- PR -

ADドメインへのログオン認証について

1|2 次のページへ»
投稿者投稿内容
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-11-22 07:37
ADドメインへのログオン認証についてわからないことがあり、
投稿させていただきます。

Active Directoryドメインへの物理的なアクセスを制御する
方法ってあるのでしょうか?
例えば、ADドメインとの物理的なネットワーク接続が可能な状態で、
ADアカウントを知ってさえいれば、
実際には、ADに所属していないコンピュータからであっても
簡単にアクセス自体は出来てしまいますし、
それがadmin権限でのアクセスであれば、ファイル削除なども
普通に出来てしまいます。

[ユーザ権利の割り当て]の[ローカルでログオンを拒否する]からの
制御を考えたのですが、ここからではADに登録されている
アカウントしか追加選択が出来ません。

他に、AD外部からのネットワークアクセスを制御する方法を
お知りの方いらっしゃいましたら、
どうかご教授をお願いいたします。



[ メッセージ編集済み 編集者: 未記入 編集日時 2007-11-22 08:45 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-11-22 08:45
おはようございます.
引用:

未記入さんの書き込み (2007-11-22 07:37) より:

Active Directoryドメインへの物理的なアクセスを制御する
方法ってあるのでしょうか?


引用:

他に、AD外部からのネットワークアクセスを制御する方法を
お知りの方いらっしゃいましたら、

物理的に接続できないようにしたいのですか?
それとも論理的に接続できないようにしたいのですか?
前者であれば,別の物理 network にして切り離せばよろしいのでは?
あるいは switch で VLAN を構成して制御してしまうとか.
後者であれば firewall でも導入して NetBIOS 周りを制御すればよいのでは?

「やりたいこと」の説明が薄いと思います.

以上,ご参考までに.
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-11-22 08:57

kazさん

説明不足で申し訳ありません。

こちらの考えている優先順位としては
[物理的な制御]→[論理的な制御]として考えておりました。
ただ、組織上の都合で、同一ネットワークに所属しているという状況は
変更することが出来ず、VLANでの制御も出来ないようなのです。
(同一セグメント上で、特定のIPアドレスのみを制御する方法がVLAN
で可能であれば別なのですが)

また、後者(論理的制御)についても、コスト的な問題で
FireWallの導入も出来ない状況です。
ですので、ADの機能として、ドメイン外のリソースからの
ログオンを制御する方法を模索しております。

ADとしての機能にそのような機能があるのかどうか、
TechNetなどで探してはいるのですが、なかなか辿りつけていない状況です。

もし、何か良い方法があればアドバイスいただけると助かります。

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-11-22 12:45
引用:

未記入さんの書き込み (2007-11-22 08:57) より:

ADとしての機能にそのような機能があるのかどうか、
TechNetなどで探してはいるのですが、なかなか辿りつけていない状況です。

Active Directory の制御下にないものを
Active Directory で制御することはできません.
ですので,技術的には無理だと思います.
そもそも Active Directory で制御する時点で「物理的な制御」ではありませんし.

それから,接続それ自体を制限したいのですか?
それとも通信を制限したいのですか?
接続したあと,file service の利用を制限したいなど,
「接続することが前提」なのか,そもそも「接続すら許さない」なのかわかりません.

Active Directory に参加していない client から
Active Directory の resource を利用できてしまうのですか?
だとすると,その client の user account と
Active Directory 上の user account の password が一致しているからでは?
それを別のものにすれば,通信はできても接続できなくなると思います.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-11-22 12:48
引用:

未記入さんの書き込み (2007-11-22 07:37) より:
ADドメインへのログオン認証についてわからないことがあり、
投稿させていただきます。

Active Directoryドメインへの物理的なアクセスを制御する
方法ってあるのでしょうか?
例えば、ADドメインとの物理的なネットワーク接続が可能な状態で、
ADアカウントを知ってさえいれば、
実際には、ADに所属していないコンピュータからであっても
簡単にアクセス自体は出来てしまいますし、
それがadmin権限でのアクセスであれば、ファイル削除なども
普通に出来てしまいます。

[ユーザ権利の割り当て]の[ローカルでログオンを拒否する]からの
制御を考えたのですが、ここからではADに登録されている
アカウントしか追加選択が出来ません。

他に、AD外部からのネットワークアクセスを制御する方法を
お知りの方いらっしゃいましたら、
どうかご教授をお願いいたします。



[ メッセージ編集済み 編集者: 未記入 編集日時 2007-11-22 08:45 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-11-22 12:51
ADのセキュリティモデルとしては、
ドメインのユーザ認証情報を持ってるかどうかでアクセス制御、
その際ローカルログオンする端末がADに参加してるかどうかは
問わないような感じなんでしょう。
その辺の強制をできるような機能は特に見当たりません。

ドメインのグループポリシーで、ドメインコントローラおよびメンバにおいて
全通信でIPSecを必須にしてしまって、という手で逃げてる例は
聞いたことがあります。
山近
会議室デビュー日: 2003/10/15
投稿数: 6
投稿日時: 2007-11-22 18:36
Windows Firewallや、ファイアウォール機能を持ったセキュリティソフトを使って、外部のPCからの通信を遮断すればよいでしょう。
ドメインコントローラだけでなく、アクセスされる可能性のある全PCに設定する必要がありますが、Windows Firewallのルールはグループポリシーで一斉登録できますね。
_________________
--
K.Yamachika
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-11-23 05:22
いろいろと貴重なアドバイスをいただき有り難うございます。
文章力の無さから、一部上手くこちらの意図を伝えきれていない部分もあり、
大変失礼いたしました。

外部からの「接続それ自体を許さない」という制御を、
AD単独の機能で実現出来る可能性は多分低いとは感じていましたが、
IDとパスワードが外部に漏れてしまった(もしくは盗まれてしまった)
状況を想定しての対応策を、AD単体で考えるのはやはり難しそうですね。

やはりTCP/IPレベルでの物理的な制御を行なう方向で検討させていただきます。

この度は有り難うございました。

1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)