none
特定の端末から特定のフォルダへのアクセス拒否について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    特定の端末から特定のフォルダへのアクセス拒否について

    共有フォルダー内の、特定のフォルダーへ動的にアクセス制御を行いたいと考えております。

    現在の対応策として、VDI端末のOSログオンのタイミングでWindowsサーバ上のバッチを起動し、対象のフォルダへログインユーザ単位の拒否ACL設定をしておりますが、フォルダ内にサブフォルダやファイルが数万個もあるものがありACL更新に3分以上かかる場合があります。

    今問題となっているのは、
    ・大量のファイルやサブフォルダーが有るフォルダーでは、ログオン直後ACL設定が完了するまでアクセス拒否したいのに見えてしまう事。
    ・一件の拒否設定更新中に同じフォルダへ別のユーザの拒否設定を追加しようとしたところ、先に開始したバッチのユーザの権限が上書きされ、後から起動したバッチのユーザしか拒否設定が残らない事。
     ACL更新には、Powershellスクリプトから Get-Acl ~ AddAccessRule/PurgeAccessRules ~ Set-Acl で行っています。
     icacls コマンドでも試しましたが、同様の問題が発生しました。

    上記問題点について、何か解決策や別の実現方法をお持ちでしたら、アドバイスいただけると助かります。

    端末の特定は、いずれもWindows PCからのアクセスとなりますので、IPアドレス範囲で識別しています。
    他に、基本的には VDI端末からのアクセスは拒否ですが、許可されたユーザのみ拒否設定しないという例外もあり、これは上記バッチをサーバ側アプリで制御することで実現できています。

    他に検討・試行した対応策
    ・拒否グループを設定しておいて、拒否端末にログインしたユーザをメンバ追加する方法。
     この方法だと瞬時に設定変更可能ですが、ログオンのタイミングでバッチが走るため、反映には再ログオンが必要。
     ログオフで拒否解除バッチが走るためNG。

    環境は
    認証サーバ:Samba4AD(PDC) + Windows Server 2008R2(BDC,ここでACL設定バッチを実行しています)
    ファイルサーバ:独自OS搭載のNAS(NTFS/CIFSプロトコル接続、ドメイン認証)
    許可する端末:LAN内の物理PC(Windows Vista以降、ワークグループ認証)
    拒否する端末:モバイル端末からログオンした VDI端末(VMware Horizon上のWindows7、ドメイン認証)
     上記の両方を使用するユーザが存在しますが、同時使用は運用ルールで禁止としました。

    以上、よろしくお願いします。

    2015年9月16日 10:29
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    Windows の ACL はユーザー ベースなので、ご希望の動作の実現は難しいように思います。

    WAF のようにアプリケーション レイヤーで特定のネットワーク トラフィックをブロックするような仕組みでないと無理かも。

    hebikuzure

    • 回答の候補に設定 佐伯玲 2015年9月18日 1:37
    • 回答としてマーク 佐伯玲 2015年10月1日 1:49
    2015年9月17日 12:09
    |