ドメインコントローラで実現できることとは?
- Activedirectoryを使用したドメインコントローラでは、グループごとの隔離や共有ファイルサーバー・共有プリンターの利用が可能です。
- 特定のグループは外部接続を制限することもできます。
- ドメインコントローラでの制限は柔軟で、必ずしも厳格なものである必要はありません。
- ベストアンサー
Activedirectoryで出来ること
社内に2003Serveでドメインを立てようと勉強を始めました。 PCやネットワーク管理は経験が有るのですが、ドメイン立ち上げは初めてです。PCは10台程度しか無く小規模です。 1)4つのグループに分け、グループ間は隔離したいのですが、共有ファイルサーバー、共有プリンターを使いたい。 2)特定のグループはWindowsUpdate等の一部のサイトを除いて外部接続を制限したい。 3)上記制限は極端に強固なモノでなくても良い。 以上のような案件の場合、ドメインコントローラでどこまで出来るのでしょうか? 大まかな概念、検索キーワード等を教えていただければ、助かります。 以上宜しくお願いいたします。
- arch1971
- お礼率50% (1/2)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> ローカルフォルダをLAN内全てに公開してしまうことが出来ますよね?。これがドメイン管理だと制限出来るのかな?と言う初歩的質問でした 単純にユーザにPCの管理者権限を与えてしまえば、ユーザはそのPCに対してフォルダの共有も含めてすべての作業を実施することができるようになります。 これを抑制する方法ですが、ちょっとADの中では見あたりません。 ユーザに完全な管理者権限を与えないのが一番かも。 > A2) URLFilter機能のあるルーターをLAN内グループ出口に入れる。 等の方法がお手軽な気がしてきました 私もそう思います。 ADの基本的な目的は、ユーザのアカウントを集中管理することにあります。副次的な機能として、アクセス権限やPCの設定などを一貫性を持たせながらある程度設定する機能を持ちますが、万能ではありません。 適宜、必要なツールを利用するようにしたほうがよいと思います。
その他の回答 (1)
- Toshi0230
- ベストアンサー率51% (836/1635)
A1) 「隔離」の意味がはっきりしませんが、たとえばファイルサーバで互いのデータにアクセスできないようにする、といったことは可能になります。 アクセス権の設定を、ドメインのアカウントベースで実施することで容易に実現できるようになります。 A2) グループポリシーの設定で多少制限を加えることができますが、試したことはないので実効性については「?」です。 詳細な制御をやるのであればADだけでは無理で、ISAなどほかのサーバ類を導入する必要があります。
補足
ご回答有り難う御座います。感謝します。 そもそもドメインで何が出来るのか? なので、ドメインが必要なのか?? な段階です。判りにくい質問で済みません。 > A1) 「隔離」の意味がはっきりしませんが ワークグループだとクライアントユーザーにマシンに対する管理者権限が必要な場合、ローカルフォルダをLAN内全てに公開してしまうことが出来ますよね?。これがドメイン管理だと制限出来るのかな?と言う初歩的質問でした。 > A2) URLFilter機能のあるルーターをLAN内グループ出口に入れる。 等の方法がお手軽な気がしてきましたが如何でしょう。 ご意見いただければ、幸いです。
関連するQ&A
- ActiveDirectory導入について
初めまして。 初めて社内にActive Directoryを導入する者です。 Active Directoryに関する本やサイトを調べていますが、情報が無かったのでお聞きします。 1.PCやファイルサーバーのローカルフォルダを共有したいのですが、どのようにすればいいのでしょうか? フォルダのプロパティで、「共有」タブが出ていないので、共有フォルダを作れません。 Domain Usersグループのユーザーでは、共有フォルダを作れないのでしょうか? 2.ファイルサーバー(DC以外)をActive Directoryに参加させるには、そのサーバー用に 新規のドメインユーザーを作ってから、参加させる必要があるのでしょうか? 例:「ABCサーバー」用に「ABC_User」というドメインユーザー(Domain Usersグループ所属)を 作る必要があるのでしょうか? 3.ドメインユーザーにローカルのAdministrator権限を与えたいですが、どのようにすればいいでしょうか? 但し、ローカルのユーザー管理でAdministratorグループにドメインユーザーを手動で追加させる 方法はしたくありません。 Active Directoryについては、全くの初心者のため、非常に初歩的な質問ではありますが、なにとぞ回答をよろしくお願いします。 【環境】 DC:Windows Server 2003 DNS:BIND9.3.0 クライアント:Windows XP/2000 以上、よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- ActiveDirectoryで一般ユーザーにadministrator権限を与えるには
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。
- ベストアンサー
- Windows系OS
- サーバー(ActiveDirectory)への接続が遅くなってしまった
