社外の人に操作させるWindowsPCの設定
- Windows PCの設定について、社外の人に操作させる際の制限方法を検討しています。用途やネットワーク環境などを考慮し、ドメインに加入させるかどうかや制限ユーザの選択肢などを検討しています。
- Windows PCの設定について、社外の人に操作させる際の制限方法を検討しています。用途やネットワーク環境などを考慮し、ドメインに加入させるかどうかや制限ユーザの選択肢などを検討しています。
- Windows PCの設定について、社外の人に操作させる際の制限方法を検討しています。用途やネットワーク環境などを考慮し、ドメインに加入させるかどうかや制限ユーザの選択肢などを検討しています。
- ベストアンサー
社外の人に操作させるWindowsPCの設定
情報システム部門で勤務しています。 Windows PCの設定で質問をさせてください。 以下のようなPCを用立てることがあるのですが、その設定についです。 使用者:お客様や業者さん 用途:インターネットに接続し、資料の検索などに短時間使ってもらう。 ネットワーク環境:社内のネットワークに接続されている PCのハード:デスクトップ型 OS : Windows 7 ソフトウェア: アンチウィルスソフト、クライアント管理ソフトをインストール済み その他 : ファイアウォールの設定で極力不要な通信は禁止済み このPCを社内のサーバなどにアクセスできないよう、制限をしたいと考えています。 Active Directoryドメインを構築しているのですが、 このPCをドメインに加入させるべきか否かがよくわかりません。 以下の3パターンを思いつくのですが、この用途で考えるとどれが望ましいでしょうか? (1)ドメインに加入させた上で、制限をかけたドメイン上のユーザを使用してもらう。 (2)ドメインに加入させた上で、PCローカルの制限ユーザを使用してもらう。 (3)ドメインに加入させず、PCローカルの制限ユーザを使用してもらう。 他にも選択肢があればご教示頂きたいです。 また、ドメイン以外にも気にするべきことがあれば、アドバイスを頂ければ幸甚です。 何を管理・制限するのか、どうやってなのか?というポリシー次第なのかもしれませんが、 皆様の現場でどのような運用をされているのかお聞かせいただきたいです。 本来はネットワークを切り離すべきかと思いますが、今回はPC側の調整のお話をお願いします。
- lbbg
- お礼率78% (78/99)
- その他(ITシステム運用・管理)
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
こんにちわ。 文脈からすると、インターネットにさえ接続できればいいんですよね?それであればドメインに参加させる必要性は皆無です。ドメインに参加させる必要があるとしたら、当該ドメインにあるリソースにアクセスする必要がある場合だけです。 書かれているとおり、本来であれば物理的に別NWとするべきでしょうが(私の職場もそうしています)、何らかの理由で他の社員と物理的に同一のネットワークに当該PCが接続されるのであれば、私ならば ・ドメインには参加させない ・利用させるアカウントは制限ユーザ ・ブラウザにプロキシを設定し、そこですべてのアクセスログを取る(プロキシを外すとインターネットには接続できない) ・プロキシサーバで、当該端末にHTTPとHTTPSのみを許可するACLを書く。 ・インターネット接続に不要なアクセスはファイアウォールですべて止める。 ・(面倒ですが)誰かが利用したら利用前の状態に復元し、その誰かが残したファイル等を完全に削除する くらいはやると思います。なお、ネットワーク的に可能であれば、訪問者用のVLANを用意して当該VLANに接続するのが望ましいです。そうすれば、物理的には同一ネットワークに接続されていても論理的にはLayer 2レベルで他の端末から切り離されるので、さらに安心になるでしょう。
その他の回答 (3)
- takuranke
- ベストアンサー率31% (3923/12455)
>インターネットに接続し、資料の検索などに短時間使ってもらう。 グーグルとかで検索ということならセグメント分けしたほうが早いのでは。 社内資料で分散させているのなら、一つにまとめて(ファイルサーバーを新たに名照るか、既存のサーバーで利用できるところに専用フォルダを作りアクセス制限させ、クライアントPCに有料の検索ソフトを入れて、検索場所を固定し、起動すれば常にソフトが表示されるように設定して検索専用端末にする。
- nenosuke
- ベストアンサー率27% (87/314)
VLANでセグメントを分けて、 L3スイッチやルーターで制御するといいと思います
- trytobe
- ベストアンサー率36% (3457/9591)
ファイルサーバーの中のファイルなどにアクセスするための、ログインユーザー名とパスワードが必要なように、ファイルサーバーでの利用者制限を入れる、 というくらいで、あとはネットワークは自由にWANまで使わせる、というので十分かと。
お礼
回答ありがとうございます。
関連するQ&A
