締切済み

コンピュータ単位で共有フォルダへのアクセス制御

2008/03/04 16:00

環境はすべてWindows2003serverです。ドメインコントローラ、マシンA、マシンBがあり、それぞれのマシンは同じドメインに参加しています。マシンBは「temp」フォルダをWindowsファイル共有しています。ここでアクセス制限を設けたいと思っておりまして、マシンAからのみ \\マシンB\temp へのアクセスを許可したいと思っています。マシンBのtempフォルダの共有設定で、許可設定からEveryoneを削除しドメイン上のComputersの「マシンA」オブジェクトを追加したのですが、アクセスが拒否されました。試しにドメインユーザを追加し、マシンAにそのユーザでログインしてアクセスすると制御は効くのですが、今回は、「使用するマシンは常に同じ、しかしログオンユーザは不特定多数」という状況であり、ユーザ単位では成立しません。アクセス元のコンピュータ単位で共有フォルダへのアクセス制限はできないのでしょうか？今までUNIX、Linuxを中心にやってきましたので、困惑しております。どうかご教授ください。

n504e
お礼率100% (4/4)

Windows系OS
回答数2
ありがとう数2

みんなの回答 （2）
専門家の回答

みんなの回答

noname#57972

2008/03/05 13:32 回答No.2

UNIX/Linuxでもフォルダへのアクセス制御はWindowsと同じではありませんか？ > やはりコンピュータアカウントでの制御はできないのでしょうか。 > UNIX/Linuxの感覚で申し訳ないのですが、接続元IPで簡単に識別できると思っておりましたもので・・・回答ではなくて質問なのですが、 UNIX/Linuxではフォルダへのアクセス制御をスコープ設定できる(接続元IPで)、という意味なのでしょうか？あたりまえですが、アプリケーションを絡ませればWindowsでもUNIX/Linuxでも接続元IPでのアクセス制御はできるわけですが、 UNIX/Linuxではフォルダ自身で接続元IPでのアクセス制御ができるとは初めて聞きました。(ユーザやグループでの制御しか経験がありません) フォルダにどのように設定するのでしょうか？

質問者

お礼 2008/03/05 17:26

申し訳ありません、私の文章がちょっと分かりにくかったでしょうか。おっしゃるとおりUNIXでもそのファイル／ディレクトリのオーナー、グループ、その他にそれぞれの権限を与える形になり、そこに接続元IPを書いたりできるわけではありません。例えばsshやFTPでそのディレクトリにcdしたときにこのIPだからこのディレクトリはだめとか、そんな制御効くの？そんなのディレクトリのパーミッションだけじゃ有り得ないでしょ？ということですよね。もちろんパーミッション制御だけでそんなことはできません。 (おそらく回答者さまもこのあたりの基礎はご存知のうえで今回書き込んでいただいたのではないでしょうか) > UNIX/Linuxではフォルダ自身で接続元IPでのアクセス制御ができるとは初めて聞きました。(ユーザやグループでの制御しか経験がありません) 恐縮ですが勘違いを生んだのは私の文章が至らなかったものだと思いますが、"フォルダ(UNIXはディレクトリですが)自身でそのような制御ができる"とは一言も書いておりません。今回Windowsファイル共有を使用しておりますので、例えばsambaならsmb.confにhosts allow行とhosts deny行書くだけで制御できますよね。まぁ後発の互換ソフトなので機能が増えててもおかしくはないのですが。もちろんwrapperかましてもいけるでしょう。ご存知かとも思い恐縮ですがpostfixやsquidなんかもみんなconfの書き方で待ち受けポートへの接続元IPを制限できます。そういった汎用性という意味で、「UNIX/Linuxの感覚」という言葉を使用しました。決してディレクトリそのものに接続元IPの権限があると言ったことでは無かったことをご理解ください。その代替として、フォルダに対しコンピュータアカウント単位での制限はできないのか…といったところで悩んでおりました。結局、WindowsファイアウォールでTCP139,445、UDP137,138をマシンAにのみ許可するといったことでなんとかしようと思っております。長文失礼しました。