WindowsNTServerを入れ替える為にWindowsNTServerのBDC用パソコンを仮に立て、そのPCをPDCに昇格しそれをWindowsServer2003にアップグレードし、新サーバー用PC(WindowsServer2003)をその追加ドメインコントローラーとして立ち上げ、現在はその新サーバー用PCで稼働しています。(既存のWindowsNTServerは撤去しました) 新サーバー移行後、2日間位は社内ネットワークは問題なく動いていたのですが、急にクライアントPCから新サーバー(共有ファイル)への接続が遅く?なってしまいました。(クライアントPCから新サーバーへ接続しようとするとフリーズしたみたいになってしまう。※おそらくサーバーへの接続反応が遅いのでそうなっていると思います) 何が原因か不明なのですが、どなたかアドバイスをお願いします。 私が思っていること ・クライアントPCは以前はドメインで動いていたのだが、サーバー入替によってActiveDirectoryになったのでDNSに新サーバーのIPアドレスを入れていないからか? ・もしくはActiveDirectoryの問題ではなく単純にネットワーク上の障害なのか? ・もしくはサーバーがハードウェア的におかしくなったのか?(まだ買ったばっかりですが・・・) ちょっと情報不足なところがあったらスミマセン。 どなたか心当たりなどわかる方いたらよろしくお願いします。m(_ _)m
- 締切済み
- Windows系OS
- ActiveDirectoryとWINSについて
いつもお世話になっています! 先日講義でこんな実習をしました。 1.教室で4チームに分かれて、それぞれ4つの異なるセグメントを構築 2.すべてルータを挟み通信可能 3.教室全体で1つのドメインを構築(各チームに1台ActiveDirectoryをイ ンストールしてドメインコントローラを構築) 4.各チームに1台DHCPサーバ構築 5.ドメインユーザを複数登録 6.クライアントPCとして、Windows2000Proが1台、Windows98が1台 7.WINSサーバ設定 設定は以上です。 ここで、先生が「Windows98がいるのでWINSを設定しないといけない」とおっしゃったのですが、なぜだか理解出来ぬまま講義終了となってしまいました。 つまりWin98がいなければ、いらないということだと思うのですが、いまいち分かりません。 ActiveDirectoryインストール時にDSN設定をしたので、DNSがありますが、Win98ではDNS機能は使えないということでしょうか? Win98のTCP/IP設定画面でもDNSを使うとか、使わないといった設定があった ような気がします。 98がいるとWINSがいるの意味がよく理解できません! どなたか、教えてください!!
- 締切済み
- Windows系OS
- ActiveDirectoryで印刷を制御する方法
WindowsServer2008が会社にあり、ActiveDirectoryでネットワークが構築されています。 そのActiveDirectoryを利用して、特定のユーザーグループのみ、 印刷を許可しないように設定できるかどうか、教えてください。 -----------------当方の環境------------------ ・プリンタドライバは共有ではなく、各PCにローカルでインストール ・PCは数十台あり、WindowsXP ProとWindows7 Proが混在 ・印刷を許可したくないユーザーグループは、DomainUsersに所属 --------------------------------------------- また、Domain adminsに属しているグループの、特定のユーザーのみ印刷不可にすることは可能ですか? ActiveDirectoryは以前の担当者が構築したものであり、詳細がわからず困っております。 マイクロソフトのサイトを参照しても要領を得ない為、質問させていただきました。 回答よろしくお願い致します。
- 締切済み
- その他(ITシステム運用・管理)
- winxp パスワードがわからない
【ログインできない】新マシン設定し社内のドメインに同一コンピュータ名でログインしてしまい、旧PCが「ドメインに接続できません。ドメインコントローラがダウンしている。。。」となります その後新マシンは新しいコンピュータ名でログインし直しました。 社内の管理者からはローカルでログインしてワークグループに戻せば大丈夫。といわれたのですが、Administratorのパスワードを忘れて、セーフモードでも立ち上げできません。旧PCには必要なデータが残っていますので何とかローカルでもいいので立ち上げる必要があります。どうすればいいでしょうか。。。。 旧マシン:winxp 新マシン:win7
- 締切済み
- Windows XP
- Active Directoryのサイトについて
はじめまして。 サイトの概念がいまいちつかめないので、教えてください。 1つのドメインに2つのドメインコントローラを用意しました。 そして192.168.1.0/24をサイトAに、192.168.2.0/24をサイトBにサイトリンクを貼ったのですが、192.168.2.100のメンバPCが192.168.1.0/24の方のドメインコントローラにログオンしてしまいます。 サイトを構築することによって、同じセグメントのサイトBの方にログオンすると推測していたのですが・・・ 現在、ADの勉強をしているのですが、サイトの概念について間違って理解していますか? 原因の推測としては、サイト構築の直前に、192.168.1.0/24のドメインコントローラにログオンしていたことでログオン先情報がキャッシュに残っているのではないかと考えています。 もしそうであれば、キャッシュを消す方法についてご教授いただけないでしょうか。 なお、サイト構築してから、サーバPCの再起動は行っていません。 サイトの設定を行ったら、サーバPCを再起動する必要があるのでしょうか? よろしくお願いします。