- 社内PCにネットワーク設定の許可を与えたいのですが
皆さんの力をお借りしたいと思います。よろしくお願いします。 現在、社内のPC(約120台)を管理しています。OSはWindows XPとWidows 7 Professionalです。 サーバはWindows Server 2003 R2でActiveDirectoryドメイン環境を構築しています。 会議で使用する際IPアドレスの設定だけ変更したいという要望が挙がっています。しかし、社内で使用しているPCは、使用者が勝手に設定を変更したりソフトのインストールしたりできないように必要最低限の権限(ドメインユーザ)しか与えていません。 PCを使用するユーザにローカル「Network Configuration Operator」グループを追加してあげれば解決するのですが、1台ずつ設定する必要があり工数が掛かります。また、「ActiveDirectoryユーザとアカウント」に登録されている「Network Configuration Operator」グループにドメインのユーザを追加してもうまくいきませんでした。 行いたい事は、ActiveDirectory内で管理しているコンピュータの「IPアドレスの設定だけ変更できる権限を与えたい」のですが、「1台ずつPCの設定をしないで行う方法があるか」という点で困っています。 ヒントだけでもいいので、ご存知の方がいましたらよろしくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- ログオン時に拒否されます。
Windows2003Serverをドメインコントローラーとした社内ネットワークと2000Serverをドメインコントローラーとする社内ネットワーク間でのユーザーのログインにおいて問題が発生しています。 それぞれのサーバーではActiveDirectryを使用してユーザーの管理とユーザーがログオンしたときにネットワークドライブが作成されるようにログオンスクリプトを設定してます。 Windows2003Serverのドメイン(仮にA.localとします)に属するユーザーが、2000Serverのドメイン(B.local)に属するパソコン(OS:WinXP)から、接続先ドメインをAに切り替えてログオンするとログオンスクリプトが作動せず、必要なネットワークドライブが作成されません。OSがWin2000のPCだと正常に機能するのですが。 それから、ログオンに失敗した2003Serverには「別のフォレストからのCN=<ユーザー名>,CN=Users,DC=A,DC=localがこのコンピュータにログオンしました。フォレストを超えたグループポリシーの処理は無効になっていて、このユーザーアカウントに対してループバックの処理がこのフォレストで強制されています」というイベントログがあがっていました。 グループポリシーの設定が必要なようなのですが、調べても説明が複雑なため困っています。 ご助力をお願いします。
- ベストアンサー
- Windows系OS
- ActiveDirectory導入について
初めまして。 初めて社内にActive Directoryを導入する者です。 Active Directoryに関する本やサイトを調べていますが、情報が無かったのでお聞きします。 1.PCやファイルサーバーのローカルフォルダを共有したいのですが、どのようにすればいいのでしょうか? フォルダのプロパティで、「共有」タブが出ていないので、共有フォルダを作れません。 Domain Usersグループのユーザーでは、共有フォルダを作れないのでしょうか? 2.ファイルサーバー(DC以外)をActive Directoryに参加させるには、そのサーバー用に 新規のドメインユーザーを作ってから、参加させる必要があるのでしょうか? 例:「ABCサーバー」用に「ABC_User」というドメインユーザー(Domain Usersグループ所属)を 作る必要があるのでしょうか? 3.ドメインユーザーにローカルのAdministrator権限を与えたいですが、どのようにすればいいでしょうか? 但し、ローカルのユーザー管理でAdministratorグループにドメインユーザーを手動で追加させる 方法はしたくありません。 Active Directoryについては、全くの初心者のため、非常に初歩的な質問ではありますが、なにとぞ回答をよろしくお願いします。 【環境】 DC:Windows Server 2003 DNS:BIND9.3.0 クライアント:Windows XP/2000 以上、よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- プロキシ設定
某フィルタリングソフトを使用してwebの制限をかけようとしています。 ローカルネットワークののパソコンにはプロキシを使いたくないので、 Windowsの設定で ■ ローカルアドレスにはプロキシサーバーを 使用しないというものチェックを入れているのですが、 ローカルに接続しようとするとプロキシを使用してしまいます。 ローカルでプロキシを使わない方法はなにかありませんでしょうか?
