none
ワークグループパソコンからのドメイン参加ファイルサーバーへのアクセス拒否 RRS feed

  • 質問

  • ワークグループのパソコンからドメイン参加ファイルサーバーへのアクセスを拒否したいのですが

    手順がわかりません。

    共有をユーザーではなくコンピューター名ですればいいのでしょうか?

    2017年6月26日 15:16

回答

  • ファイルサーバー側で、IPSecの設定をし ADのKerberosまたは事前に定義する共有キーによるセキュリティ認証を行うようにすれば良いかと思われます。

    方法は対象のファイルサーバーのローカルポリシーか、AD上で対象のファイルサーバーにのみ適用されるグループポリシーの「セキュリティの設定」-「Active DirectoryのIPセキュリティポリシー」にて行います。

    2017年6月27日 0:31
  • ファイル共有へのアクセス制御は「コンピューター単位」ではなく「ユーザー単位」で行われます。したがってアクセス可能な資格情報をユーザーが持っていれば、ドメインだろうがワークグループだろうがどんなデバイスからでもアクセスできます。ワークグループのコンピューターからでもファイルサーバーにアクセスした際に尋ねられる資格情報に、ドメインの有効なユーザー情報を入力すればアクセスできるのもそのためです。

    したがってこのようなアクセス制限を行うには、共有リソースに対するアクセス制御ではなく、より下のレイヤ(例えばネットワーク レベル)でのアクセス制御を行う必要があります。Shingo Ishikawa さんが提案されている方法はその一つですので、参考にされると良いでしょう。


    hebikuzure

    2017年6月27日 1:20
  • チャブーンです。

    この件ですが、IPsecを使う必要がある、というのは本当ですが、今現在であれば[IPセキュリティポリシー]を直接使用する必要はありません(Windows 2000の頃はこれが必要でしたが)。

    最近だと、[セキュリティが強化されたWindowsファイアウォール]の[接続セキュリティの規則]から、コンピューター認証での[分離]を行う規則を作成し、それと「対」になる受信の規則(すべての接続において[セキュリティで保護されている場合のみ接続を許可する]を有効にする)をあわせて作成する、という方法で実現できます。

    私の知る限りですが、最近刊行された雑誌(日経NETWORK6月号)のWindows関連の記事(Windowsネットワーク攻略術)にやり方が書いてあった気がするので、気軽に知りたい場合入手されるとよいかもしれませんね。

    http://ec.nikkeibp.co.jp/item/backno/NN0206.html


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2017年6月27日 2:38
    モデレータ

すべての返信

  • ファイルサーバー側で、IPSecの設定をし ADのKerberosまたは事前に定義する共有キーによるセキュリティ認証を行うようにすれば良いかと思われます。

    方法は対象のファイルサーバーのローカルポリシーか、AD上で対象のファイルサーバーにのみ適用されるグループポリシーの「セキュリティの設定」-「Active DirectoryのIPセキュリティポリシー」にて行います。

    2017年6月27日 0:31
  • ファイル共有へのアクセス制御は「コンピューター単位」ではなく「ユーザー単位」で行われます。したがってアクセス可能な資格情報をユーザーが持っていれば、ドメインだろうがワークグループだろうがどんなデバイスからでもアクセスできます。ワークグループのコンピューターからでもファイルサーバーにアクセスした際に尋ねられる資格情報に、ドメインの有効なユーザー情報を入力すればアクセスできるのもそのためです。

    したがってこのようなアクセス制限を行うには、共有リソースに対するアクセス制御ではなく、より下のレイヤ(例えばネットワーク レベル)でのアクセス制御を行う必要があります。Shingo Ishikawa さんが提案されている方法はその一つですので、参考にされると良いでしょう。


    hebikuzure

    2017年6月27日 1:20
  • チャブーンです。

    この件ですが、IPsecを使う必要がある、というのは本当ですが、今現在であれば[IPセキュリティポリシー]を直接使用する必要はありません(Windows 2000の頃はこれが必要でしたが)。

    最近だと、[セキュリティが強化されたWindowsファイアウォール]の[接続セキュリティの規則]から、コンピューター認証での[分離]を行う規則を作成し、それと「対」になる受信の規則(すべての接続において[セキュリティで保護されている場合のみ接続を許可する]を有効にする)をあわせて作成する、という方法で実現できます。

    私の知る限りですが、最近刊行された雑誌(日経NETWORK6月号)のWindows関連の記事(Windowsネットワーク攻略術)にやり方が書いてあった気がするので、気軽に知りたい場合入手されるとよいかもしれませんね。

    http://ec.nikkeibp.co.jp/item/backno/NN0206.html


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2017年6月27日 2:38
    モデレータ
  • フォーラムオペレーターの栗下 望です。
    DATMANIA さん、こんにちは。

    ご質問いただいた内容については、
    その後いかがでしょう?

    Shingo Ishikawa さん、 Hebikuzure aka Murachi Akira さん、チャブーンさんからお寄せいただいた情報が参考になるかと思いましたので私のほうで[回答としてマーク]をさせていただきました。

    [回答としてマーク]は後から外すことも出来ますので、
    ご了承ください。

    状況に進展がありましたらこちらのスレッドにてお知らせいただけると幸いです。

    どうぞよろしくお願いいたします。


    MSDN/TechNet Community Support 栗下 望

    2017年7月3日 5:23
    モデレータ