- PR -

domain computer以外からのアクセスを禁止

参照元記事 | 同じ記事を参照しているスレッド一覧
1|2 次のページへ»
投稿者投稿内容
SuZuki
会議室デビュー日: 2003/07/22
投稿数: 9
投稿日時: 2003-07-22 06:41
始めまして。
井上孝司さんのWindows TIPSの2003/01/11付け記事で、
ドメインにログオンしていないクライアントから共有資源にアクセスする
という、domain computer以外からデータにアクセスする方法が紹介されていますが、
これを禁止する方法は無いのでしょうか?
このような状態では”\\IPアドレス¥共有フォルダ名”などのショートカットで
アクセスできてしまいますから、ログオンスクリプトやグループポリシーの対象外と
なってしまいます。これはセキュリティ上、よろしくないと思われるのですが、
どなたかこの問題を解決された方はいらっしゃいますか?
もしいらしたら、対処法を教えていただけないでしょうか?
よろしくお願いします。
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2003-07-22 08:03
1.ドメインにログオンしていないユーザーからのアクセスを禁止
2.ドメインに属していないコンピュータからのアクセスを禁止

のどちらでしょう?
SuZuki
会議室デビュー日: 2003/07/22
投稿数: 9
投稿日時: 2003-07-22 21:49
ななさん、
返答有難うございます。
この場合、2のドメインに属していないPCからのアクセスを禁止する方法です。
正規のユーザーではあるが、こちらで管理していないPCを使用したアクセスを止める
方法を探しています。何かご存知ですか?
SuZuki
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-07-22 22:48
はい、元記事を書いた井上です。

完全な解決策とはいえませんが、Domain Computers グループにのみ
アクセスを許可すれば、ドメインに参加していないコンピュータから
のアクセスを阻止できます。このグループは、すべてのドメイン コ
ントローラと、ドメインにアカウントを持った上で参加しているすべ
ての NT 系 OS が稼動するコンピュータが、自動的に所属します。

ただし問題は、これ以外のユーザー/グループに対してもアクセスを
許可した場合です。複数のユーザー/グループに対するアクセス権競
合解決のメカニズムにより、コンピュータについてはアクセスが拒否
されても、一緒にアクセスが許可されたユーザー/グループの側で、
アクセスが許可されてしまう可能性があります。

_________________
www.kojii.net

[ メッセージ編集済み 編集者: 井上孝司 編集日時 2003-07-23 00:32 ]
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2003-07-23 08:15
> 複数のユーザー/グループに対するアクセス権競
> 合解決のメカニズムにより、コンピュータについてはアクセスが拒否
> されても、一緒にアクセスが許可されたユーザー/グループの側で、
> アクセスが許可されてしまう可能性があります。

1.ファイル共有のアクセス権に、Domain Computersフルコントロールを付与する。
2.フォルダのアクセス権に、グループやユーザーのアクセス制御を付与する。

といった運用にしてはどうでしょう?

# フォルダのアクセス権をゆるゆるにしても、ファイル共有で接続された場合は、
# ファイル共有のアクセス権以上は付与されなかったと思います。
SuZuki
会議室デビュー日: 2003/07/22
投稿数: 9
投稿日時: 2003-07-24 03:55
井上さん、ななさん、
返答有難うございます。大変参考になります。
domain computerアカウントの使用をトライしたのですが、アクセスが失敗してしまいます。

状況は、windows2000proとwindows2000serverをクロスケープルで直結し、
2台のPCでドメインを作っているのですが、
共有フォルダの
ファイル共有のアクセス権、またはNTFSセキュリティのどちらかで、
domain computerだけ を指定すると"アクセスが拒否されました”というエラーが出て
アクセスが拒否されてしまいます。

何かが抜けているのだと思うのですが、わかりません。
また、各コンピュータアカウントと各ユーザーのアクセス権の関連も
いまひとつあいまいなのですが、なにかアドバイスいただけますか?
よろしくお願いします。

なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2003-07-24 08:28
> domain computerだけ を指定すると"アクセスが拒否されました”というエラーが出て
> アクセスが拒否されてしまいます。

たしかにできませんでした...失礼しました。

試したいので、そちらの状況をもう少し教えていただけませんか?

Q1.ドメインコントローラでファイル共有していますか? それとも、メンバサーバーでしょうか?
Q2.クライアントでログオンしているユーザーは、Domain Usersに属していますか?
Q3.Active Directoryユーザーとコンピュータのツリーに対して、特別にアクセス権を設定していますか? (標準のもののアクセスを制限したとか。)
SuZuki
会議室デビュー日: 2003/07/22
投稿数: 9
投稿日時: 2003-07-25 22:17
ななさん、ありがとうございます。
いまの実験環境はこのようになっております。
Q1.ドメインコントローラでファイル共有しています。
Q2.ユーザーはdomain usersに属しています。
Q3.特別なアクセス権は指定しておりません。
domain computersという規定のグループをさらにusersというグループの
メンバーにしてみたのですがダメでした。
でもこの辺がカギかもしれないですね。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)