ADドメインでIPアドレスによるアクセス制御
- ActiveDirectoryを使用して、ファイルサーバを管理しています。あるフォルダ配下のファイルに対して、特定のIPアドレスからのアクセスを制限したいと考えています。
- Windows Server 2003 R2の環境で、ADでIPアドレスによるアクセス制御を行うことは可能ですか?可能であれば、具体的な設定方法を教えていただきたいです。
- ネット上で調べても詳しい情報が見つからなかったので、知識のある方にアドバイスをいただきたいです。
- ベストアンサー
ADドメインでIPアドレスによるアクセス制御
ActiveDirectoryを使用して、ファイルサーバを管理しています。 「あるフォルダ配下のファイルに対して、192.168.1.0/24のIPアドレスをもつ端末からは読み書き可能だけれど、それ以外のIPアドレスをもつ端末からは何もできない」 という設定を入れたいと考えています。 そもそもこの様な設定はADで可能なのでしょうか?可能であれば、設定方法を教えていただけると助かります。 (環境はWindows Server 2003 R2です。) ”サイト”オブジェクトをつかえばできるのかな、と思いネット上で調べているのですが、中々情報を見つけられなかったので質問させていただきました。 わかる方がいらっしゃいましたら教えていただけますと幸いです。
- nounounou
- お礼率89% (41/46)
- Windows系OS
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
サーバーマシーンで確認していませんが(ActiveDirectoryを使ってない物で・・・)、 WindowsXPにIISをインストールした設定では、WWWとFTPでは制限が可能です。 方法は、 c:\Inetpub\wwwroot c:\Inetpub\ftproot が、基本ホームページアクセスポイントですが、 (http://サーバーネーム/ or ftp://サーバーネーム/) 制限をかけたいディレクトリ(フォルダー)には別設定をかけます。 例えば、 http://サーバーネーム/制限フォルダー/ c:\Inetpub\www制限フォルダー っと言った具合にする事で、制限フォルダーをアクセス制限を色んな形で設定できます。 FTPも同じです。 これを踏まえて、ActiveDirectoryでも同じ設定が出来ないかご確認下さい。 多少コツがいると思います。 XPにActiveDirectoryはインストできないし、家のサーバーにActiveDirectoryをインストする気が無いので・・・・ まず、私のサーバー構成の場合はCドライブはOS関連、DドライブはDドライブは丸ごと共有です。 Eドライブはありませんが、Eドライブ(仮に3つ目のパーティション)のマウントポイントを「D:\制限フォルダー」とします。 パーティションの切り直しが困難場合は、別HDDにしてみるとか・・・ この時に、マウントポイント「D:\制限フォルダー」に対して、制限設定が出来ないかご確認下さい。 ActiveDirectoryをあまり勉強してこなかった者の意見は参考にならないかもしれませんが、この方向から調べてみてはいかがでしょうか?? ご検討を祈ります。
その他の回答 (1)
- pc_net_sp
- ベストアンサー率46% (468/1003)
追伸: 過去ログ検索ヒット http://okwave.jp/qa/q7095444.html 他、検索ワード「ActiveDirectory IP 制限」:「ActiveDirectory アクセス制御」 このあたりを参考にしてみて下さい。
関連するQ&A
- AD IP変更後のドメイン名 名前解決不可について
Windows2000のActiveDirectory IPアドレス変更後の名前解決不可について <構成> 2台のDNSサービス付 ActiveDirectoryサーバ 既に何不自由なく運用しておりました。 ActiveDirectoryサーバ2台のIPアドレスを変更する必要があり、IPアドレスを変更しました。 IPアドレス変更後、ActiveDirectoryサーバ2台とも、ドメイン名の名前解決が出来なくなりました。 具体的には、Pingで送信先をFQDNのドメイン名を指定しても、「Unknown host ドメイン名」と表示されます。 2台のActiveDirectory間の名前解決は出来ます。 特にHOSTSファイルやLmHostsでもドメイン名を指定していません。 ネットワーク設定も、IPアドレス以外変更していません。 何が原因として考えられますでしょうか。 また、ActiveDirectoryサーバのIPアドレスを変更する場合、DNS以外に変更する箇所はございますでしょうか。 恐れ入ります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- サーバのIPアドレスを知る方法
