none
WindowsServer2008R2をファイルサーバーとして使っている時に、EFSで暗号化されたファイルを保存できなくしたい RRS feed

  • 質問

  • お世話になります。

    WindowsServer2008R2をファイルサーバーとして使っております。ノートPCの特定フォルダを暗号化して運用しておりますが、暗号化解除せずにファイルサーバーにファイルをコピーしてほかのユーザーが開けないトラブルが多く困っております。ファイルサーバーに暗号化されたファイルをコピーできなくする、もしくは、自動的に暗号化解除される方法はありますでしょうか?確か、WindowsServer2003ですと、レジストリを変更することでそのような動きになったと認識しているのですが、WindowsServer2008で探したのですが見つけることができませんでした。よろしくお願いいたします。

    寺田

    • 移動 Jundan Wu 2012年10月3日 17:13 (移動元:Windows Server 2008 R2 全般)
    2011年3月1日 11:23

回答

  • 一番簡単な方法は(そのドメインのすべてのコンピュータで暗号化を禁止するには)

    ドメインコントローラで「サーバーマネージャ」を立ち上げ機能の追加で「グループポリシーの管理」の機能を追加したあと「グループポリシーの管理」を立ち上げ

    「ドメイン(xxx.comなど)」のしたに新しいポリシーを作成・リンクして編集(Default Domain policyのしたに作成)」

    コンピュータの構成-ポリシー-Windows の設定-セキュリティの設定-公開キーのポリシー-ファイルシステムの暗号化(を右クリックし[プロパティ(P)])-許可しない(D)

     

    クライアントコンピュータではグループポリシーが適用されるまで少し時間がかかりますので、

    コマンドプロンプトを立ち上げ

    >GPUPDATE /FORCE

    と叩いてください。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2011年3月3日 11:17

すべての返信

  • >ノートPCの特定フォルダを暗号化して運用しておりますが、暗号化解除せずにファイルサーバーにフ>ァイルをコピーし

    の意味ですが、あるユーザーがあるローカルのクライアントPCで特定フォルダ(ファィル)を暗号化しファィルサーバーへコピーした時に暗号化が解除されずにコピーされ、他のユーザーがネットワーク越しに開けなくなるということですか。

     

    ドメインコントローラをファイルサーバとしている場合はドメインコントローラはActive Directoyユーザーとコンピュータで「委任に対し信頼されている」のでそういうことになります。

     

    ドメインコントローラをファイルサーバとしている場合には、共有フォルダにアクセス権をつけて、ネットワーク経由ではコピーできない(読み取りしかできない)ようにするか、ディスククォータを設定して保存できる容量を制限するなど方法はあると思います。暗号化されたファイルでも管理者なら削除することもできますので。

     

    メンバーサーバーをファイルサーバーとしている場合は「委任に対し信頼されていない」のでローカルのクライアントPCで暗号化されたファィルをコピーしても暗号化は解除されてコピーされますのでご質問のような事で困るというのであればメンバサーバーをファイルサーバーとするべきでしょう。

     

    (訂正)

    Server 2003KBなのですが、ローカルセキュリティポリシーもしくはグループポリシーでEFSを無効にすることもできるようです。したのKBの以下をみてください。

    http://support.microsoft.com/kb/324897/ja

    ローカル コンピュータの EFS を無効にする

    ドメインの EFS を無効にする

     


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2011年3月1日 13:29
  • 書き込みありがとうございます。

    おっしゃる通り、ドメコンとファイルサーバーが兼用になっており、メンバーサーバーでファイルサーバーを作ることは、難しそうです。

    また、教えていただいたKBに記載の方法(レジストリ変更、グループポリシー)を試したのですが、対象サーバー上で暗号化できてしまいます。

    http://support.microsoft.com/kb/324897/ja

    WindowsServer2008でもこの方法が有効なのか?わかりますでしょうか?不躾な質問ですみませんがよろしくお願いいたします

     

    寺田

    2011年3月3日 2:59
  • 一番簡単な方法は(そのドメインのすべてのコンピュータで暗号化を禁止するには)

    ドメインコントローラで「サーバーマネージャ」を立ち上げ機能の追加で「グループポリシーの管理」の機能を追加したあと「グループポリシーの管理」を立ち上げ

    「ドメイン(xxx.comなど)」のしたに新しいポリシーを作成・リンクして編集(Default Domain policyのしたに作成)」

    コンピュータの構成-ポリシー-Windows の設定-セキュリティの設定-公開キーのポリシー-ファイルシステムの暗号化(を右クリックし[プロパティ(P)])-許可しない(D)

     

    クライアントコンピュータではグループポリシーが適用されるまで少し時間がかかりますので、

    コマンドプロンプトを立ち上げ

    >GPUPDATE /FORCE

    と叩いてください。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2011年3月3日 11:17
  • 書き込みが遅くなって申し訳ございません。

    グループポリシーを利用して、暗号化を禁止する設定を対象サーバーのみに適用する事で無事に解決致しました。

    大変助かりました!!どうもありがとうございました。

    2011年3月14日 13:55