• ベストアンサー

LAN内でのグループ分け

LANの組み方についてお尋ねしたいことがありますのでよろしくお願いします。 例えば20台のパソコンでLANを組むとします。それをそれぞれ10台ずつのA・Bの2つのグループに分け、BグループからAグループへのアクセスは遮断しながら、AグループからBグループへのアクセスはパターンによって許可出来るようなLANの組み方はできるでしょうか。 Aグループのパソコンは共用したいと思っていますから、使う人間が特定されていません。 ある条件を満たした人間が使う場合にはBグループへのアクセスを許可し、満たさない場合にはアクセスを禁止したいのです。 ルーターやサーバーのセキュリティでは使われるパソコン自体によって判別されますから、アクセスを許可される人間に”なりすます”ことが出来てしまいます。グループウェアソフトにそのような物がないかとも思いましたが、これも許可するパソコンを登録する方式でしたので”なりすまし”を見破ることは出来ないように思われます。 アクセスの際に必ずパスワードを要求するようにし、あるパスワードが入力されればフルアクセスが可能になり、別のパスワードなら違うグループにはアクセス出来なくなるようなシステムなら理想的だと思っています。 このようなことが可能でしょうか。 もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
noname#30727
noname#30727
回答No.4

>ハブが1台あれば何台かのPCでLANを組むことが出来ます。その中の1台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。 ドメインにはドメインコントローラーが1台以上必要で、Server OSをインストールするときに、ドメインコントローラーにするかどうか聞いてきます。 ドメインに接続するように設定されているPCは、ドメインコントローラーが無いと基本的にはログオンできませんので、ドメインコントローラーは、365日24H運転させるのが一般的です。 >この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。 ログロン認証や共有リソースを開く際にドメインコントローラーを参照するのだと思いますが、常にドメインコントローラーを経由すということではありません。 各PCの設定としては、ネットワークの設定で、ワークグループ名かドメイン名を入力するところがありますが、ドメイン名を入力して、ドメインに接続するようになっていれば、それ以外には特にすることはありません。 >XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。 MEでも98でもkyoto04さんの期待どおりにできたと記憶していますが、95系はずいぶん使っていないので、正確には覚えていないです。 XP HOME はドメインに接続できませんが、ワークグループ名がドメイン名と同じで、ユーザー名とパスワードが同じであれば、共有リソースへのアクセスはなんとかなります。ドメインに接続していると、各ユーザーが自分のパスワードを変更すれば、ドメインコントローラー内のパスワードも変更されます。 >もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。 LANが機能する状態なら、特になにもいりません。各PCにLANカードがあって、HUBがあって、LANケーブルで接続されていればOKです。 Server OS は接続するPCの数によって値段が変わります。幾らするかは調べてみてください。 ドメインコントローラーに使用するPCは、性能は低くていいですが安定して動くものがいいです。

kyoto04
質問者

お礼

ありがとうございました。 後はserverOSの使い方をチェックする必要はありますが、充分可能性があると理解することが出来ました。 serverを使うことはハードルの高いことですが、乗り越えることは絶対に必要なことですからね。 お忙しい中、本当にありがとうございました。 server設定で困ったら、またよろしくお願いします・

その他の回答 (4)

noname#9381
noname#9381
回答No.5

 あなたのしたいことは、まさにWindows 2000 ServerやWindows Server 2003などで実現されるアクティブディレクトリが実現してくれます。そのために作られたものです。#4さんがMEもXP Homeもなんとかいけると言われているので、その辺りも大丈夫でしょう。  あとはマイクロソフトのホームページなどで調べられることをお勧めします。  サーバは1台あればいいし、そのサーバがLANにつながっていればOKです。クライアント(サーバ以外のアクティブディレクトリで管理されているPC)は、ドメインで入らないとネットワークの利用もできないようにできます。なお、そのアクティブディレクトリを管理するドメインコントローラとなるサーバは、#4さんが言われるとおり、通常24時間365日稼動したままにします。あまり再起動すると安定性が悪くなることがありますので、極力停止はしないほうがいいです。プリンタもファイルを置く専用のサーバ(これはドメコンと兼用でも構いませんが、セキュリティは落ちます)もLANにつながってさえいれば使用できるし、利用制限もできます。  アクティブディレクトリでクライアントに制限できることは170項目以上ありますので、かなりの細かいカスタマイズはできますよ。

kyoto04
質問者

お礼

ありがとうございました。 アクティブディレクトリはその名前を聞いたことがある程度ですので挑戦してみるのに多少の不安もありますが、希望の処理ができる可能性が分かり、挑戦するしかないと自分を奮い立たせています。 また、具体的に困ったことが出てきたときにはよろしくお願いします。

noname#9381
noname#9381
回答No.3

 サーバーによるドメインを組むことによって、アカウント=人(具体的にはユーザー名とパスワード)管理をして認証をかける方法がいいでしょう。なんでしたら、指紋認証や虹彩認証までできます(当然オプション)  そのアカウントによって、ネットワークリソースのアクセス権の管理はもちろん、ローカルリソースのアクセス権の管理までできます(Windows NT系)。  ただ、MEってドメインに入れたっけ?(98はパッチ適用で入れるけど、Windows MEなんですよね?)

