- ベストアンサー
Administratorでネットーワークログインさせない方法
Windows2000ServerやNT4.0の管理者アカウントをネットワークから使わせない方法って無いでしょうか? つまり、ネットワーク経由で共有フォルダなどにアクセスするときにAdministratorというアカウントとパスワードを知っているとアクセスできてしまいます。 また、ドメイン環境でクライアントがログインする際に、同じようにAdministratorのパスワードを知っているとログインできてしまいます。 Administratorというアカウントは基本的にサーバでの作業でしか使わせたくないのです。 (他の作成したユーザは今までとおりログインや共有にネットワーク経由で使用できないと困るのです・・・) どなたかご存知の方よろしくお願い致します。
- musimusi
- お礼率47% (18/38)
- Windows NT・2000
- 回答数8
- ありがとう数8
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
Windows NT 4.0 は使わなくなって久しいので判りませんが、 Windows 2000 Server/Pro にはそのものズバリ『ネットワーク経由でコンピュータへアクセスを拒否する』と言う設定があります。 ここにAdministratorを追加してやればお望みのことが出来るかと思います。 【場所】 スタートメニューのプログラムの中の『管理ツール』→『ローカル セキュリティ ポリシー』です。 ちなみに、Proの場合は『コントロールパネル』→『管理ツール』→『ローカル セキュリティ ポリシー』です。 【手順】 1.『ローカルポリシー』→『ユーザー権利の割り当て』→『ネットワーク経由でコンピュータへアクセス』からAdministratorを削除。 2.『ローカルポリシー』→『ユーザー権利の割り当て』→『ネットワーク経由でコンピュータへアクセスを拒否する』でAdministratorを追加。 ActiveDirectoryを利用している場合は、大元のドメインコントローラのポリシーで同じ設定をする必要があります。 その他、Administratorのユーザ名をAdministrator以外に変更すると言うのも併せて実行すれば、セキュリティはより強固になります。
その他の回答 (7)
- honeorizon
- ベストアンサー率70% (197/279)
>私も同じようなことを考えたのですが・・・ >どうもActiveDirectryになってから設定する場所が変わった >のか、根本的に無くなってしまったのか、設定が見つからない >のです(T_T) Win2KServerには [管理ツール]-[ローカルセキュリティポリシー]-[ローカルポリシー]-[ユーザ権利の割り当て] で、同じ設定があります。ただ、ActiveDirectoryだと どーなのかは分かりません。 でわでわ
お礼
私も再度確認したところ、同じ項目を発見しました。 設定を変更してテストしてみます。 いろいろありがとうございました。
- cool_
- ベストアンサー率31% (314/1005)
もしかして、パスが漏れると言うことは、パスワード解析ソフトを使用しているのかもしれませんね。 それだと、対処しようがない無いですね。 そういうソフトを勝手に使用するようでは、断固たる処置をし無ければ行けませんね。 まずは、通達を出すことですね、(これこれはやっては行けません、もし実行するようでしたら、首も・・・とか) 後はAdministratorを削除することですね、後々困るときが有るかもしれませんが、たいていは問題は有りません。 私も、勝手に作った、ID・パスは (そういうソフトで)パスを削除して、そのIDを抹消しています。 社内ハッカーは問題ですね。 参考に成れば幸いです。 クール
お礼
パスワードが盗まれたことや、ハッキングされたという事実は無いのですが サーバを構築してきた会社でセキュリティーポリシーなるものがありまして、そういったローテクなセキュリティホールを潰さないってのがちょっとまずいのです。 私も別に問題ないのでは・・・と思うのですが、どうも納得しないらしいです(-_-;) と言うことでして、ネットワークからの管理者権限ではログインできないように・・・ってことだったのです。
- honeorizon
- ベストアンサー率70% (197/279)
Win2Kserverは分かりませんが、WinNT4なら、 「ユーザーマネージャ」->「原則」->「ユーザーの権利」 のところで、 「ネットワーク経由でコンピュータにアクセス」 の項目から、Administrator(とDomain Admins?)を 消してみたらどうでしょう? # Domain UsersにAdministratorは入ってるのだろーか? でわでわ
お礼
私も同じようなことを考えたのですが・・・ どうもActiveDirectryになってから設定する場所が変わったのか、根本的に無くなってしまったのか、設定が見つからないのです(T_T) もう少し探してはみます。 お返事ありがとうございました。
- BlueRay
- ベストアンサー率45% (204/453)
管理者パスワードだけでなく、管理者ユーザ名も定期的に 変更すれば良いのではないでしょうか?
