- 締切済み
ドメインコントローラーによるアクセス制限について
こんにちは。 ある企業でシステムを担当しておりますEU0419と申します。 ※カテゴリが不適切だった場合はご指摘下さい。 先日弊社のドメインサーバを変えました。 NT4.0からWS2008へという大胆な入れ替えだったため、いろいろと勝手が違い問題が生じています。 中でも問題なのがイントラネットへのアクセスです。 社内ではイントラネットを利用しているのですが、ドメインサーバ変更以降、そのイントラへのアクセスがかなり制限されてしまうようになりました。 かつてはPC・アカウント・ブラウザを問わずアクセスできたのですが、現時点での利用可能な条件は、下記のみです。 ・一度に一アカウントのみ(アクセスは複数可能) ・IE以外(Firefox、Chromeでは可能) その他わかっているのは下記事実になります。 ・アカウントでもドメインアドミン権限があるアカウントはIEでもアクセス可能 ・一度一つのアカウントでログインすると他のアカウントはイントラサービスを再起動するまでは受け付けない ・IEのセキュリティレベルを変更しても結果は同じ ・ウェブサーバのローカルアカウントが必要(に見える) イントラネットはドメインサーバとは別のサーバ上にあり、WS2008です。このウェブサーバは事情がありドメインに参加していません(これまでドメインサーバがNT4.0だっためWS2008はGUIでは参加できなかったのが理由だと思われます。今回の入れ替え時にドメインに参加させてみましたが、イントラがうまく動かなかったため、今は已むなく外しています)。 プログラム、ウェブサーバは何も変更しておらず、変わったのはドメインサーバ(必然的にワークステーションの参加しているドメイン)のみです。よって解決策はドメインコントローラにあると考えています。 変更してみたポリシーは下記の通りです(英語環境です)。 Administrative Templates - Windows Components - Internet Explorer - Security Features - Local Machine Zone Lockdown Security >>> Disabled * Administrative Templates - Windows Components - Internet Explorer - Security Features - Network Protocols Lock Down - Intranet Zone Restricted Protocols >>> Disabled * Administrative Templates - Windows Components - Internet Explorer - Security Features - Network Protocols Lock Down - Local Machine Zone Restricted Protocols >>> Disabled Administrative Templates - Windows Components - Internet Explorer - Internet Control Panel - Security Page - Intranet Zone - Java permissions >>> Enabled *印はDisabledも未設定も同じなはずですが、念のため...。 Active Directoryが初めての経験のため、何分知識不足でポリシーの変更もどこをどうすれば良いのか手探りな状態です。 対応策がお分かりの方、ご教示頂けると大変助かります。 よろしくお願いします。
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- jeee
- ベストアンサー率52% (119/227)
参考に IEのバージョンは何ですか。 IE8からセッション管理方法が変更されました。 IE7までは、メニュー等から実行させると別プロセスで起動されセッション情報が別で管理されていましたが、IE8では既に起動しているIEが合った場合にはそのセッション情報を引き継ぐようになりました。 このため、一度ログインすると、IEを起動してもログインを引き継ぐため、複数のログインができなると思います。 これは、シングルサインオンを実現させるための機能だと思います。 この当たりを参考に http://journal.mycom.co.jp/column/windows/078/index.html 従い、このセッション情報を引き継がなくする方法として、メニューバーから「ファイル」「新規セッション」を選択するとできると思います。 次にIEのオプションがあり、上記と違いますので確かめてください。 http://masaog.wordpress.com/2010/01/19/internet-explorer-%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3-%E3%82%AA%E3%83%97%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E3%81%BE%E3%81%A8%E3%82%81/
関連するQ&A
- イントラ内のWEBにアクセス制限はどのように???
イントラ内で公開しているWEBページにアクセス権を付与して限定した人だけに公開は可能でしょうか? (ファイルサーバのような制限はつけれないですよね?) クライアントもサーバも同一ドメイン内という環境です。(全部Win系) そのクライアントでも限られた人のみに見せるページを作りたいと思うのですが、アクセス制限を掛けることは可能でしょうか?