- ベストアンサー
- Windows系OS
- ここがすごいドメインネットワーク!を教えて下さい。
こんにちは。 技術者がいない為、能力の限界を感じながら、運用してる管理者です(T_T ●聞きたい事 ドメインネットワークで管理する事による恩恵 ドメインコントローラー(2000server)を使っています。 PCは15台程度、ネットワークカメラ8台、ネットワークプリンタ8台 の稼動で、6年前にワークグループから変更しました。 ドメインコントローラーは、DHCPも担っています。 ●ワークグループから移行のきっかけ *当時 PC8台、ファイル共有PC3台、カメラ3台、プリンタはPCにつないで共有 *windows2000とかNTを、ファイル共有用に立ち上げていた。 (1)クライアントが10台以上に増えそう。 (2)容量不足でファイル共有用を増やした時、ユーザー設定を やるのが面倒だった。 *DHCPは、ルーターがやっていた。 (1)ルーターのIP割り当てが15台程度までが望ましいとあり、 不安定になる事が多かった。 ●サーバー屋さんに相談して、2000server購入 上記問題は解決。 *憧れは、いつか2003serverになって、リモートデスクトップから プログラム起動、クライントを本当のクライアント(端末)だけに する事だった。 (端末が壊れたら、最小限の設定をして繋げるだけ。) が、使いたいソフトが重過ぎる(photoshop)だったので、よくない かもと言われ、いきなり挫折。 *使っていたDBソフトが、XPの管理権限でないと動かないソフトであった 為、ドメインネットワークにログインするユーザーと同じユーザー を結局、クライアントPCに設定しなければならない事が判明。 *移動式プロファイルを使いたかったが、ドメインコントローラーが 壊れた時を懸念して、出来ていない。 ●現在 ドメインコントローラーのPCが壊れたらどうしようと不安中。 (上記問題解決から、ファイルサーバーとしても活躍中 さらに、ドメインログインと本体ログインでデスクトップショートカット とかが異なってくるので、どうなるか不安) どうにも現在、知識・能力不足でドメイン管理の恩恵が受けられていない気がする。 元々の問題は、現行のルーターやネットワークHDで解決できそう。 セキュリティもほぼ今と同じような状態でつける事ができます。 シンクライアントというのを知り、それなら本当に端末化できる?? とも悩み中、が、結局、知識不足で得する事がなさそう?? 新たにDBソフトはFileMakerに移行中、FileMakerserverは、ドメイン コントローラーにインストールしているが、普通のPCでもよさそう。 万一の時の復旧がより楽なのがいい。 ドメイン管理は、もっともっと人数が増えてから? と、考えて、ワークグループに戻そうかと悩んでいるのですが・・・ ドメインで管理されている皆様 ここが本当はすごいんだよ! というのがあれば教えて下さいませ。 宜しくお願い致します。 長文申し訳ございません。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインに入っているPCとワークグループに設定しているPCとの共有
お世話になっております。 ドメインに入っているPCとワークグループに設定しているPCとの共有って できますでしょうか。 普通だったら、共有は ワークグループ名が同じじゃないとできませんよね? じゃあ、ドメインの場合は? 具体的にはXP proで 説明すると マイコンピュータ右クリックプロパティ→コンピュータ名タブ→「変更」クリック→ 開いた画面の下の方に「ドメイン」と「ワークグループ」を設定するところがありますが、 共有したいPC 1台は ドメインに名前がはいっており、 もう一台は ワークグループに名前が入っています。 通常だと、これだと、検索して コンピュータはあるとはわかっても、その下のファイルを開いて見れない(共有できない)と思いますが、できますか? またはできる方法はありますでしょうか
- 締切済み
- その他(ITシステム運用・管理)
- ActiveDirectoryでの調査
■目的 不要になったActiveDirectory上のComputersに登録されている情報を削除 ■懸念 誤った情報を消してしまうとユーザが利用するときに再ドメイン参加しなければならない DomainUserがログインした履歴から調査してもいいのでしょうが 同じ端末を使うとは限らず(例:会議室の共有PCとか) 頭を悩ませてます。 ■環境 Windows2003ServerR2 32bit ADSIEdit.mscはインストールされてます。 ■やりたいこと 作業日から半年以上使っていないホスト名を削除するなど 調査するにはどのように調査すればいいのでしょうか。 可能であれば、CSVに出力したい。 また、作業にあたって、ホスト名を削除するだけでいいのでしょうか。 他のハードウェア(Win2003)でDHCP/Winsサーバなどがあります。 AD上のホスト名を整理する意味で注意事項などありましたら どなたかアドバイスをお願いします。
- ベストアンサー
- Windows系OS
お礼
適切なご回答有り難う御座います。 調べ物をして「出来ること」は比較的簡単に探せるのですが、 「出来ないこと」はなかなか確証が得られないモノです。 頂いたアドバイスに沿って検討していきます。