- - PR -
コンピュータ及びファイル共有の非表示
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-11-26 15:40
ActiveDirectory初心者です。
現在ActiveDirectoryを利用してドメイン環境を作成し、ユーザはファイル共有を自由に(EveryOneで)行えるようにしてきましたが、諸事情により別ドメインと信頼関係を結ぶ必要が出てきました。 別ドメインユーザは、利用出来るコンピュータ及びファイルを制限したいと考えているのですがActiveDirectoryの機能で簡単に制限を掛ける方法がないでしょうか。 ドメインの異なるPC間のファイル共有利用が発生する予定ですが、エンドユーザに利用制限を設定させることが難しいのでクラインアント上は、EveryOne設定とさせサーバ(ActiveDirectory)で簡単に制限を掛ける方法を探しています。 また、他ユーザが誤って操作をしないように出来ればユーザまたは、コンピュータによってマイネットワークから発見出来るコンピュータまたは、ファイルを制限する機能等があれば教えて頂きたくお願い致します。 _________________ | ||||||||
|
投稿日時: 2007-11-26 16:06
Everyoneではなく、DomainUsersに許可与えるように変更すればいいだけです。 元々使われてた自ドメインのユーザはすべて含まれます。
誤って操作されては困るものに許可与えてる時点で どうにもなりません。 何を操作されては困るのかを明確にする、 ちゃんとアクセス権設計をするのが先です。 ユーザから見て容易にできるかどうかは、 ユーザのグループ化と、想定される用途ごとにアクセス権を付与した 共有フォルダを準備することでしょう。 ある程度ユーザに合わせてもらう必要もあります。 先にゆるいルールからはじめれば、利便性は高いですが、 管理や制限を放棄してる状態です。 そこから高いセキュリティかけるのは、設計以上に ユーザの同意得るのが大変でしょうね。 | ||||||||
|
投稿日時: 2007-11-26 16:27
Mattun様回答ありがとうございます。
ご回答の内容は良く分かるのですが、現在既にエンドユーザは個々のPCで共有(EveryOne)利用をしており、今回を契機としてエンドユーザにユーザ管理を徹底という話はユーザレベル的に難しいです。また、管理者が全てのPCの共有フォルダを管理する事も難しい為、PC側の設定を変える事なく、他ドメインからのアクセスのみActiveDirectoryで制御を掛ける手段がないかと検討しています。 ユーザまたは、コンピュータのグループ別にアサイン出来るコンピュータ・フォルダを制限する等・・・虫が良い話なのかも知れませんが。 _________________ | ||||||||
|
投稿日時: 2007-11-27 16:03
Everyoneは認証済みアカウントすべてを含みます。
「認証済み」は、ドメインから見た場合、自ドメインおよび その信頼するドメインに認証された、という位置づけです。 なので、そのままの利用状況じゃ、結んだ信頼関係を使えないように するくらいしかできんでしょう。 なら信頼関係結ばない方がマシですね。 ここに好き勝手にクライアントでファイル共有させてる状況のまま 制御しようってのがどだい無理があるんです。 ファイルサーバへの集約を前提に、コントロールできる状態にしないと。 | ||||||||
|
投稿日時: 2007-11-27 16:37
ActiveDirectoryの機能では無いですが
クライアントPCにアクセスさせたくないのであれば ルータでフィルタを掛ける方が早いかと....。 | ||||||||
|
投稿日時: 2007-11-28 09:56
回答ありがとうございました。
今までエンドユーザが自由に利用出来るようにしていたのですが、突然他(ドメイン)との利用を行う必要が出てきた為、良い方法がないか検討していました。 セキュリティの観点も含めドメイン構成を検討します。 _________________ | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。