- ベストアンサー
- HTML
- 完全修飾ドメイン名に対する一般名とは何ですか?
http://windows.microsoft.com/ja-jp/windows-vista/changing-intranet-security-settings インターネットとイントラネットの違いは何ですか。 この項目内にイントラネットサイトは一般名によりアクセスできるとありますが、 FQDNとはどう違うのですか? 完全修飾ドメイン名とは、コンピュータ名+ドメイン名のことで、 これをインターネット上のDNSサーバーを介して検索、アクセスしているという事はわかります。 また、社内ネットワーク内のイントラネットサイトにアクセスするのには、おそらくインターネットを介さなくて済むのだろうとは思うのですが…。 お願いします。
- 締切済み
- ネットワーク
- ドメイン外からのフォルダのアクセス権設定
こんにちわ。会社でNTの管理をしているものです。 初歩的な質問で申し訳ないのですがお願いします。 うちが管理しているAというドメインにファイルサーバ(Winnt4.0)があります。 このサーバのフォルダのアクセス権についてなのですが、 Aドメイン外でドメインには属さずワークグループで使用している人が アクセスし読み書きができるようにする方法は どのような方法があるのでしょうか? Aドメインにその人のアカウントを登録する方法しかないのでしょうか? またアカウントを登録するのなら相手がこちらを見れるように 何か設定しないといけないのでしょうか? ゲートウェイのアドレス(?)で何とかできるのでしょうか? うまく説明できなくすみません。 宜しくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- サブドメインの委任について
BIND9.3.1を使用してDNSサーバを 構築する実習を行っています。 自班が管理するゾーンは group5.intra-test.ac.jpです。 サブドメインsub.group5.intra-test.ac.jpを として他班に委任します。 また自ゾーンのホストに設定されるIPアドレスは 192.168.105.xxx(xxxは1から254まで)とし、 サブドメインのホストに設定されるIPアドレスは 192.168.205.xxx(xxxは1から254まで)としています。 この場合のnamed.confと正引き・逆引き ゾーンファイルはどのように設定すれば よいのでしょうか? どなたかご指導願います。
- 締切済み
- Linux系OS
- 追加ドメインコントローラのDNS構成
Windows Server 2003のサーバ2台で、ActiveDirectoryを構成しようとしています。 新規でドメイン(xxx.local)を構築し、そのドメインへもう1台追加させDNSのインストールを行おうとしています。 サーバの役割管理からウィザードを起動し、各項目を以下の通り設定しました。構成:「前方参照ゾーンを作成する」 プライマリサーバーの場所:「このサーバーがゾーンを保守する」 ゾーン名:「xxx.local」 動的更新:「セキュリティで保護された動的更新のみを許可する」 フォワーダ:「いいえ」 上記設定でDNSサーバーの構成ウィザードを完了させた所、「前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。」というメッセージが出力されました。 ウィザード自体は、「このサーバーはDNSサーバーになりました」というメッセージが出力されて終わります。 また、DNS管理コンソールを開くと、前方参照ゾーンのxxx.local配下のフォルダに「_msdcs」、「_sites」、「_tcp」、「_udp」などがありますし、DNSサーバーとして問題なく構成されているように見えます。 なぜ、「前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。」というメッセージが出力されるのでしょうか? DNS構成より前にドメコンにしており、ActiveDirectory統合ゾーンでDNSをインストールしているため、上記のようなメッセージが出力され、ゾーン情報自体はADによって同期されたため正常に構成されているように見えるのかと考えておりますが。 ご存知の方がおりましたら教えて頂きたいと思います。
- 締切済み
- その他(Windows)
- ドメインコントローラ(active directory)について
こんばんわ。 このたび、server2003でドメインコントローラを構築しました。 幾つかのパソコンから登録したユーザにアクセスできることを確認したので、結果良好と思われたのですが、 いかんせんデスクトップに保存したデータがローカルには残るが、別クライアントからアクセスした時には全く反映されていないという状態になっておりまする。 これを解消(どのクライアントからアクセスしてもデスクトップが共通に見えるように)するにはどのような対応をとればよろしいのでしょうか? また、その際セキュリティ面で気をつけることがありますればお教えください。 よろしくお願いします。
- ベストアンサー
- Windows系OS
- htaccessでこのようなアクセス制限は可能!?
