- PR -

ワークグループ運用での管理について

1|2 次のページへ»
投稿者投稿内容
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2006-11-25 15:26
こんにちは

現在,Windows XPまたはWindows 2003 Serverで構成されるネットワークをワークグループで運用しています.
そもそもドメインを用いて管理すればよいのですが,研究用PCがメインなため管理者権限が必要になる作業も多く断念しました.

各クライアントがポリシーをきちっと守っているのか調べたいと思っております.
ワークグループで運用しているため強制的にポリシーを適用するのは難しいかと思いますが,以下のことを確認する方法はあるのでしょうか?

確認したいことは,
 1.ルールに従ったワークグループ名とコンピュータ名にしているか?
 2.NBTをオフにしているか?
 3.簡易ファイルの共有をオフにしているか?
 4.ゲストアカウントはオフになっているか?
 5.アップデートを行っているか?
です.

方法をご存じの方やアイデアをお持ちの方よろしくお願い致します.

[ メッセージ編集済み 編集者: h2 編集日時 2006-11-25 15:27 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-25 15:32
こんにちわ.

ルールを定めればよろしいのでは?
引用:

h2さんの書き込み (2006-11-25 15:26) より:

現在,Windows XPまたはWindows 2003 Serverで構成されるネットワークをワークグループで運用しています.
そもそもドメインを用いて管理すればよいのですが,研究用PCがメインなため管理者権限が必要になる作業も多く断念しました.

Active Directory に所属しても local の管理者権限を持つ
user account で logon すればよろしいのでは?
そうすれば
・user は local の Windows だけに対して管理権限を持つ
・domain 管理者は domain と local 双方に管理権限を持つ
ことになります.
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2006-11-25 15:41
ご返答ありがとうございます.

引用:

kazさんの書き込み (2006-11-25 15:32) より:
ルールを定めればよろしいのでは?
Active Directory に所属しても local の管理者権限を持つ
user account で logon すればよろしいのでは?
そうすれば
・user は local の Windows だけに対して管理権限を持つ
・domain 管理者は domain と local 双方に管理権限を持つ
ことになります.


ADの理解が不十分なのだと思いますが,local の管理者権限を与えても,研究用PCは頻繁に再インストール,入れ替え,台数の追加などがあるので,その度にドメインへ参加するためにドメインの管理者の手がかかってしまうのではないかと心配です.
この問題も上手く解決できるのでしょうか?

ue
ぬし
会議室デビュー日: 2005/05/07
投稿数: 581
お住まい・勤務地: 広島市
投稿日時: 2006-11-25 16:34
こんにちは。

引用:

h2さんの書き込み (2006-11-25 15:26) より:

確認したいことは,
 1.ルールに従ったワークグループ名とコンピュータ名にしているか?
 2.NBTをオフにしているか?
 3.簡易ファイルの共有をオフにしているか?
 4.ゲストアカウントはオフになっているか?
 5.アップデートを行っているか?
です.

1. と 4. と 5. については例えば Microsoft Baseline Security Analyzer (MBSA) を使用してチェックすることが可能です。
ただ、MBSA は NBT が有効になっていない Windows をリモートスキャンすることができなかった気がします。
NBT が無効になっていることが前提の環境では各々の Windows に MBSA をインストールしてローカルスキャンする必要があるかもしれません。

2. の NBT については、WMI を利用してスクリプトでチェックする方法があります。
Win32_NetworkAdapterConfiguration クラスの TcpipNetbiosOptions プロパティを読み取ります。
値が 2 なら NBT は無効になっています。
コード:
strComputer = "."

Set objWMIService = GetObject("winmgmts:\\\\" & strComputer & "\\root\\cimv2")

Set colNetAdapters = objWMIService.ExecQuery _
    ("Select * from Win32_NetworkAdapterConfiguration where IPEnabled=TRUE")
 
For Each objNetAdapter In colNetAdapters
    msgbox objNetAdapter.TcpipNetbiosOptions
Next


3. の簡易ファイルの共有について guest アカウントが有効になってしまう問題を心配しておられるのであれば、MBSA には guest アカウントをチェックする機能がありますからそちらで代用できると思います。


引用:

h2さんの書き込み (2006-11-25 15:41) より:

ADの理解が不十分なのだと思いますが,local の管理者権限を与えても,研究用PCは頻繁に再インストール,入れ替え,台数の追加などがあるので,その度にドメインへ参加するためにドメインの管理者の手がかかってしまうのではないかと心配です.