kyoto04
質問者

補足

inthefloiさん、larさん、ありがとうございます。 今考えているシステムをもう少し具体的に整理してみます。 LANに繋ぐPCは通信が出来るか出来ないかのパターンで2つに分かれますが、それらのPCのOSは多種になりそうです。 AグループのPC、A1、A2、A3...にも、BグループのPC、B1、B2、B3....にも、入っているOSは98、98SE、ME、XP-HE、XP-Proと様々です。たぶん、Win2000Serverも入ってくるのではないかと思います。 全てのPCからインターネットに接続することは条件ではありません。何台かのPCだけしかインターネットに接続できない状況であっても支障はありません。(もちろん、全てが繋がってはダメだということはありませんが) ただ、将来的にも1台のPCもインターネットに繋ぐことが出来ないシステムでは困ります。 当面重要に考えているのは、フォルダとプリンタの共有です。 フォルダについてもプリンタについても言えることですが、パターンによって共有を許可したり禁止したりしたいのです。 AグループBグループという分け方は各PCに設定するワークグループやセグメントなどではなく、そのPCを使う人間が、特定のフォルダにアクセスすることができるかできないかという分け方です。 また、ネットワークプリンタを設定している場合でも、許可されている人間が操作しているPCからのみ使うことが出来るようにならないものかと考えているのです。 そこで思い付いたのが、”特定のフォルダ”というのを、例えば外付けHDDなどにすればどうか、ということでした。LAN対応などの製品ならアクセス制限を定義出来る物もあるはずでしょうから。 製品の中には印刷ポートを持っている物もあるようですからそれでいけないかと、考えてみました。 しかし、ここで指摘頂いたようなドメイン管理まで出来る製品は見つけられませんでした。 アドバイスを頂いたように、”ドメイン管理”というのがどうしても必要なようですね。 後はこれができるハード構成になるかどうか、ということになりますでしょうか。 イメージが今ひとつはっきりしないのですが、例えば2000Serverを1台入れて、これをサーバーとしてドメイン管理を組んでいく、ということになりますでしょうか。 この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。 ハブが1台あれば何台かのPCでLANを組むことが出来ます。その中の1台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。 LAN内にWinMEが入ることは確実です。場合によっては98まで入ることになるかもしれません。 XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。

noname#30727
noname#30727
回答No.2

再度回答します。 アクセス・接続・通信が何を指しているのかわからないのです。 まず、Windowsの基本的なネットワークリソースとしては、共有フォルダと共有プリンタがありますよね? この範囲に限定するならば、Windows 2000 Server や Windows Server 2003 を導入すれば問題は解決します。 ドメイン(ワークグループみたいなもの)に接続された各クライアントPCは、ユーザーアカウントやユーザーグループが共通になるので、ユーザーアカウントが登録されていれば、どのクライアントPCからでもログオンできます。 共有の設定も、ユーザー単位でもグループ単位でも制限できますし、Aグループの方が勝手に各PCの設定を変更することが出来ないようにもできます(Windows Me でどこまで出来るかは記憶が薄いです)。 何度も言いますが、問題なのは何にアクセスしたいのかという事です。 例えばLANからインターネットにアクセスする場合、ハブがあってルーターがあるシンプルな構成であれば、何かがなければAグループだけを禁止にすることができません。 Windows Serverをルーターとしても使用する設定にすれば、特定アカウントをはじく事はできそうですが、そういった設定は少々難しいです。 また、データベースやグループウェアなどのサーバアプリを使用する場合、Windows のアカウントでアクセス制限ができるものと、出来ないものがあります。 出来るものはいいのですが、出来ないものはWindowsとは別のアカウントの管理が必要になります。 パケットフィルタのようなものであれば、IPアドレスでしか制限が出来ないものもありますが、そのような話ではないですよね。 Windows Server の導入がベストだと言っているわけではないですが、kyoto04 さんが管理をやらされるのであれば、書籍などが充実しているものの方がいいだろうと思います。

noname#30727
noname#30727
回答No.1

アクセスというのが何を指しているのかわかりませんが、Windows xxxx Server のアカウントの一元管理とリソースアクセス許可の設定だでは出来ない事をやろうとしているのですか?

