none
Active Directoryに格納されているユーザ情報の隠匿について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Active Directoryについて質問させていただきます。

    Windows Server 2012R2でActive Directoryを使用しておりますが、
    クライアントからのユーザ情報検索の無効化を検討しています。

    具体的には、[エクスプローラ] の左ペインで「ネットワーク」を開き、
    さらにメニューバーの「Active Directory の検索」ボタンをクリックすると
    「ユーザー、連絡先およびグループ」ダイアログが表示されますが、
    以下のようにできないか検討しています。

    第1希望:「Active Directory の検索」を表示させない。
    第2希望:「ユーザー、連絡先およびグループ」ダイアログを表示させない。
    第3希望:「ユーザー、連絡先およびグループ」ダイアログでユーザ検索をしても、
         ユーザ情報を表示させない。

    上記を実現するためにいい方法があればご教授いただけると幸いです。

    2018年4月19日 1:33
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、「Active Directoryの検索」項目ですが、項目そのものを表示させたくない、という場合、エクスプローラーの該当モジュールの表示項目を強引に隠す、しかないと思いますが、この項目はエクスプローラー標準のため、直せるかどうかはわかりません。

    それでもよければ、したのページに書いてある「Brent Hu」の回答に、該当項目を非表示にするレジストリに関する情報がありますので、参考にしてみてください。

    https://social.technet.microsoft.com/Forums/sharepoint/en-US/031f315c-8db3-433b-a94d-e87f5a86b3e7/disabling-active-directory-search-tool?forum=winserverGP

    ちなみに、Active Directoryの検索画面を実行させたくない、という場合、呼び出しのコマンドは以下ですので、それを実行させないよう、ソフトウェアの制限ポリシーなどを設定するとよいのではないでしょうか。

    Rundll32.exe dsquery.dll OpenQueryWindow
    上記2つがうまくいかない場合は、Active Directoryのオブジェクトのアクセス許可で、オブジェクトや各属性データ(プロパティ)の読み取りをDomain UsersではなくSelf(自分自身)だけが読めるように変更するといいのではないでしょうか。自分も含めて全員が読めないと、自分のアカウントでログオンする時自分自身のアカウント情報が読めず、ログオンできませんので注意してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年4月22日 9:11
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    フォーラム オペレーターの栗下 望です。
    マットンさん、こんにちは。

    Microsoft コミュニティにて以下同様の投稿をいただいておりますでしょうか?

    ・Active Directoryに格納されているユーザ情報の隠匿について
    https://answers.microsoft.com/ja-jp/windows/forum/windows_10-security/active/2ca5388c-0798-44de-b7ab-65a086c6ba74

    同様のスレッドを複数箇所で投稿されますと、
    情報が分散してしまい、解決後も回答者が調査を続行してしまったりなどの可能性が生じてしまいますので、
    どちらかのスレッドに絞っての質問の継続をお願いいたします。
    (今回の質問の場合は Microsoft コミュニティよりも TechNet フォーラムのほうが情報が集まりやすいのではと思います)

    以下はフォーラム利用時の注意点のお知らせです。
    ※初めてご投稿された方を対象にお知らせしています。

    ご利用の際は、下記内容をお守りいただきますと
    情報が寄せられやすくなりますので、ぜひご一読ください。

    ・フォーラムでご質問頂くにあたっての注意点
    ・フォーラムのご利用方法(質問の投稿)について
    ・フォーラムへの回答に関するガイドラインおよびフォーラム運営について(再掲)
    ご意見、ご要望はこちらのフォーラムまで。

    また、 Technet フォーラムは IT 技術者向けのフォーラムとなります。
    個人でご利用の問題の場合は、 Microsoft コミュニティに投稿してくださいね。
    各種設定方法はフォーラム内を [かんたん フォーラム ガイド] で検索してみてください。

    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年4月19日 1:54
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    栗下さん

    ご指摘ありがとうございます。

     Microsoft コミュニティの質問については削除いたしました。

    2018年4月19日 2:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラム オペレーターの栗下です。

    早々のご対応ありがとうございます。
    フォーラム ユーザーが情報をお持ちであればお寄せいただけるかと思いますので、
    お待ちいただければ幸いです。

    どうぞよろしくお願いいたします。

    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年4月19日 2:05
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、「Active Directoryの検索」項目ですが、項目そのものを表示させたくない、という場合、エクスプローラーの該当モジュールの表示項目を強引に隠す、しかないと思いますが、この項目はエクスプローラー標準のため、直せるかどうかはわかりません。

    それでもよければ、したのページに書いてある「Brent Hu」の回答に、該当項目を非表示にするレジストリに関する情報がありますので、参考にしてみてください。

    https://social.technet.microsoft.com/Forums/sharepoint/en-US/031f315c-8db3-433b-a94d-e87f5a86b3e7/disabling-active-directory-search-tool?forum=winserverGP

    ちなみに、Active Directoryの検索画面を実行させたくない、という場合、呼び出しのコマンドは以下ですので、それを実行させないよう、ソフトウェアの制限ポリシーなどを設定するとよいのではないでしょうか。

    Rundll32.exe dsquery.dll OpenQueryWindow
    上記2つがうまくいかない場合は、Active Directoryのオブジェクトのアクセス許可で、オブジェクトや各属性データ(プロパティ)の読み取りをDomain UsersではなくSelf(自分自身)だけが読めるように変更するといいのではないでしょうか。自分も含めて全員が読めないと、自分のアカウントでログオンする時自分自身のアカウント情報が読めず、ログオンできませんので注意してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年4月22日 9:11
    |
    モデレータ