OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

Administrator権限でLANからログオンされた場合の対処法

  • すぐに回答を!
  • 質問No.173443
  • 閲覧数145
  • ありがとう数2
  • 気になる数0
  • 回答数4
  • コメント数0

お礼率 52% (38/72)

Windows2000上の「あるフォルダ」を
すべてのクライアントに対して読みとり専用として
LAN上に公開したいのですがうまくいきません。

全ての人に公開というのは
Windows2000上のユーザー名「Guest」を
使えば何とかなると思うのですが

クライアントとしてWindows2000を使用していて
さらにAdministratorで使用している場合
サーバーにアクセスすると権限を変更できてしまいます。

権限を変更されて「フルアクセス」にされても、
ファイルを書き込んだりすることはできないのですが
他のユーザーの権限をLAN上の他のコンピュータから
変えられるというのは不安なため、この機能を停止したいのですが
どうすればよいのか教えてください お願いします

なお実際の環境は サーバー側が Windows2000 Serverを
使っているのですがWindows2000 Professionalでも
同様の現象が発生していますので Professionalでの
解決方法でもかまいませんのでお願いします。
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.4
レベル12

ベストアンサー率 41% (324/772)

まず、クライアントのAdministartorユーザとサーバのAdministratorユーザのパスワードが同じなのは行けません。必ず変えましょう。
Win2kはMMCを搭載したことによりネットワーク越しの管理が容易になっていますので、このような現象はよくある話です。

NT系OSのくせを知らないと防ぎようがないでしょう。

まず、NT系OSにアクセスするにはサーバ上にユーザアカウントが必要です。これが基本(大前提)になります。

更にクライアントでログインしているユーザと同名のユーザがサーバ上にあり、かつ両者のパスワードが同じな場合は透過的にサーバにアクセスで来てしまうのもNT系OSの特徴です。
この2点からユーザ管理とパスワード管理というものが発生します。

これらのわずらわしさを解決するのが[Guest]ユーザの存在です。

更に、NTFSのアクセス権と共有設定のアクセス権を照らし合わせて、サーバ上のフォルダやファイルにアクセスできるかが決まります。
まず、Eneryone:フルコントロールだとGuestユーザも好き勝手出来ますので、フルコントロールではなく読み取りのみにしておきましょう。

馬鹿ちょんで使えそうで、以外に難しいのがNT系OSなのです。
補足コメント
VRAM

お礼率 52% (38/72)

回答ありがとうございます。

サーバーとクライアントのパスワードが同じなのは
自動ログオンさせることに一生懸命になっていたため
適当に決めてしまいました。
(これが間違いの始まりだったのですね)

早速試してみます。

しかしクライアントからサーバーの管理が出来るというのは
ありがたいのですが、今回はそれを余計な機能と感じました。
投稿日時 - 2001-11-24 12:38:23
お礼コメント
VRAM

お礼率 52% (38/72)

残念ながら 納期が厳しかったため試すことが出来ませんでした。
現場での設置作業で、みなさんに今まで教わったことを
参考に再度挑戦してみたいと思います。

一度質問は締め切ることにします。

また質問をすると思いますが
よろしくお願いします。

他の回答者の人もこの場を借りてお礼申し上げます。
投稿日時 - 2001-11-24 20:44:14
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.1

「管理ツール」「ローカルセキュリティポリシー」の中に「ネットワーク経由でコンピュータへアクセス」というものがあり、グループ単位で許可することが可能なので、その中のAdministratorsのチェックをはずしてはどうでしょうか?そうすれば一応ネットワーク経由のAdministratorsのアクセスが無くなります。ただし、自分でもログインできなくなるので、注意が必要ですが・・・ この機能はProfes ...続きを読む
「管理ツール」「ローカルセキュリティポリシー」の中に「ネットワーク経由でコンピュータへアクセス」というものがあり、グループ単位で許可することが可能なので、その中のAdministratorsのチェックをはずしてはどうでしょうか?そうすれば一応ネットワーク経由のAdministratorsのアクセスが無くなります。ただし、自分でもログインできなくなるので、注意が必要ですが・・・

この機能はProfessionalでも持っているので、Serverにもあるはずです。

ではでは☆
  • 回答No.2
レベル11

ベストアンサー率 46% (123/265)

>さらにAdministratorで使用している場合 よく分からないのですが、もしやクライアントがサーバーの管理者(Administrator)のパスワードを知っていて、しかも普段そのパスワードでログオンしているということなのでしょうか。 通常Win2000(クライアント)にあるAdministratorというユーザー名は自分のコンピュータに対する管理権限であって、ログオン先はドメインではな ...続きを読む
>さらにAdministratorで使用している場合
よく分からないのですが、もしやクライアントがサーバーの管理者(Administrator)のパスワードを知っていて、しかも普段そのパスワードでログオンしているということなのでしょうか。

通常Win2000(クライアント)にあるAdministratorというユーザー名は自分のコンピュータに対する管理権限であって、ログオン先はドメインではなく自分のコンピュータ(このコンピュータのような表示がされていたと思います)です。クライアントがAdministratorでしかも2000Serverのドメインにログオンするためにはサーバーのパスワードが必要なはずです。したがって、サーバーのパスワードを変更してしまえば(当然秘密)解決するのではないでしょうか。
もちろんクライアントにはそれぞれのユーザー名を決め、サーバーでユーザーの追加をしなければなりませんが。
またクライアントは各自のコンピュータでAdministratorではない新ユーザー名でログオンしなければなりません。(Administratorではパスワードが違うのでログオンできません)
うまく説明できてないかも・・・。