kyoto04
質問者

補足

質問を補足したいと思います。 Aグループを使う人間に、Bグループに接続を許可されている集団とそうでない集団があるというところがネックだと思っています。 Server(ハードでもソフトでも)のアクセス制限を適用する仕組みは、接続を要求してきたPCのIPアドレスなどのそのPC固有の情報のチェックで行っているはずだと理解しています。 この仕組みで接続の許可・不許可を行おうとすると、接続を許可されていない集団の人間でも、許可されているPCさえ使えば接続出来てしまうことになります。 アクセス許可の対象がPCという機械ではなくて人間だということです。 思い付いた仕組みは、LANに接続する際にパスワードを入力させることが出来ますが、あるパスワードの場合には全てのPCと通信することが出来、別のパスワードではどちらかのグループに属しているPCとしか通信出来ないような仕組みです。 このような仕組みを設定することはできますでしょうか。

関連するQ&A

  • 二つのワークグループ間で、互いにプライバシー保護したいです。

    (フレッツADSLモデム)-(ルーター)-[有線LAN]-(PC2台)の構成です。この2台のPCはWIN2000とXPで、ワークグループ名は「グループA」で、互いにファイル共有&アクセスでき、リモートデスクトップも使っています。  さてこの2台のLANに、隣の部屋の住民も2台のPCを接続することになりました。Win95デスクトップと98ノートです。両方ともLANカードを差して、有線LAN構築&ネット接続も無事完了しました。そしてワークグループ名をグループBとしました。 ※この2つのグループA、B間では互いに完全にプライバシー保護したいのですが、自分のグループ内ではフルアクセスしたいのです。  現状、グループBのPCからWin2000のファイルにアクセスするとパスワードを聞かれるので見られませんが、XPマシンにはなぜかすんなりアクセスできます(XPマシン起動時には必ずパスワードを聞かれるのに)。  またNorton等がインストールされていますが、ファイアウォールをONすると、ファイルの共有も使えませんので困ります。XPのファイアウォールも同様です。  どうかよろしく御指南お願いします。 参考:ルータ型番:corega BAR SW-4P-Pro

  • ワークグループに入るにあたって

    LANルータに繋がったXP SP2が2台あります。 今度ワークグループを作って入ろうと思うのですが、ワークグループに入るとLAN外からアクセスされる危険性は全く上がらないですか? LAN外でも同じワークグループ名にすると入れたりってことはないですよね? また、ワークグループで一緒になった相手のパソコンにはどの程度アクセスできるのでしょうか? Dドライブとかにもパスワードかけてないとアクセスできますか? スキャナやデジカメも共有する設定にすればアクセスできるんでしょうか? 許可するのはファイルとプリンタの共有のみです。 宜しくお願いします。

  • エクセルを使ったグループ分け

    3つあるグループをいくつかのグループに分け直したいと考えております。 最初あるグループをA,B,C,分け直した後のグループを1、2、3、4、5(5グループの場合) とし、イメージとしては以下のようなものを考えています 1・・・AABCC 2・・・ABBCC 3・・・ABBCC 4・・・ABBC 5・・・ABCC ※A・・・Aグループの人間 B・・・Bグループの人間 C・・・Cグループの人間 なお、A、B、Cグループの人数は全てばらばらで、できれば出席・欠席、グループ数の変更等にも対応できればと考えています。お力添えの方よろしくお願いいたします。

  • 別のワークグループに接続したい。

    5台のパソコンをHUBで繋げたワークグループA(自分が構築)と、6台のパソコンをHUBで繋げたワークグループB(システム屋さんが構築)の2つのワークグループがあるのですが、ワークグr-プBにある2台だけを、グループAにも、アクセスできるようにしたいのですが、HUBとHUBをケーブルでつなぐだけですよね!だれか教えてください。

  • ワークグループAからワークグループBに接続は可能なのでしょうか?

