- PR -

グループポリシーでWindowsファイアウォールの設定をしていますが・・・

1
投稿者投稿内容
未記入
会議室デビュー日: 2005/03/02
投稿数: 10
投稿日時: 2006-12-21 10:21
いつもお世話になっております。

グループポリシーにてクライアントPCのWindowsファイアウォールを制御する設定を以下のようにしています。

[ドメインプロファイル]ネットワーク接続の保護:有効
[標準プロファイル]  ネットワーク接続の保護:無効

上記設定で、クライアントPCにて動作の確認をしたところ、社内LAN接続状態では
FWが無効、LANケーブルを外すとFW有効となり、モバイルカードで社内への接続を
行った場合もFWが有効となっていて意図した通りの動作となっているので良いの
ですが、試しに社内LANに繋がっていないHUBからLANケーブルを延ばし、PCに
繋げてみたところ、FWが無効となってしまうのです。

この動作をしてしまうと、ホテルのLANや自宅のLANに接続した際にもFWが無効と
なってしまうということですよね?

FWの設定について、下記のような説明文を見たので、LANケーブルを挿しただけで
無効となってしまう動作が不可解なのです。
=====================================
ドメインプロファイルはActive Directoryに接続できる時、つまり、社内ネット
ワークに接続出来る時にWindowsファイアウォールの動きを決める項目である。
一方、標準プロファイルはActive Directoryに接続出来ない時、つまり、
コンピュータ自体はドメインに参加しているが、ノートPCを社内ネットワークから
外し、ログインした時にどのような動きをさせるかを決める項目である。
=====================================

このような動作についておわかりの方がいましたら、是非ご教授頂ければと思い
ますので、宜しくお願い致します。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-21 11:17
こんにちは。

引用:

未記入さんの書き込み (2006-12-21 10:21) より:

FWの設定について、下記のような説明文を見たので、LANケーブルを挿しただけで
無効となってしまう動作が不可解なのです。

ドメインログオンのキャッシュ設定による動作です。
うろ覚えですが、確かdefaultで10だったと記憶してますので、これを0に変えること
でご希望の動作になると思われます。
未記入
会議室デビュー日: 2005/03/02
投稿数: 10
投稿日時: 2006-12-21 14:46
BackDoor様、ありがとうございます。

確かにキャッシュ設定のデフォルト値が10となっていました。

しかし、これを0にすると、社外にPCを持ち出した際は、ドメインユーザー
でのログオンが出来なくなると記載がありました。

モバイルPCを社外に持ち出した場合でも、ドメインユーザーでログインし、
社外ネットワーク(ホテルや無線LANなど)に接続した際は、WindowsFWを有効に
するということをするのは無理なのでしょうか。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-21 15:13
引用:

未記入さんの書き込み (2006-12-21 14:46) より:

しかし、これを0にすると、社外にPCを持ち出した際は、ドメインユーザーでのログオンが出来なくなると記載がありました。

その通りです。従って社外に持ち出した時にはローカルログオンに切替える
ことになります。OSが立ち上がってからRAS接続し、ドメインログオンする
運用になるはずです。

引用:

モバイルPCを社外に持ち出した場合でも、ドメインユーザーでログインし、社外ネットワーク(ホテルや無線LANなど)に接続した際は、WindowsFWを有効にするということをするのは無理なのでしょうか。

無理だと思います。外部に持ち出す可能性のあるPCには、それなりのローカル
ユーザを定義しておくべきかと思いますが・・・。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-21 15:26
ちなみに、ウチの運用ではモバイルPCのWindowsファイヤウォールは立ち上げて
いません。ドメインログオンのキャッシュ設定もDefaultのままです。

Virus感染は対策ソフトによる対応で、フォルダ等の共有設定はドメインポリシー
でできなくしてあります。
ある程度、運用でカバーするしかないかと思いますね。
未記入
会議室デビュー日: 2005/03/02
投稿数: 10
投稿日時: 2006-12-21 16:47
BackDoor様、ありがとうございます。

実は、モバイルPC利用の運用で、社内で使用する場合は、本当のFWがあり、
そこでブロックしていると思うが、社外で無線LANなどで接続する場合は、
一般のインターネット回線に繋がっているわけで、セキュリティ上低くなる、
そこの対応方法として何があるかということで、今回のWindowsFWの設定を
調べていたわけです。

何とか運用でカバー出来る方法を模索したいと思います。
えっぴ
会議室デビュー日: 2006/12/22
投稿数: 3
お住まい・勤務地: 人口島
投稿日時: 2006-12-22 13:49
DNSサフィックスを手動で設定してたりしていませんか?

ネットワーク関連のグループ ポリシー設定におけるネットワークの決定動作
http://www.microsoft.com/japan/technet/community/columns/cableguy/cg0504.mspx

このあたりが参考になれば幸いかと。
1

スキルアップ/キャリアアップ(JOB@IT)