ドメイン上の Authenticated Users グループには既定で ドメインにワークステーションを追加 というユーザー権利が割り当てられています。
管理者の手を煩わすことにはなりにくいです。
_________________
上本亮介 (ue) @ わんくま同盟
Microsoft MVP for VSTO (Jul 2008 - Jun 2009)
Hello Another World!
.NET 勉強会 / ヒーロー島
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2006-11-25 23:23
ueさん,詳細なご返答ありがとうございます.
MBSAは早速インストールして確認してみたいと思います.
NBTが有効になっていないとリモートスキャンすることができない点ですが,
DDNSを使用しており,CIFSを使えば特に問題ないと思っていただけで,実は積極的にNBTをオフにする理由はありません.
この点に関してもご意見を頂けたら幸いです.

WMIに関してはまったく知らないのですが,この機会に勉強して,教えて頂いたスクリプトも試してみたいと思います.

簡易ファイルの共有についてよくわかっていないのですが,guestアカウントが無効であれば誰でもアクセスできる可能性については心配しないでよいのでしょうか?
PCの持ち主以外は共有フォルダにアクセスできないようにさせたいので,簡易ファイルの共有をオフにして,everyoneのアクセス権を削除するようにしていました.
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2006-11-26 06:45
教えて頂いたMBSAを試してみたところ,思っていたとおりのことができました.
ありがとうございます.
ですが,各マシンへのログオンアカウントが必要になるようで,個々のユーザがPCを管理しているワークグループ環境でリモートからの監査は難しそうです.
WMIでコンピュータ名を取得するなど少し勉強してみましたが,アカウントのないPCから情報を得ることは出来ませんでした.
コンピュータ名だけなら何とかなるのかもしれませんが,それ以上はドメインが必要になりそうです.

正直,ドメインに関する知識に自信がないこともあり,できることとできないことの判断がつかず,移行に二の足を踏んでいる状況です.

現在の環境では,ファイルサーバのみドメインを用いて管理しており,研究員のPCは各自が自由にPCをセットアップやソフトウェアのインストールができるようにワークグループで運用しております.

目的は,先述の最低限のセキュリティポリシーを守っているか監視することなのですが,ドメインを用いても,現在とほぼ同様の環境が実現可能なのでしょうか?

具体的には,

 1.ドメインに属する2台のPCに同じアカウントで同時ログインできるのか?

 2.研究員がドメインに参加させたPCのlocalの管理者権限を,管理者にとどけることなく(自動的に)得られるのか?

 3.ドメインでポリシーを適用したPCの設定をlocalの管理者権限で上書きできるのか?

 4.ドメインへのPCの参加は各研究員のアカウントをAuthenticated Usersにするとして,参加させられる台数などに制限はないのか?


といった点が,気になります.
お手数ですが,ご教授頂ければ幸いです.
 
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-26 16:42
こんにちわ.

「とりあえず教えてください」ではなく,
「とりあえずやってみたけどわからない箇所があるので教えてください」
であるべきだと思いますよ.
引用:

h2さんの書き込み (2006-11-26 06:45) より:

現在の環境では,ファイルサーバのみドメインを用いて管理しており,研究員のPCは各自が自由にPCをセットアップやソフトウェアのインストールができるようにワークグループで運用しております.

目的は,先述の最低限のセキュリティポリシーを守っているか監視することなのですが,ドメインを用いても,現在とほぼ同様の環境が実現可能なのでしょうか?

それらを実現できる手段として,
前述したとおり Active Directory をお奨めしている次第です.
引用:

 1.ドメインに属する2台のPCに同じアカウントで同時ログインできるのか?

