- ベストアンサー
Administratorでネットーワークログインさせない方法
Windows2000ServerやNT4.0の管理者アカウントをネットワークから使わせない方法って無いでしょうか? つまり、ネットワーク経由で共有フォルダなどにアクセスするときにAdministratorというアカウントとパスワードを知っているとアクセスできてしまいます。 また、ドメイン環境でクライアントがログインする際に、同じようにAdministratorのパスワードを知っているとログインできてしまいます。 Administratorというアカウントは基本的にサーバでの作業でしか使わせたくないのです。 (他の作成したユーザは今までとおりログインや共有にネットワーク経由で使用できないと困るのです・・・) どなたかご存知の方よろしくお願い致します。
- musimusi
- お礼率47% (18/38)
- Windows NT・2000
- 回答数8
- ありがとう数8
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
Windows NT 4.0 は使わなくなって久しいので判りませんが、 Windows 2000 Server/Pro にはそのものズバリ『ネットワーク経由でコンピュータへアクセスを拒否する』と言う設定があります。 ここにAdministratorを追加してやればお望みのことが出来るかと思います。 【場所】 スタートメニューのプログラムの中の『管理ツール』→『ローカル セキュリティ ポリシー』です。 ちなみに、Proの場合は『コントロールパネル』→『管理ツール』→『ローカル セキュリティ ポリシー』です。 【手順】 1.『ローカルポリシー』→『ユーザー権利の割り当て』→『ネットワーク経由でコンピュータへアクセス』からAdministratorを削除。 2.『ローカルポリシー』→『ユーザー権利の割り当て』→『ネットワーク経由でコンピュータへアクセスを拒否する』でAdministratorを追加。 ActiveDirectoryを利用している場合は、大元のドメインコントローラのポリシーで同じ設定をする必要があります。 その他、Administratorのユーザ名をAdministrator以外に変更すると言うのも併せて実行すれば、セキュリティはより強固になります。
その他の回答 (7)
- honeorizon
- ベストアンサー率70% (197/279)
>私も同じようなことを考えたのですが・・・ >どうもActiveDirectryになってから設定する場所が変わった >のか、根本的に無くなってしまったのか、設定が見つからない >のです(T_T) Win2KServerには [管理ツール]-[ローカルセキュリティポリシー]-[ローカルポリシー]-[ユーザ権利の割り当て] で、同じ設定があります。ただ、ActiveDirectoryだと どーなのかは分かりません。 でわでわ
お礼
私も再度確認したところ、同じ項目を発見しました。 設定を変更してテストしてみます。 いろいろありがとうございました。
- cool_
- ベストアンサー率31% (314/1005)
もしかして、パスが漏れると言うことは、パスワード解析ソフトを使用しているのかもしれませんね。 それだと、対処しようがない無いですね。 そういうソフトを勝手に使用するようでは、断固たる処置をし無ければ行けませんね。 まずは、通達を出すことですね、(これこれはやっては行けません、もし実行するようでしたら、首も・・・とか) 後はAdministratorを削除することですね、後々困るときが有るかもしれませんが、たいていは問題は有りません。 私も、勝手に作った、ID・パスは (そういうソフトで)パスを削除して、そのIDを抹消しています。 社内ハッカーは問題ですね。 参考に成れば幸いです。 クール
お礼
パスワードが盗まれたことや、ハッキングされたという事実は無いのですが サーバを構築してきた会社でセキュリティーポリシーなるものがありまして、そういったローテクなセキュリティホールを潰さないってのがちょっとまずいのです。 私も別に問題ないのでは・・・と思うのですが、どうも納得しないらしいです(-_-;) と言うことでして、ネットワークからの管理者権限ではログインできないように・・・ってことだったのです。
- honeorizon
- ベストアンサー率70% (197/279)
Win2Kserverは分かりませんが、WinNT4なら、 「ユーザーマネージャ」->「原則」->「ユーザーの権利」 のところで、 「ネットワーク経由でコンピュータにアクセス」 の項目から、Administrator(とDomain Admins?)を 消してみたらどうでしょう? # Domain UsersにAdministratorは入ってるのだろーか? でわでわ
お礼
私も同じようなことを考えたのですが・・・ どうもActiveDirectryになってから設定する場所が変わったのか、根本的に無くなってしまったのか、設定が見つからないのです(T_T) もう少し探してはみます。 お返事ありがとうございました。
- BlueRay
- ベストアンサー率45% (204/453)
管理者パスワードだけでなく、管理者ユーザ名も定期的に 変更すれば良いのではないでしょうか?
お礼
お返事ありがとうございます。 NO.3のお礼にも書いたのですが、現象が起こるということが分かっていたのに対応しなかったっということがまずいものでして・・・ 根本的に根を潰したいって感じなんです・・・
NO1です。 ネットワークには「root」「最高管理者」みたいなものは 必ず存在するものだと思います。 administratorはその管理者用のIDとなっていますが、 そのIDを変更し、POWERUSERやADMINグループ的に「administrator」の ユーザーアカウントを作成すると、いいかもしれませんね。 この場合、管理者用のIDがrootになります。 このIDとパスワードを知られたら、いたちごっこになってしまいますが。
お礼
お返事ありがとうございます。 いたちごっこではちょっとまずいんですよ。 こういう現象が起こることが分かっているのに、対処をしていないのはなぜですか?やり方が分からないからです!と言う返事はできないものでして・・・ 実際パスワードを盗まれたとかハッキングされたという事は無いのですが、サーバを構築してきた会社でセキュリティーポリシーなるものがありまして、それに対応するための策なんです・・・
- cool_
- ベストアンサー率31% (314/1005)
単純にAdministratorのパスワードを時々(定期的に)変えると大丈夫なのではないでしょうか? 変えても、人には漏らさず・・・・。管理者だけ・・。 私は そうしています。 知られると、言うより、だれが盗むのかな?。 クール
お礼
早速、ご返答ありがとうございます。 Administratorのパスワードは定期的に変更はしているのですが・・・ クライアントはXP-PROを使用しており、グループポリシーでソフトのインストールや設定変更と言ったことをできない様にしているのです。しかし、まずありえないとは思うのですが、administratorのパスワードを知った人が居たとします。すると管理者権限でログインしソフトのインストールなどができてしまうのです・・・これが問題でAdministratorをネットワーク経由でのログインをできないものか・・・と思ったのです。 もし御分かりでしたよろしくお願い致します。
windows2000では管理ツールのローカルセキュリティポリシーのところに、 ローカルポリシー→セキュリティオプションでadminのアカウント名を変更できます。2000のserverでも、似たような設定はあると思うのですが・・・・ NT4.0では、すみません。勉強不足です。
お礼
早速、ご返答ありがとうございます。 しかし、名前の変更では新たに付けた名前でログインされる可能性もあります。 根本的にネットワークからの管理者アカウントでのログインを拒否したいのです・・・何か良い方法は無いものでしょうか・・・・
お礼
詳しく説明して頂きありがとうございます。 ちょっと、会議資料作成に取り付かれてまして(笑)実験ができないでいます。 後日、設定してみます。 ありがとうございました。