- 締切済み
ドメインコントローラーによるアクセス制限について
こんにちは。 ある企業でシステムを担当しておりますEU0419と申します。 ※カテゴリが不適切だった場合はご指摘下さい。 先日弊社のドメインサーバを変えました。 NT4.0からWS2008へという大胆な入れ替えだったため、いろいろと勝手が違い問題が生じています。 中でも問題なのがイントラネットへのアクセスです。 社内ではイントラネットを利用しているのですが、ドメインサーバ変更以降、そのイントラへのアクセスがかなり制限されてしまうようになりました。 かつてはPC・アカウント・ブラウザを問わずアクセスできたのですが、現時点での利用可能な条件は、下記のみです。 ・一度に一アカウントのみ(アクセスは複数可能) ・IE以外(Firefox、Chromeでは可能) その他わかっているのは下記事実になります。 ・アカウントでもドメインアドミン権限があるアカウントはIEでもアクセス可能 ・一度一つのアカウントでログインすると他のアカウントはイントラサービスを再起動するまでは受け付けない ・IEのセキュリティレベルを変更しても結果は同じ ・ウェブサーバのローカルアカウントが必要(に見える) イントラネットはドメインサーバとは別のサーバ上にあり、WS2008です。このウェブサーバは事情がありドメインに参加していません(これまでドメインサーバがNT4.0だっためWS2008はGUIでは参加できなかったのが理由だと思われます。今回の入れ替え時にドメインに参加させてみましたが、イントラがうまく動かなかったため、今は已むなく外しています)。 プログラム、ウェブサーバは何も変更しておらず、変わったのはドメインサーバ(必然的にワークステーションの参加しているドメイン)のみです。よって解決策はドメインコントローラにあると考えています。 変更してみたポリシーは下記の通りです(英語環境です)。 Administrative Templates - Windows Components - Internet Explorer - Security Features - Local Machine Zone Lockdown Security >>> Disabled * Administrative Templates - Windows Components - Internet Explorer - Security Features - Network Protocols Lock Down - Intranet Zone Restricted Protocols >>> Disabled * Administrative Templates - Windows Components - Internet Explorer - Security Features - Network Protocols Lock Down - Local Machine Zone Restricted Protocols >>> Disabled Administrative Templates - Windows Components - Internet Explorer - Internet Control Panel - Security Page - Intranet Zone - Java permissions >>> Enabled *印はDisabledも未設定も同じなはずですが、念のため...。 Active Directoryが初めての経験のため、何分知識不足でポリシーの変更もどこをどうすれば良いのか手探りな状態です。 対応策がお分かりの方、ご教示頂けると大変助かります。 よろしくお願いします。
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- jeee
- ベストアンサー率52% (119/227)
参考に IEのバージョンは何ですか。 IE8からセッション管理方法が変更されました。 IE7までは、メニュー等から実行させると別プロセスで起動されセッション情報が別で管理されていましたが、IE8では既に起動しているIEが合った場合にはそのセッション情報を引き継ぐようになりました。 このため、一度ログインすると、IEを起動してもログインを引き継ぐため、複数のログインができなると思います。 これは、シングルサインオンを実現させるための機能だと思います。 この当たりを参考に http://journal.mycom.co.jp/column/windows/078/index.html 従い、このセッション情報を引き継がなくする方法として、メニューバーから「ファイル」「新規セッション」を選択するとできると思います。 次にIEのオプションがあり、上記と違いますので確かめてください。 http://masaog.wordpress.com/2010/01/19/internet-explorer-%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3-%E3%82%AA%E3%83%97%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E3%81%BE%E3%81%A8%E3%82%81/
お礼
jeeeさん、 アドバイスありがとうございます。 IEのバージョンは8です。 教えて頂いたリンク先も拝見しました。 ですが、単一アカウントしかログインできないのはIE上だけではなく、 一度一つのアカウントでログインすると 他のブラウザからも 他のマシンからも 他のアカウントは受け付けなくなるのです。 しかしIEのセッション管理については知りませんでした。 今後の参考にさせていただきます。 ありがとうございました。
補足
その後の調査で幾つか訂正事項があるのでここに記載します。 > ・アカウントでもドメインアドミン権限があるアカウントはIEでもアクセス可能 権限は関係ないことがわかりました。 > ・一度一つのアカウントでログインすると他のアカウントはイントラサービスを再起動するまでは受け付けない サービスを再起動しなくても、 全てのセッションが閉じた後では別のアカウントを受け付けるようになるようです。 > ・ウェブサーバのローカルアカウントが必要(に見える) 不要だと判明しました。 よろしくお願いします。