- 締切済み
- Windows XP
- Windowsサーバの管理でユーザー画面を開くことができません。
Windowsサーバの管理でユーザー画面を開くことができません。 Windows2000、富士通PRIMERGYを使っているのですが、マイコンピューター→管理→ユーザーを編集しようとすると「ローカルユーザーとグループ コンピューター×××はドメインコントローラーです。ドメインコントローラでこのスナップインは使用できません。ドメインアカウントはActive Directoryユーザーとコンピュータのスナップインで管理します。」と表示され、ユーザーに×印がついていて編集できません。特段なにか変更したわけでもアップデートしたわけでもないのですが変更できません。サーバはドメイン設定ですがクライアントはワークグループ環境で利用しています。 導入して約8年たつので故障かとも思いますが、対処方法ご存知でしたらお教えください。
- 締切済み
- ハードウェア・サーバー
- ローカルのAdministratorアカウントのパスワードを一括で変更するには
セキュリティの観点から、クライアントPCのローカルの『Administrator』ユーザーアカウント(管理者権限ユーザーアカウント)のパスワードを定期的に変更することになりました。 環境としては、Windows2000Serverによるドメインが構築されて、ネットワーク上のクライアントPC約150台はすべてWindows2000ProfessionalSP4で統一されています。 ドメイン上の管理者ユーザーのアカウントは簡単に変更できますが、ローカルの管理者アカウントのパスワードは1台、1台ログインして変更していかなければなりません。 しかも1週間に一度の頻度が予想されて、たいへんな手間となると思います。 いっそのことローカルの管理者ユーザーアカウントを削除してドメインの管理者ユーザーだけでクライアントPCを管理したいのですが、ネットワークが使用不可で管理者ユーザーでログインしなければならない状況が発生しないとも限りません。 何か良い方法があれば教えてくれますか。 また、このようなケースの場合どのように管理されているかもお聞かせいただけたらと思います。
- ベストアンサー
- その他(ITシステム運用・管理)
- Windowsローカルユーザからドメインユーザへ
Windows ServerのActive Directoryについて質問です。 今までWindowsローカルユーザで運用を行っていたパソコンがあり、そちらをActive Directoryへ参加させたいと考えています。 ドメインへの参加はうまく行ったのですが、今まで使っていたプロファイルが利用できず新しくプロファイルが作成されてしまいました。 今まで利用したWindowsのローカルユーザのプロファイルのデータをドメインユーザのプロファイルに移行するようなことは可能でしょうか? 諦めてドメインユーザで利用を開始するしかないのでしょうか。 ユーザ名はローカルとドメイン、どちらも同じものを利用しています。 Windowsのローカルユーザの時にカスタマイズした内容やメールデータなどが大量にあるため、ローカルユーザをドメインユーザに昇格させる様な事が出来ないかと試行錯誤しております。 ご回答宜しくお願い致します。
- 締切済み
- Windows系OS
- ネットワークの設定
Windows2000サーバーを使用しています。 新しい端末を購入してネットワークにつながるようにしたいと思い、 (1) サーバー側で、「管理ツール」の「コンピュータの管理」で新しいユーザーの登録をしました。 (2) 端末側でその名前で設定しました。 現在ネットワーク上のファイルがみれません。 このほかにどのような設定が必要でしょうか・・・? 初歩的な質問でお恥ずかしいですが、ネットワークのの知識がなく、 社内にネットワークに詳しい人がいなくて困っています。 どうぞ宜しくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- windows7で別セグメントへ接続できない
XPの販売が停止され、社内の端末を泣く泣くXPからWindows7へ入替始めました。 Windows7の端末に既存のアカウントでログインした際にネットワークドライブの接続に 問題があり、一部エラーとなってしまいます。 Windows7から別セグメントに接続する際にNetlogonサービスの設定をONにしないといけないという 記事を見たので管理者権限のあるIDで設定をしました。そこでは接続がうまくいったのですが、 パワーユーザ権限のIDでログインしてみるとやはり接続することが出来ませんでした。 どうやらネットワーク上のPCの検索で他のセグメントのサーバを見つけることが出来ていないようです。 パワーユーザ権限のIDでもネットワーク検索が出来るよう設定するにはどうすれば良いでしょうか。 ドメインサーバは2003を使用しています。 なお、作業者の都合でIDについてはドメインサーバからクラシックモードの設定がONになっています。 ※これのせいでアイコンのクリックがシングルになってしまいました…。 これが悪さしている可能性もあるのでしょうか。
- 締切済み
- Windows系OS
- 社内LANで私の設定だけできません。
社内LANで会社のパソコンを全員で共有して使用しています。私のIDでログインして起動・作業して、ATOKユーザ辞書やワードでの定型句登録した分がいつも消えてしまいます。他の同僚はみんな次回起動時も残って使用できるのにです。社内どのパソコンでも同じです。 どこかの設定が違うのでしょうか? 1 社内でドメイン認証を行っています。 すべて個別の社員IDとパスワードで起動 2 社内には200台の誰が使ってもよい社員 PC OS XP PROであり、ドメインサーバにてユーザの権限が割りあてられています。(私だけがどのPCでやっても消えます。) 3 他の社員(同僚)と同じ権限で仕事環境できるのに、前述の設定(辞書やワードの既定値設定・定型句等)だけが消えるのはなぜなのでしょうか? また、ネットワーク管理者にもどの部分を変えてもらえばいいのでしょうか?もう少し教えてもらえませんか?
- 締切済み
- ネットワーク
お礼
ありがとうございます。 ドメインに参加させる必要がないとわかってすっきりしました。