お礼
お返事ありがとうございます。 NO.3のお礼にも書いたのですが、現象が起こるということが分かっていたのに対応しなかったっということがまずいものでして・・・ 根本的に根を潰したいって感じなんです・・・
NO1です。 ネットワークには「root」「最高管理者」みたいなものは 必ず存在するものだと思います。 administratorはその管理者用のIDとなっていますが、 そのIDを変更し、POWERUSERやADMINグループ的に「administrator」の ユーザーアカウントを作成すると、いいかもしれませんね。 この場合、管理者用のIDがrootになります。 このIDとパスワードを知られたら、いたちごっこになってしまいますが。
お礼
お返事ありがとうございます。 いたちごっこではちょっとまずいんですよ。 こういう現象が起こることが分かっているのに、対処をしていないのはなぜですか?やり方が分からないからです!と言う返事はできないものでして・・・ 実際パスワードを盗まれたとかハッキングされたという事は無いのですが、サーバを構築してきた会社でセキュリティーポリシーなるものがありまして、それに対応するための策なんです・・・
- cool_
- ベストアンサー率31% (314/1005)
単純にAdministratorのパスワードを時々(定期的に)変えると大丈夫なのではないでしょうか? 変えても、人には漏らさず・・・・。管理者だけ・・。 私は そうしています。 知られると、言うより、だれが盗むのかな?。 クール
お礼
早速、ご返答ありがとうございます。 Administratorのパスワードは定期的に変更はしているのですが・・・ クライアントはXP-PROを使用しており、グループポリシーでソフトのインストールや設定変更と言ったことをできない様にしているのです。しかし、まずありえないとは思うのですが、administratorのパスワードを知った人が居たとします。すると管理者権限でログインしソフトのインストールなどができてしまうのです・・・これが問題でAdministratorをネットワーク経由でのログインをできないものか・・・と思ったのです。 もし御分かりでしたよろしくお願い致します。
windows2000では管理ツールのローカルセキュリティポリシーのところに、 ローカルポリシー→セキュリティオプションでadminのアカウント名を変更できます。2000のserverでも、似たような設定はあると思うのですが・・・・ NT4.0では、すみません。勉強不足です。
お礼
早速、ご返答ありがとうございます。 しかし、名前の変更では新たに付けた名前でログインされる可能性もあります。 根本的にネットワークからの管理者アカウントでのログインを拒否したいのです・・・何か良い方法は無いものでしょうか・・・・
関連するQ&A
- Administratorでログインさせない方法
Windows2000ServerやNT4.0の管理者アカウントをネットワークから使わせない方法って無いでしょうか? つまり、ネットワーク経由で共有フォルダなどにアクセスするときにAdministratorというアカウントとパスワードを知っているとアクセスできてしまいます。 また、ドメイン環境でクライアントがログインする際に、同じようにAdministratorのパスワードを知っているとログインできてしまいます。 Administratorというアカウントは基本的にサーバでの作業でしか使わせたくないのです。 (他の作成したユーザは今までとおりログインや共有にネットワーク経由で使用できないと困るのです・・・) どなたかご存知の方よろしくお願い致します。
- 締切済み
- その他(インターネット接続・通信)
- 共有フォルダの設定(ActiveDirectory)