LANネットワークを組む場合、サーバや各クライアント端末にIPアドレスを設定します。 たとえば、サーバ内に「共有X」フォルダを作り、それを各クライアントで共有して使えるように、マイコンピュータにドライブ(R:)を設定されているとします。 このとき、クライアント側から、このドライブ(R:)のあるサーバのIPアドレスを知る方法はあるでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- ADのドメイン参加の認証について
教えてください。 ADサーバへのドメイン参加の認証にはIPアドレスを使わないのでしょうか? 関係のない端末についてはADサーバの前に設置されているL3スイッチのアクセスリストで 制御をおこないたいため、必要のないIPについてはdenyにしたのですがドメイン参加ができて しまいました。 このことから認証にはIPアドレスは関係ないのかなと思ったのですが、これという回答を 見つけることができず悩んでいます。 <作っている環境> ADサーバ | | L3スイッチ | | | | A端末 B端末 ADサーバ 192.168.10.1 A端末 192.168.20.1 B端末 192.168.30.1 L3スイッチ SVIでVLAN間ルーティングしている Fa0/1 VLAN10 192.168.10.254 Fa0/2 VLAN20 192.168.20.254 Fa0/3 VLAN30 192.168.30.254 アクセスリスト access-list 110 permit ip host 192.168.10.1 host 192.168.20.1 access-list 120 permit ip host 192.168.20.1 host 192.168.10.1 Fa0/1 ip access-group 110 in Fa0/2 ip access-group 120 in で設定しています。 この設定で A端末はログオン成功 B端末はログオン失敗 にしたいのです。
- ベストアンサー
- ネットワーク
- TigerのみAD環境の共有フォルダにアクセス不可
TigerのみActiveDirectory環境で共有フォルダにアクセスできない状況です。 原因及び対処方法がわからず、困っております。 ご教示頂けますようお願い致します。 【事象の状況】 1.Lion、Snow Leopard、Leopard、TigerでWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。(環境はワークグループ環境) 2.Lion、Snow Leopard、LeopardからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。 ただし、TigerからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスできない。(環境はActiveDirectory環境) 共有フォルダはActiveDirectoryサーバーに作成してあり、アクセス権の設定は問題ない。Lion、Snow Leopard、Leopardでは同じユーザーアカウントを使用して 共有フォルダにアクセスできているため。 3.ActiveDirectoryサーバーにTigerのコンピュータアカウントは追加できるが、コンピュータアカウント作成で使用したアカウントを使用してもアクセスできず。 4."Finder"より"サーバー接続"を選択して、サーバーアドレスにsmb://ActiveDirectoryサーバーのIPアドレスを入力すると"SMB/CIFSファイルシステムの認証"が表示され、ユーザアカウントを入力すると"名前またはパスワードが正しくないため、サーバに接続できませんでした。"が表示される。サーバーアドレスにsmb://ActiveDirectoryサーバーのコンピュータ名を入力しても状況には変わりがない。
- ベストアンサー
- その他(ITシステム運用・管理)
- AD の アクセス権
ADの環境であるフォルダの配下でユーザに対し 以下のアクセス権は設定可能ですか? - ファイルの作成・変更・削除可 - フォルダの作成は可 - フォルダの移動・削除は不可 ADの詳細のアクセス権のところを見ると以下のチェックしかないので、 だめでしょうか? - ファイルの作成/データの書込み - フォルダの作成/データの追加
- 締切済み
- その他(ITシステム運用・管理)
- ADドメインへ参加・認証するときのクライアントのDNSサーバのIPは?