できます.
「同じ」の意味がおそらく複数ありますので,
その点で具体的に「どのような意味で同じか?」はあえて言及しませんが.
引用:

 2.研究員がドメインに参加させたPCのlocalの管理者権限を,管理者にとどけることなく(自動的に)得られるのか?

Active Directory に参加するにあたって local の管理者権限が必要です.
ですのでその時点で要件を満たしていると思いますが?
local の Administrator と domain の Administrator は同じではありません.
引用:

 3.ドメインでポリシーを適用したPCの設定をlocalの管理者権限で上書きできるのか?

話の流れから local の管理者の方が上位にあるのだと理解しています.
ですので domain policy による管理は馴染まないと思います.
それでも敢えて domain policy での管理を実現したいなら可能ですが,
policy の適用順序などを把握して理解してから設計する必要があるでしょう.
一般的には Active Directory 側の policy は
local の policy より優先されます.
ですので,local の policy と confrict しない domain policy の内容を
検討すればよいだけでしょう.
※それほど重要な内容とは思えませんが.
引用:

 4.ドメインへのPCの参加は各研究員のアカウントをAuthenticated Usersにするとして,参加させられる台数などに制限はないのか?

そこもご自分で少しは調べたら如何でしょう?
ここでも何度か話題になっていたと記憶していますし.

「local 側で勝手に管理したい」というなら,
然るべく権限に責任を追わせてそれぞれ研究する方々に委ねては如何ですか?
それとも「好き勝手やりたいけど責任は取らないよ」という
子供じみた方々ばかりなのでしょうか?
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2006-11-26 17:36
こんにちは,ご返答ありがとうございます

ご指摘はごもっともなのですが,テストをしてみるにも実働環境で行うのは万が一の時に問題になりますので,要求事項が実現できるなら,予算を申請して2003 Serverを購入して取りかかろうと思っている次第です.

引用:

引用:

 1.ドメインに属する2台のPCに同じアカウントで同時ログインできるのか?

できます.
「同じ」の意味がおそらく複数ありますので,
その点で具体的に「どのような意味で同じか?」はあえて言及しませんが.

「同じ」アカウントで同時ログオンとは,AD上の1つのユーザアカウントで2台のPCに同時ログオンという意味です.
こちらも現在のADのクライアントがファイルサーバ1台のみのため,試せない状況です.

引用:

引用:

 2.研究員がドメインに参加させたPCのlocalの管理者権限を,管理者にとどけることなく(自動的に)得られるのか?

Active Directory に参加するにあたって localの管理者権限が必要です.
ですのでその時点で要件を満たしていると思いますが?
local の Administrator と domain の Administrator は同じではありません.

こちらの件なのですが,以前ADで構築テストを行った際,Domain Usersの権限でクライアントPCドメインに参加させたところ,PCにソフトウェアをインストールするなどの際にに管理者権限が必要でした.
ドメインに参加するには,localの管理者権限が必要とのことですが,Domain Usersはlocalの管理者権限を持っていないのに追加できると言うことなのでしょうか?
大分WEB,書籍等で調べてたのですが,調べ方が悪いのか詳しい説明が見あたらずドメイン運用を断念した背景があります.

引用:

引用:

 4.ドメインへのPCの参加は各研究員のアカウントをAuthenticated Usersにするとして,参加させられる台数などに制限はないのか?

そこもご自分で少しは調べたら如何でしょう?
ここでも何度か話題になっていたと記憶していますし.


http://support.microsoft.com/kb/418312/ja
「管理者は新しいコンピュータオブジェクトを作成した際に、そのコンピュータをドメインに参加させる権限をユーザーやグループに与えることができます。デフォルトでは、 Authenticated Users グループに対してこの権限が設定されています。」
という記述があったので,Domain Usersがクライアントをドメインに参加させられるのが10台までに制限されているように,Authenticated Usersであっても10台以上はドメインの管理者にコンピュータオブジェクトを作成してもらわないといけないのかと思い質問させて頂きました.

本来ならルールを決めて各自に任せたいところなのですが,PCの台数が多く,入れ替えが頻繁にあるため,アップデート忘れなどを通知できるようにしたいと思っています.

いろいろとお尋ねするばかりで申し訳ありません.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)