ActiveDirectoryでネットワークを構築しています。 user1さんは、domain\user1、もしくは domain\share という共有アカウントで ログインして作業を行っています。 (domain\shareのアカウントは他の人も利用しています。) サーバ上に、user1さんのみアクセスできる共有フォルダを作成したいため、 domain\user1 のみが接続できる共有フォルダを作成しました。 domain\user1というアカウントでログインしていれば接続できますが、 domain\shareでログインしていると当然、エラーが発生します。 (domain\shareのアカウントは他の人も利用しているため、共有フォルダの権限には追加できません) user1さんが、domain\user1にログインし直すことなく、共有フォルダに接続できる 方法は何かないでしょうか? イメージとしては、ID・パスワードの認証画面が出て、domain\user1のID・パスワードを 入力すれば、接続できるような方法がないかなと思っています。 よろしくお願いいたします。
- 締切済み
- ネットワーク
- ローカルのAdministratorアカウントのパスワードを一括で変更するには
セキュリティの観点から、クライアントPCのローカルの『Administrator』ユーザーアカウント(管理者権限ユーザーアカウント)のパスワードを定期的に変更することになりました。 環境としては、Windows2000Serverによるドメインが構築されて、ネットワーク上のクライアントPC約150台はすべてWindows2000ProfessionalSP4で統一されています。 ドメイン上の管理者ユーザーのアカウントは簡単に変更できますが、ローカルの管理者アカウントのパスワードは1台、1台ログインして変更していかなければなりません。 しかも1週間に一度の頻度が予想されて、たいへんな手間となると思います。 いっそのことローカルの管理者ユーザーアカウントを削除してドメインの管理者ユーザーだけでクライアントPCを管理したいのですが、ネットワークが使用不可で管理者ユーザーでログインしなければならない状況が発生しないとも限りません。 何か良い方法があれば教えてくれますか。 また、このようなケースの場合どのように管理されているかもお聞かせいただけたらと思います。
- ベストアンサー
- その他(ITシステム運用・管理)
- AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?
ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- WIN98クライアントからLINUXサーバーが見れません。
WINDOWSネットワーク(tcp/ip)上にLINUX(RedHat7.2)サーバーを立てました。 WIN2000やNTクライアントからは、LINUXサーバーの共有フォルダにアクセスできますが、WIN98クライアントからはアクセスできません。 NT系クライアントからアクセスする時は、ユーザーIDとパスワードを聞いてくるので、それにしたがって入力すると、LINUXサーバーの共有フォルダにアクセスできますが、WIN98クライアントからだと、パスワードしか聞いてきませんが、それが原因でしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- ローカルマシンのAdministratorを作成する方法
WinNTドメインのファイルサーバにドメインのAdministratorでログインし、あるディレクトリのアクセス権を Administrator:フルアクセス user1:フルアクセス Domain users:アクセス権なし の設定にしてしまったら、ドメインのAdministratorもuser1(ドメインユーザ)でもディレクトリが見れなくなってしまいました。 ローカルのAdministratorでログインしようとした所、ローカルのAdministratorがありません。非常に困っています。ローカルのAdministratorが作れればおそらく見に行けると思うのですが、作り方が分かりません。どなたか教えて頂けないでしょうか?また、上記設定のアクセス権は変更できるのでしょうか?
