社外の人に操作させるWindowsPCの設定

情報システム部門で勤務しています。
Windows PCの設定で質問をさせてください。
以下のようなPCを用立てることがあるのですが、その設定についです。

　使用者：お客様や業者さん
　用途：インターネットに接続し、資料の検索などに短時間使ってもらう。
　ネットワーク環境：社内のネットワークに接続されている
　PCのハード：デスクトップ型
　OS : Windows 7
　ソフトウェア: アンチウィルスソフト、クライアント管理ソフトをインストール済み
　その他 : ファイアウォールの設定で極力不要な通信は禁止済み

このPCを社内のサーバなどにアクセスできないよう、制限をしたいと考えています。
Active Directoryドメインを構築しているのですが、
このPCをドメインに加入させるべきか否かがよくわかりません。
以下の３パターンを思いつくのですが、この用途で考えるとどれが望ましいでしょうか？

　(1)ドメインに加入させた上で、制限をかけたドメイン上のユーザを使用してもらう。
　(2)ドメインに加入させた上で、PCローカルの制限ユーザを使用してもらう。
　(3)ドメインに加入させず、PCローカルの制限ユーザを使用してもらう。

他にも選択肢があればご教示頂きたいです。
また、ドメイン以外にも気にするべきことがあれば、アドバイスを頂ければ幸甚です。

何を管理・制限するのか、どうやってなのか？というポリシー次第なのかもしれませんが、
皆様の現場でどのような運用をされているのかお聞かせいただきたいです。

本来はネットワークを切り離すべきかと思いますが、今回はPC側の調整のお話をお願いします。

ベストアンサー 日吉 龍（@VDSL） 回答No.3

こんにちわ。

文脈からすると、インターネットにさえ接続できればいいんですよね？それであればドメインに参加させる必要性は皆無です。ドメインに参加させる必要があるとしたら、当該ドメインにあるリソースにアクセスする必要がある場合だけです。

書かれているとおり、本来であれば物理的に別NWとするべきでしょうが（私の職場もそうしています）、何らかの理由で他の社員と物理的に同一のネットワークに当該PCが接続されるのであれば、私ならば
　・ドメインには参加させない
　・利用させるアカウントは制限ユーザ
　・ブラウザにプロキシを設定し、そこですべてのアクセスログを取る（プロキシを外すとインターネットには接続できない）
　・プロキシサーバで、当該端末にHTTPとHTTPSのみを許可するACLを書く。
　・インターネット接続に不要なアクセスはファイアウォールですべて止める。
　・（面倒ですが）誰かが利用したら利用前の状態に復元し、その誰かが残したファイル等を完全に削除する

くらいはやると思います。なお、ネットワーク的に可能であれば、訪問者用のVLANを用意して当該VLANに接続するのが望ましいです。そうすれば、物理的には同一ネットワークに接続されていても論理的にはLayer 2レベルで他の端末から切り離されるので、さらに安心になるでしょう。

お礼 2016/04/15 07:44

ありがとうございます。
ドメインに参加させる必要がないとわかってすっきりしました。

takuranke 回答No.4

＞インターネットに接続し、資料の検索などに短時間使ってもらう。

グーグルとかで検索ということならセグメント分けしたほうが早いのでは。

社内資料で分散させているのなら、一つにまとめて（ファイルサーバーを新たに名照るか、既存のサーバーで利用できるところに専用フォルダを作りアクセス制限させ、クライアントPCに有料の検索ソフトを入れて、検索場所を固定し、起動すれば常にソフトが表示されるように設定して検索専用端末にする。

nenosuke 回答No.2

VLANでセグメントを分けて、
L3スイッチやルーターで制御するといいと思います

trytobe 回答No.1

ファイルサーバーの中のファイルなどにアクセスするための、ログインユーザー名とパスワードが必要なように、ファイルサーバーでの利用者制限を入れる、

というくらいで、あとはネットワークは自由にWANまで使わせる、というので十分かと。

お礼 2016/04/15 07:41

回答ありがとうございます。