- 締切済み
NTFSアクセス権の設定に関して
現在Windows2003ServerにてActiveDirectoryを構築、 WindowsXP SP1クライアント数台で運用しています。 DC上に共有フォルダー(業務F)を作成しました。 Administrators --F Domain Admins --F System --F 開発グループ--F Users -- RW で設定しています。 この設定だとすべてのXPクライアントからフォルダーへ アクセス・書き込み出来てしまっています。 この内容を以下の条件に合うように設定したいと考えています。上から優先度高です 条件1、フォルダーへアクセスできる[クライアント]を限定 条件2、条件1を満たすクライアントからのアクセス以外はDomainAdminsも拒否 条件3、開発グループに所属する者のみ無条件アクセス可 条件4、開発グループに所属する者の一部はDomainAdmins権限が付与されている。 このフォルダーに入っているデータは共有利用をしています。 (各クライアントのローカルHDDには保存しない) よろしくお願いします。
- Lio
- お礼率44% (46/103)
- その他(ITシステム運用・管理)
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- xcrOSgS2wY
- ベストアンサー率50% (1006/1985)
度々すみません。消極的な次善策ですが 1. 特定のユーザだけが共有フォルダにアクセスできるように設定する。 2. 「ActiveDirectoryユーザーとコンピュータ」を使用して、1.の各ユーザのプロパティの「アカウント」タブにある「ログオン先」に、「フォルダへのアクセスを許すクライアント名」を登録する。 このように設定すると、「共有フォルダにアクセスできるユーザ」は「フォルダへのアクセスを許さないクライアント」にはログオンできなくなるため、結果として質問にある各条件を満たします。 また1.の設定を行うにあたって、改めて確認したところ、拒否設定を入れる必要はありませんでした。まず現在ある許可設定をすべて削除し、改めて特定グループないし特定ユーザへの許可設定を行えば、そのグループあるいはユーザがアクセスを許可され、それ以外のユーザのアクセスは拒否されます。
- xcrOSgS2wY
- ベストアンサー率50% (1006/1985)
質問の内容を勘違いしていることに今気付きました。ユーザによる制限だけでなく、クライアントコンピュータ名でもアクセスを制限したいのですね。 私の回答は全然要件を満たしていませんでした。申し訳ないです。
- xcrOSgS2wY
- ベストアンサー率50% (1006/1985)
すみません、回答No.1の方法はセキュリティ設定ダイアログでは使用できませんでした。 プログラム的に行うのであれば、回答No.1の設定でEveryone:Denyをアクセス制御リストの最後に入れればOKのはずですが、セキュリティ設定ダイアログではアクセス拒否エントリの位置を指定することができず、必ずアクセス制御リストの先頭に来てしまうようです。 Everyone:Denyが先頭になると誰もアクセスできなくなってしまいます。
- xcrOSgS2wY
- ベストアンサー率50% (1006/1985)
「特定条件の者のアクセスを拒否する」という条件がないわけですから、まず「全員拒否(Everyone:Deny)」を入れておいて、その上で特定アカウントや特定グループの許可(Full)を追加してはいかがでしょうか。
お礼
ありがとうございます。試してみます