- ベストアンサー
- Windows NT・2000
- 共有フォルダを参照する時のユーザを変更したい
サーバにある共有フォルダをクライアントから参照する時、最初に聞いてきたユーザ名とパスワードを間違って違うユーザにしてしまいました。 パスワードを保存するにチェックを入れた為、同じサーバ内の別な共有フォルダを参照する時も、ユーザ名の入力がなく、そのまま開いてしまいますが、違うユーザで入っています。 正しいユーザで入れるように変更できないでしょうか? クライアント:WindowsXPproSP3 (NT4ドメイン) 共有フォルダのあるサーバ:Windows2000server (NT4ドメイン)
- ベストアンサー
- Windows系OS
- Windows server へのネットワークログイン
Windows server へのネットワークログイン 現在 サーバー(1台): Windows server 2000 + SQL Server 2000 クライアント(10台): Windows XP SP3 のような環境でPCA社の業務用アプリケーション『商魂・商管』を使用しています。 クライアントで商魂・商管を起動すると自動的にWindowsサーバーとSQLサーバーへ接続/認証が行われ、ログインに成功した場合は使用が可能になります。 ところが最近、クライアントの中の数台が『Administrator』のアカウントで商魂・商管を使用していることが判明しました。そのためサーバー側の『Administrator』アカウントのパスワードが各ユーザー間で共有されています。当然、サーバーに直接『Administrator』としてログインするときと同じパスワードです。パスワードを変更したいのはやまやまなのですが、管理者が『Administrator』パスワードを変更すると、ネットワークで『Administrator』アカウントを使用しているユーザーが商魂・商管を使用できなくなってしまいます。 この状況は最悪なので改善したいのですが・・・ クライアントのローカルアカウントが『Administrator』であっても、サーバーには別ID/パスワードでログインし、問題なく商魂・商管を使用する方法はないでしょうか。ネットワークドライブで可能なことは知っていますが、商魂・商管となると手が出ません。 ユーザー1 クライアントPCのアカウント administrator ← これはこのまま サーバー上のアカウント administrator ← これをUser1に改めたい ユーザー2 クライアントPCのアカウント administrator ←これはこのまま サーバー上のアカウント administrator ← これをUser2に改めたい ユーザー3 クライアントPCのアカウント User3 ← これはこのまま サーバー上のアカウント User3 ← これもこのまま ・ ・ ・ PCA社に問い合わせましたが、アプリケーションの使い方については専門家でも、こういったネットワークの問題についてはわからないこともある、との返答でした。(これはこれで仕方のない話ですが) この問題は解決できないのでしょうか・・・?
- ベストアンサー
- その他(Windows)
- Windowsネットワーク共有
ネットワークを介してのフォルダ共有で質問です。 サーバにある共有フォルダにアクセスしたいのですが、 「発行先の共有が必要です」と出てしまいアクセスできません。 状況は以下です。 ・サーバの共有フォルダは「server\User」に対してアクセス許可をしています ・クライアントには「local\User」というローカルアカウントでログインしています。 ・共有フォルダにアクセスすると認証プロンプトが出るのですが、何度入力してもはじかれてしまいます。 ・クライアントに異なるアカウントでログインした場合はアクセス出来ます 上記の事から、同名のアカウントが悪さをしているのだと推測しているのですが、 対応策がわかりません・・・ ご教授お願い致します。
- 締切済み
- Windows系OS
- サーバーにある共有ファイルにアクセスしようとするとユーザー名とパスワードを要求されます
タイトルの通りです。 ネットワークの中で、他のPCからこのサーバーの 共有フォルダの中のファイルにアクセスする分には、 何も要求されませんが、あるPCだけユーザー名とパスワードを要求されます。 もちろん、ADMINISTRATORで入れるのですが、一日一回これをしないとだめみたいです。 クライアントPCはOSがXPで、サーバーPCはOSが2Kです。 2KのPCにある共有フォルダのファイルにアクセスする 場合は、必ずユーザー名とパスワードを要求されるのは知っていますが、XPからサーバーにアクセスするのに、 ユーザー名とパスワードを聞かれることはわかりません。 この問題となっているPCは、どうも過去にサーバーコントロールしていたPCらしく、デスクトップにサーバーログインというアイコンがありました。 どのようにすれば、他のクライアントPCのように、 ユーザー名とパスワードなしで共有フォルダの共有ファイルにアクセスできるのでしょうか?
- ベストアンサー
- ハードウェア・サーバー
お礼
詳しく説明して頂きありがとうございます。 ちょっと、会議資料作成に取り付かれてまして(笑)実験ができないでいます。 後日、設定してみます。 ありがとうございました。