監査すれば良いかと思います。 ただ、監査自体はADが構築されていなくても監査可能です。
Aについては示されてい方法ではちょっと現実的では無いような気がします.... 素直に、一般ユーザはインストールできない設定にしないと運用が破綻するような予感。 アプリのインストールは管理者が行うか、または資産管理ソフトなどで勝手にインストールされたアプリを監視する方が現実的では? BBIOSの件は嘘を聞かされたんだと思います。 なお、ローカルでインストールされているアプリを使えなくする方法は簡単な方法は存在しないので、まずはクライアントPCの配布段階から一般ユーザのアクセス権をコントロールしないといけません。すでに存在するPCに関しては回収して再インストールするか、2〜3年後の更新タイミングでの配布でユーザから管理者権限を回収するしか無いと思います。 それまでは、資産管理ソフトなどで利用しているアプリの把握しか手は無いと思います。 アプリが把握できれば「ソフトウェア制限のポリシー」を使って実行ファイルを実行できなくする事も技術的には可能です。(でも面倒ですし管理者権限を回収できないとイタチごっこになります) CActiveDIrectoryとWSUSの組み合わせで幸せになれるかと思います。 DADとWSUSを使うようにすればクライアント側でWindowsUpdateを使う必要は無くなります。クライアントから(多分Webブラウジングの事を言っているのだと思いますが)インターネットを見えないようにするのはADの機能ではなくkazさんが云っているようにファイヤーウォールなどで特定のマシン以外からアクセスできないようにする方法が簡単です。 なおここでいっているファイヤーウォールはクライアントPCに仕込むパーソナルファイヤーウォールでは無くゲートウェイ製品のファイヤーウォールの事なので念のため。 | ||||||||||||||||||||
|
投稿日時: 2006-10-09 11:21
kazさん、非武装エリアさん
早速、ご丁寧な回答ありがとうございました。 もう少し、基本的なことを勉強して相談したいと思います。 (頭の中が整理がつかず、とんちんかんな質問すみません また、宜しくお願いします。 | ||||||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。