    今現在4台のPCがあり2台をワークグループAという名前でLANを組んでおり1台をワークグループBという名前でLANを組んでおります。 そして残りのPC1台でワークグループA、ワークグループBと使い分けているのですが、 ワークグループAという名前のときもワークグループBに設定しているファイルにアクセスができるのですが、そんなものなのでしょうか?? 私の今まで考えていた感じでは、Aに設定しているときはAだけのファイルしかアクセスができないと思っていたのですが、その考えは間違っているのでしょうか?? 説明が雑文ですが、教えてください。

  • 家庭内LANについてお教えください

    家庭内でLANを組んでいます。 パソコンは4台で、すべてWindows7です。 この中の2台の接続が下記のような不思議な状態です。 1 最初は無線・有線を混合させて使用していましたが、無線だと速度が落ちるのですべて有線にしました。 2 ルーターも無線は使用しないように設定しました。この状態ですべてのパソコンがインターネットにつながっています。 3 パソコンAからパソコンBへは「パブリック」フォルダにアクセス可能です。 4 パソコンBからパソコンAへは、IDとパスワードを求められ、入力しても受け付けられません。 5 パソコンA、Bともにパスワードなしで接続するように設定にしましたが状況は3、4と変わりません。 6 パソコンA、Bから他の2台のパソコンの「パブリック」フォルダにはアクセス可能です。 7 他の2台のパソコンからパソコンA、Bの「パブリック」フォルダにはアクセス可能です。 8 パソコンBは、有線接続にもかかわらず、「アダプターの設定と変更」を見ると「**gw」と無線でつながっているように表示されています。(これ以外の接続は表示されていません。) 7 パソコンBからLANケーブルを抜くと、パソコンAはもちろん他の2台にもアクセスできなくなります。また、インターネットにもつながらなくなります。 このような状況を踏まえて、次のことについて、お教えください。 Q1 パソコンBの接続は有線と思うのですが、なぜ「**gw」と表示されるのかお教えください。 Q2 パソコンBからAの「パブリック」フォルダにアクセスする方法をお教えください。 よろしくお願いいたします。

  • 【大至急】LAN上でのファイル共有のセキュリティ

    同じLANネットワーク上に10台のPCがありますがそのうち2台だけでファイルを共有したいと思っています。 共有したい2台をA、BとするとB(win2000)からA(winxp pro)にアクセスしたい(Aのパソコン上でファイルに共有設定)と思っています。 セキュリティの手段はパスワード入力でも、アクセス拒否or許可(Macアドレス?)などがいいです。 ネットワークの分離ができないのはレーザープリンターが1台しかなくそれは全PCから使用したいからです。 本日中に作業がしたいのですみませんがお力を貸してください。

  • ・XPと2000のPCをルータをはさんでLAN構築したいのですが...

    2000搭載パソコンAとXP搭載パソコンBの2台がブロードバンドルータに接続されています。Bは無線LAN、Aは有線接続です。ネットワーク名は「HOME」としました。 2台でファイル共有ができるようにしたいのですがうまくいきません。 まずAからマイネットワークを開くと「B」が表示されていますが開こうとすると「\\Bにアクセスできません。ネットワークパスが見つかりません。」と出ます。逆にBの方からマイネットワークを開き、ワークグループのコンピュータを表示するを選択すると「Homeにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバの管理者に問い合わせてください。このワークグループのサーバー一覧を現在、利用できません。」とでてAを見ることすらできません。 pingテストの結果 A→A○ A→ルータ○ A→B×  B→B○ B→ルータ○ B→A○ただしBからAのテストの時「AのIPアドレス」でチェックは通りましたが「A」という名前でのチェックは「Aが見つからない」というようなメッセージが出ました。いったい何が悪いのでしょうか?どなたかお教えください。

  • ワークグループの表示について

    パソコン初心者です。 自宅にある2台のパソコンでファイルを共有して 片方のパソコンからもう片方のパソコンに ファイルを移そうとしました。 すると、片方のパソコンのワークグループが表示できずに、 「homewarkにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください」 といったエラーが出ます。 片方のノートパソコンは普通に自分のノートパソコンの ワークグループが表示できるのに もう片方のデスクパソコンからの自分のデスクパソコンの ワークグループが見れません。 なのでもちろんノートからデスクのパソコンのワークグループも 見ることができません。 現在はADSLのモデムから1本LANをHUBに挿してそこから 2台のパソコンへLANを接続しています。 対処法が分かる方がいたら返信お願いいたします。

  • 家庭内LANで繋いだPCの中が見えない

    LANで繋いだ2台のパソコンに双方から見ようとすると下記エラーが出ます。 「\\(パソコン名)にアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。 ログオン失敗:要求された種類のログオンは、このコンピューターではユーザーに許可されていません」 とでます。 2台ともOSはWindowsXPPROです。 ワークグループをPCとしていてマイネットワークのワークグループPCには2台のPCは見えます。 2台ともユーザー名とパスワードは同じにしています。 ファイヤーウォール機能(ウィルスソフトも)は外しています。 尚、プロトコルでTCP/IPやNetBEUIは追加しました。 お互いのIPでPINGはOKです。 宜しくお願いいたします。