コアサーバを利用しています。 (コアサーバを利用していなくても、わかる方はぜひ教えてください。) マルチドメインで3つのドメインを動かしていますが、1つ知人用にドメインを取り、その一部を知人に貸すことになりました。 FTPもドメインごとに設定できるので、私のドメインのファイルを見られる心配は無いのですが、サーバでの説明では「FTP上では、別のアカウントにアクセスはできないが、CGIやPHPで他のアカウント(ドメイン)のフォルダにアクセスして、ファイルを書き換えることは可能なので注意。」というような文面がありました。 先日、実際に試して見ましたが、FTPではアクセスできないファイルを見事に書き換えることができました。 これを防ぎたいのですが、htaccessで制限できますでしょうか? ディレクトリ構造は下記のようになります。 public_html ├ test1.jp ├ test2.jp ├ test3.jp └ tsuika1.jp tsuika1.jp から "../test1.jp/ファイル名" とした場合でもアクセスできないようにすることができれば幸いです。 何か全く別のアイデアでも構いません。 ぜひともよろしくお願いいたします。
- 締切済み
- ネットワーク
- AccessをPC5台で共有して使っております。
AccessをPC5台で共有して使っております。 OS XPHOME Accessで作成したファイルを開くと以下の用なエラーメッセージが 表示されました。 ファイルを開けません。 このファイルは、イントラネット外または信頼されていないサイトに保存されています。 セキュリティ上問題がある可能性があるため、ファイルを開きません。 ファイルを開くには、ローカル コンピュータまたはアクセスできるネットワークの保存場所にいったんコピーしてください。」 そしてネットで解決方法を調べてみると 解決策は 1. Internet Explorer で、[ツール] メニューの [インターネット オプション] をクリックします。 2. [セキュリティ] タブで [イントラネット] をクリックし、[サイト] をクリックします。 3. [詳細設定] をクリックし、[次の Web サイトをゾーンに追加する] ボックスに *.ドメイン.com または IP アドレス範囲 (たとえば、157.54.100-200.*) を入力します (ここで、ドメイン.com は、トップレベルのドメイン名です)。 4. [追加] をクリックし、[OK] を 2 回クリックします。[OK] をクリックして [インターネット オプション] ダイアログ ボックスを閉じます。 5. コンピュータを再起動します。 と表記されているものを見つけたのですが3の *.ドメイン.com を追加するという記載がありますが *.ドメイン.com というものは何を指し示しているのでしょうか。。。 よく理解できません・・・ 恐れいりますがご教授下さい。
- ベストアンサー
- オフィス系ソフト
- ActiveDirectoryのグループポリシーの設定について質問です
ActiveDirectoryのグループポリシーの設定について質問です。 InternetExplorer(IE)のセキュリティゾーン(イントラネット)を変更して ドメインに参加しているクライアントPCのIEのセキュリティゾーンの設定をコントロールしたいのですが、 以下の手順で行った限りではまったく反映されていないようです。 ・GPOの[ユーザーの構成]-[Windows の設定]-[Internet Explorerのメンテナンス]より セキュリティの変更(イントラネットの未署名のActiveXを有効 ・上記のGPOを指定のOUへ設定 ・クライアントPCから上記ドメインにログオン(指定OU内のユーザ) ・IEを起動 → ツール→インターネットオプション→セキュリティを確認 →変化なし ActiveDirectoryのサーバ:windows2008server クライアントPC:windows2000 SP4、IE6 SP1 ちなみにやりたいことは、イントラネット上のサイトでVBSを使用しており、そこからExcelマクロを 実行しているのですが、その際に未署名のActiveXがデフォルトのセキュリティでは弾かれてしまうのを ユーザのオペレーションなく有効にしたいのです。 どんなことでも構いませんので、何かご存知の方いらっしゃいましたら、よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ローカルサーバのドメインへの参加について
部署内でローカル(ワークグループ)で運用しているファイルサーバ『soumu』(Windows2000ServerSP4)があり、ローカルのアカウントを作成してフォルダを管理しています。これをセキュリティの必要上から社内の大きなドメイン『shanai』(Windows2000ServerでADを構築)に参加させようということになりました。 ローカルのアカウントは、『shanai』ドメインのアカウントと同じもので作成してパスワードも同じに設定しているためこれまでは特に意識することなく『soumu』サーバにアクセスできました。 しかし、『soumu』サーバを『shanai』ドメインに移行したところ、クライアントPC(Windows2KProSP4)からはeveryone権限が設定されているフォルダにしかアクセスができなくなりました。(それ以外のアクセス権を設定しているフォルダへは『アクセスが拒否されました』となります) 『soumu』サーバにはグループを作成して細かくアクセス権限をフォルダごとに設定していますので、同じ環境を引き継ぐことはできないでしょうか。 込み入った説明でわかりづらいと思いますが、どうかよろしく願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
jeeeさん、 アドバイスありがとうございます。 IEのバージョンは8です。 教えて頂いたリンク先も拝見しました。 ですが、単一アカウントしかログインできないのはIE上だけではなく、 一度一つのアカウントでログインすると 他のブラウザからも 他のマシンからも 他のアカウントは受け付けなくなるのです。 しかしIEのセッション管理については知りませんでした。 今後の参考にさせていただきます。 ありがとうございました。
補足
その後の調査で幾つか訂正事項があるのでここに記載します。 > ・アカウントでもドメインアドミン権限があるアカウントはIEでもアクセス可能 権限は関係ないことがわかりました。 > ・一度一つのアカウントでログインすると他のアカウントはイントラサービスを再起動するまでは受け付けない サービスを再起動しなくても、 全てのセッションが閉じた後では別のアカウントを受け付けるようになるようです。 > ・ウェブサーバのローカルアカウントが必要(に見える) 不要だと判明しました。 よろしくお願いします。