いつもお世話になっております。ご教授よろしくお願いいたします。 ActiveDirectoryを新規セカンダリゾーンを構築し,2台目をセカンダリゾーンとしてADを構築しました。ともにDNSサービスはインストールし,ADはDNS統合ゾーンとなっています。 この状態へ2台目のドメインコントローラへ,クライアントが認証するようにし,障害等が起きている場合,1台目にて認証が行われるようにしたいですが,設定する場所は,「ネットワーク接続」のTCP/IP設定・「次のDNSサーバのアドレスを使う」に2台目と1台目のIPを設定すればよいのでしょうか。 よろしくお願いいたします。
- 締切済み
- Windows系OS
- ActiveDirectory昇格降格時DNS設定
ActiveDirectory昇格降格時DNS設定 現在、以下のActiveDirectoryサーバ2台で運用しています。OSはWindows2003 機能レベルは2000 Windows2008R2用に機能拡張済み ・ADサーバ01 ・ADサーバ02 ADサーバ01, 02 共にDNS設定は以下の通りです。 1.ADサーバ01のIPアドレス 2.ADサーバ02のIPアドレス この状態のADに、Windows2008R2の以下3台を昇格させます。 ・ADサーバ11 ・ADサーバ12 ・ADサーバ13 ADサーバ01, 02, 11, 12, 13の5台はそれぞれ、ADサーバ11, 12, 13昇格作業前のDNS設定は、以下の設定で問題はございませんでしょうか。 ・ADサーバ01, 02のDNS設定 1.ADサーバ01のIPアドレス 2.ADサーバ02のIPアドレス ・ADサーバ11, 12, 13のDNS設定 1.ADサーバ01のIPアドレス 2.ADサーバ11のIPアドレス 3.ADサーバ12のIPアドレス 4.ADサーバ13のIPアドレス 5.ADサーバ02のIPアドレス また、上記の通りAD5台体制が完成後、各種機能をADサーバ11に移し、ADサーバ01, 02は降格します。 その降格作業前にADサーバ11, 12, 13のDNS設定から、ADサーバ01, 02のIPアドレスを削除しておく必要はございますでしょうか。 それともDNS設定は、以下のままでよろしいのでしょうか。 ・ADサーバ11, 12, 13のDNS設定 1.ADサーバ01のIPアドレス 2.ADサーバ11のIPアドレス 3.ADサーバ12のIPアドレス 4.ADサーバ13のIPアドレス 5.ADサーバ02のIPアドレス お忙しい中恐れ入ります。 御存知の方がいらっしゃいましたら、ご返答お願いいたします。
- ベストアンサー
- SE・インフラ・Webエンジニア
- A.D.ドメインコントローラのアドレス変更は?
Windows2000のネイティブモードドメインでドメインコントローラ(以下DC)が2台ある環境です。 DCとしての機能のみでファイルサーバーでもアプリケーションサーバーでもありません。 それぞれ設置セグメントは別です。 これらDCに設置場所の移転予定があり、その際IPアドレス変更が発生すると思うのですが、そもそもそれは可能なのか?そうした場合の影響範囲は?作業時の注意点は? ・・という質問をぶつけられているのですが、ActiveDirectoryについてはまだまだスキル不足で即答できませんでした。 自分でもいろいろと調べている最中なのですが、スキルのある方々のお話も参考にさせていただければとやって参りました。 「自分ならこう答える」とか「こうなるはずだ」などのお話がありましたら是非お聞かせください。 お話を伺うにあたり、もし情報不足がございましたら補足させていただきます。 どうぞよろしくお願いします。
- 締切済み
- その他(インターネット接続・通信)
- LAN上のIPアドレスが知りたい
小規模(構内PC約60台)ですが社内のLANを管理している者で、ネットワーク端末、プリンター、ホスト(IBM-AS/400)を見ている者です。 社内LANのIPアドレス取得は基本的にDHCPサーバーによる自動取得ですが、一部のネットワークプリンター、サーバー、ホストは固定IP設定になっています。 管理のまずさから、固定IPアドレスを一部しか把握していないので、固定IP端末を追加する時に、空きのIPアドレスが判りません。 今後の事もあり、総て調べてドキュメント化したいのですが、LAN上の固定のIPアドレスの確認方法はあるのでしょうか? ※PCでの確認方法は判っています、主にネットワークプリンターでオプションでアダプターを取り付けてIP表示がないものが判りません。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- ドメイン外からのフォルダのアクセス権設定
こんにちわ。会社でNTの管理をしているものです。 初歩的な質問で申し訳ないのですがお願いします。 うちが管理しているAというドメインにファイルサーバ(Winnt4.0)があります。 このサーバのフォルダのアクセス権についてなのですが、 Aドメイン外でドメインには属さずワークグループで使用している人が アクセスし読み書きができるようにする方法は どのような方法があるのでしょうか? Aドメインにその人のアカウントを登録する方法しかないのでしょうか? またアカウントを登録するのなら相手がこちらを見れるように 何か設定しないといけないのでしょうか? ゲートウェイのアドレス(?)で何とかできるのでしょうか? うまく説明できなくすみません。 宜しくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
お礼が遅くなり、失礼しました。 ご回答いただきまして、ありがとうございました。