また、2000ServerではGuestは使えなくなっていると思います。これはセキュリティ上の問題でそうなっているはずです。

最後にフォルダを公開する一番簡単な方法は、そのフォルダのプロパティのセキュリティでEveryoneに許可します。ただし、それだと部外者がノートパソコンをLANに繋いだだけで(場合によっては)侵入されてしまいます。
やはり○○グループに許可(許可したい全員が入っているグループ)という形の方がいいかもしれません。
もちろん、セキュリティあるいはアクセス許可のところで「読み取りのみ」にすることもできます。

説明が上手くないので分からなかったかもしれません。また見当違いかもしれませんが、頑張って下さいね。
補足コメント
VRAM

お礼率 52% (38/72)

こんなに返事が来るとは思いませんでした。

ありがとうございます。

サーバーもクライアントも同時にセットアップしたため
もしかしたら同一のパスワードを使っている可能性もあります。

明日 早速試してみたいと思います、では
投稿日時 - 2001-11-23 21:49:56
  • 回答No.3
レベル10

ベストアンサー率 54% (96/175)

こんにちわ。 まず、どのような形でWindows2000 Serverを運用したいのか、まずまとめられる事をお勧めします。 ご使用されているWindows2000の環境では、全てのPCとサーバーに「Administrator」というものが有り、何かゴチャゴチャになってしまっているようにお見受けします。 基本的にはtamagawa49さんの記述されているとおり、Windows2000 Serv ...続きを読む
こんにちわ。
まず、どのような形でWindows2000 Serverを運用したいのか、まずまとめられる事をお勧めします。

ご使用されているWindows2000の環境では、全てのPCとサーバーに「Administrator」というものが有り、何かゴチャゴチャになってしまっているようにお見受けします。

基本的にはtamagawa49さんの記述されているとおり、Windows2000 ServerのAdministrator権限を全てのWindows2000 Professionalのユーザーが使用している事自体が、おかしいのです。

Windows2000 Serverで、セキュリティも含めた管理を行う前提で有れば、まずWindows2000 ServerのActive Directoryをインストール(dcpromo.exe)して、ドメインコントローラーとして運用し、全てのクライアントはこのドメインに参加して使用する形にされては如何でしょうか?
つまり、このWindows2000 Serverが一番偉いのです。

(全ユーザーの管理をするという事は、当然ユーザー名とパスワードも、このWindows2000 Server上で設定する事となりますよね。)

次にこの「ドメイン」に参加させるグループを作成します。
コンテナオブジェクトで実際の関連各部署を登録(OUを作成)して行けば、これでグループやユーザーの管理が出来ます。

あとは各グループやユーザーにWindows2000 Serverの資産(ファイルやフォルダ)を利用させるか決めいかれれば、良いかと思います。


実際の組織図に合わせて、「絵」を書いてみたら、容易に出来るかと思いますよ!

「そんな事は知ってるんだよ~!」だったら、御免なさいですが・・・(^^ゞ
頑張って下さい!
補足コメント
VRAM

お礼率 52% (38/72)

こちらこそ うまく説明できなくて すみません。

やりたいことをまとめました。

Windows2000 Serverを使用したシステムを客先に納めます。
納めたシステムは一定間隔でログを吐き出します。

システムはむやみにさわられたくないため
蓄積されたログは、その他の装置から閲覧させます。
ですが閲覧するパソコンには制限を設けたくありません。
また管理者などは設けないため閲覧するパソコンが
増えた場合、LANの設定さえすれば使えるように
する必要があります。

そこでシステムの1フォルダを誰もが
読み込み可能なフォルダとしたいのです。

以前NT4.0ワークステーションで構築したときは
ユーザーGuestを有効にすることで対応しました。
ただ閲覧側はWin95系でのみ正常動作を確認しただけです。
Win2000系ではパスワードを要求されるため
(たとえパスワードが無くても)
うまくいきませんでした。

これを今度Windows2000で構築することを考えたのですが
うまくいかなかったのです。

仕事場にしか試す環境がないため
(インターネットも)
ここで教えられたことを会社で実行してみますが

下記のことはすでに試しました。

まずEveryOneでしたっけ?このユーザー名に対して
読み込み許可を与えたのですがこれでは
どのクライアントもフォルダを読むことが出来ませんでした。

各クライアントユーザー名を登録すれば特に問題ないようです。

Guestではまだ試していません。

ですがクライアントユーザーがAdministrator権限の場合
なぜかシステム(サーバー)が管理している
ユーザー管理が変更できてしまうのです。

具体的には、クライアントからネットワークコンピュータを
開いてサーバーを指定
読み込み専用にしているフォルダを右クリックし
プロパティーで共有関係の設定を開くと
書き込み許可を与えるチェックボックスがなぜか
自由にクリックできるのです。

変更したのちファイルを書き込もうとすると
それは断られましたが、かなり不安なので
なんとかしたいのです。

解決に向けて どうか もう少しおつき合い願います。
投稿日時 - 2001-11-23 21:20:19
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