NTFSアクセス権の設定に関して

現在Windows2003ServerにてActiveDirectoryを構築、
WindowsXP SP1クライアント数台で運用しています。

DC上に共有フォルダー(業務F)を作成しました。
Administrators --F
Domain Admins --F
System --F
開発グループ--F
Users -- RW
で設定しています。

この設定だとすべてのXPクライアントからフォルダーへ
アクセス・書き込み出来てしまっています。

この内容を以下の条件に合うように設定したいと考えています。上から優先度高です
条件１、フォルダーへアクセスできる[クライアント]を限定
条件２、条件１を満たすクライアントからのアクセス以外はDomainAdminsも拒否
条件３、開発グループに所属する者のみ無条件アクセス可
条件４、開発グループに所属する者の一部はDomainAdmins権限が付与されている。

このフォルダーに入っているデータは共有利用をしています。
（各クライアントのローカルHDDには保存しない）

よろしくお願いします。

No.4 ベストアンサー 回答者： xcrOSgS2wY 回答日時： 2005/09/27 17:29

度々すみません。

消極的な次善策ですが

1. 特定のユーザだけが共有フォルダにアクセスできるように設定する。

2. 「ActiveDirectoryユーザーとコンピュータ」を使用して、1.の各ユーザのプロパティの「アカウント」タブにある「ログオン先」に、「フォルダへのアクセスを許すクライアント名」を登録する。

このように設定すると、「共有フォルダにアクセスできるユーザ」は「フォルダへのアクセスを許さないクライアント」にはログオンできなくなるため、結果として質問にある各条件を満たします。

また1.の設定を行うにあたって、改めて確認したところ、拒否設定を入れる必要はありませんでした。まず現在ある許可設定をすべて削除し、改めて特定グループないし特定ユーザへの許可設定を行えば、そのグループあるいはユーザがアクセスを許可され、それ以外のユーザのアクセスは拒否されます。

この回答へのお礼

ありがとうございます。試してみます

お礼日時：2005/09/29 12:41

No.3 回答者： xcrOSgS2wY 回答日時： 2005/09/26 03:42

質問の内容を勘違いしていることに今気付きました。

ユーザによる制限だけでなく、クライアントコンピュータ名でもアクセスを制限したいのですね。

私の回答は全然要件を満たしていませんでした。申し訳ないです。

No.2 回答者： xcrOSgS2wY 回答日時： 2005/09/26 00:22

すみません、回答No.1の方法はセキュリティ設定ダイアログでは使用できませんでした。

プログラム的に行うのであれば、回答No.1の設定でEveryone:Denyをアクセス制御リストの最後に入れればOKのはずですが、セキュリティ設定ダイアログではアクセス拒否エントリの位置を指定することができず、必ずアクセス制御リストの先頭に来てしまうようです。

Everyone:Denyが先頭になると誰もアクセスできなくなってしまいます。

No.1 回答者： xcrOSgS2wY 回答日時： 2005/09/25 18:34

「特定条件の者のアクセスを拒否する」という条件がないわけですから、まず「全員拒否（Everyone:Deny）」を入れておいて、その上で特定アカウントや特定グループの許可(Full)を追加してはいかがでしょうか。