none
ADのグループポリシーの設定 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    ADのグループポリシーの設定で、以下の2つの設定をしたいと考えております。
    ※OSはWindows Server 2012 R2 です。

    ①ローカルアカウントでログイン時にWindows ファイアウォールの設定を変更させない。
    ②特定の共有フォルダ(共有名:\\test.pc)のみにしかアクセスできなくする。

    上記の設定をするにはそれぞれ何を設定したらよいのか、ご教示頂けますでしょうか。
    また、出来ないのであれば、他の方法についてもお願い致します。

    よろしくお願い致します。

    2016年10月19日 9:23
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    直接的な回答できないですが、アドバイスが得やすくなるよう以下の点をはっきりさせた方が良いでしょう。

    (1) については AD ユーザーで適切な権限 (Domain Admins など) を持っていれば設定変更が可能、ローカル ユーザーは一律禁止ということをしたいのでしょうか。
    その場合、ローカル ユーザーはローカル コンピューターに対してどのような権限を持つよう想定 (または構成) されているのでしょう。

    (2) についてはグループ ポリシーではなく公開されている共有フォルダーのアクセス制御で構成する方が一般的だと思いますが、それができない理由などあるのでしょうか。

    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年10月27日 2:24
    • 回答としてマーク 佐伯玲 2016年11月4日 2:41
    2016年10月20日 4:10
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    ①はローカルアカウントにGPOを当てたいのか当てたくないのか文面から分かりません。

    当てたいならファイアウォールのGPOは

    コンピュータアカウントに適用するものですのでそのまま当てればOKです。

    当てたくないならループバックでファイアウォールのGPOを

    ユーザーアカウントに適用させることになります。

    ②はHebikuzure様と同意見ですが、

    文面そのままの意味で

    「test.pcというコンピューターのみにあらゆるアクセスを制限する」という意図なら

    ネットワーク機器で論理的にポートアクセス制限するか(端末移動がない場合)

    ファイアウォールで共有フォルダのポートをふさぐことになる(端末移動がある場合)かと思いますが、

    別のソフト等でこのポートを使用しているかも知れませんので

    運用に支障が出るかもしれません。

    共有フォルダーと Windows ファイアウォールとは

    • 回答の候補に設定 佐伯玲 2016年10月27日 2:24
    • 回答としてマーク 佐伯玲 2016年11月4日 2:41
    2016年10月25日 1:30
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    直接的な回答できないですが、アドバイスが得やすくなるよう以下の点をはっきりさせた方が良いでしょう。

    (1) については AD ユーザーで適切な権限 (Domain Admins など) を持っていれば設定変更が可能、ローカル ユーザーは一律禁止ということをしたいのでしょうか。
    その場合、ローカル ユーザーはローカル コンピューターに対してどのような権限を持つよう想定 (または構成) されているのでしょう。

    (2) についてはグループ ポリシーではなく公開されている共有フォルダーのアクセス制御で構成する方が一般的だと思いますが、それができない理由などあるのでしょうか。

    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年10月27日 2:24
    • 回答としてマーク 佐伯玲 2016年11月4日 2:41
    2016年10月20日 4:10
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    ①はローカルアカウントにGPOを当てたいのか当てたくないのか文面から分かりません。

    当てたいならファイアウォールのGPOは

    コンピュータアカウントに適用するものですのでそのまま当てればOKです。

    当てたくないならループバックでファイアウォールのGPOを

    ユーザーアカウントに適用させることになります。

    ②はHebikuzure様と同意見ですが、

    文面そのままの意味で

    「test.pcというコンピューターのみにあらゆるアクセスを制限する」という意図なら

    ネットワーク機器で論理的にポートアクセス制限するか(端末移動がない場合)

    ファイアウォールで共有フォルダのポートをふさぐことになる(端末移動がある場合)かと思いますが、

    別のソフト等でこのポートを使用しているかも知れませんので

    運用に支障が出るかもしれません。

    共有フォルダーと Windows ファイアウォールとは

    • 回答の候補に設定 佐伯玲 2016年10月27日 2:24
    • 回答としてマーク 佐伯玲 2016年11月4日 2:41
    2016年10月25日 1:30
    |