ワークグループにアクセス制限

Question

会社で利用しているネットワークにワークグループが4つあります。
その中の一つに他のワークグループからのアクセスが出来ないようにしたいと考えています。
ネットで検索してみましたが、ズバリ当てはまる例が無くスイッチ付きのHUBを付ければよいのかな？というところまでしかわかりませんでした。

4つのワークグループに接続されているPCは全部で40台くらい、LAN直のプリンター、プロッターが5台くらい、今回セキュリティをかけたいワークグループ内にＰＣは10台です。
w98、Me、w2k、XP-Pro、XP-HEとOSのバージョンはバラバラです。
何か良い方法をご指南いただければと思います。
よろしくお願いします。

root139 · Accepted Answer

> サーバというのも考えてはみたのですが、そこまで しなくても何かないだろうか？と
> 検討しはじめていて、ルーターのことを調べてもインターネットに繋がった環境の事ばかり。
> ローカルでも有りなのですね！
> はい、それほどガチガチに切り離さなくても良いのでこれで進めたいと思います。

最近はローカルルータとして使える物も安価に入手できるようになりましたが、ルータであることには変わりありませんので、各ルータのルーティング・フィルタリング他の設定を的確に行わないと、ファイル共有以外の通信（例えばメールやWebなど）にも影響が出てしまいます。
かえって、NT/2000/2003 Serverなどを導入したほうが簡単かもしれません。

> それで、更に教えていただきたいのですが、LAN直のプリンターは相変わらず
> 今まで通り他のワークグループと共有したいと考えています。
> 仮に私の居るグプールをWG1、プリンタのあるグループをWG2とします。
> WG1にサーバを置かず、ルーター又はレイヤ3スイッチ（というのはスイッチングHUBですか？）だけで、
> WG2からのアクセスは制限しておいてこちらからはWG2のプリンタは使用可能でしょうか？
> また、特定の人（PC）からはWG2に居てもWG1との相互のアクセスを可能に出来るでしょうか？

別のサブネットにあるPCの共有フォルダ・プリンタにアクセスするには、LMHOSTSファイルの設定等で名前解決が出来るようにし、エクスプローラ等で「\マシン名\共有フォルダ名」などと直接指定する必要が有ります。
ただし、別のサブネットにあるPCの一覧は、NTサーバなどを導入しないと表示することは出来ません。
http://www.samba.gr.jp/doc/browsing/browsing01.html
http://www.centurysys.co.jp/product/xr3x0_common/tech02.html
http://www.atmarkit.co.jp/icd/root/74/6425474.html
http://www2s.biglobe.ne.jp/~system/doc/msnet4.htm

プリンターまたは通信可能にしたいPCを固定IPアドレスにして、ルータの設定で、WG1⇔WG2間のNetBIOSおよびMSDSの通信は、WG2のプリンターまたは通信可能にしたいPCとだけ許可するようにすれば良いかと思います。


それから、レイヤ3スイッチはルータと同じ機能を持つスイッチングハブで、価格はスイッチングハブと2桁ぐらい違いますね。
http://e-words.jp/w/E383ACE382A4E383A43E382B9E382A4E38383E38381.html

参考URL：http://www.atmarkit.co.jp/fnetwork/rensai/router01/router01.html

root139 · Answer

ワークグループという単位ではアクセス制限をすることは出来ませんので、#2の方がおっしゃるようにドメイン管理を導入するか(WindowsNT/2000/2003 Serverが必要です)、ネットワークを分割する(ローカルルータ等が必要です)などの手段をとる必要が有ると思います。

ドメインの概要：
http://www.atmarkit.co.jp/fwin2k/operation/admigrate01/admigrate01_01.html


ネットワークを分割する方法ですが、現在のワークグループ単位でサブネットにまとめて、パケットフィルタリングでNetBIOSおよびMSDSのパケットを破棄するようにすれば、サブネット間でWindowsのファイル共有は出来なくなります。
例えば、下記の様にサブネットを設定します。

ワークグループ1 : 192.168.10.0/24
ワークグループ2 : 192.168.20.0/24
ワークグループ3 : 192.168.30.0/24
ワークグループ4 : 192.168.40.0/24

それから、ネットワークを分割するには、ローカルルータかレイヤ3スイッチが必要となります。
いわゆるブロードバンドルータの中にも、ローカルルータとして使えるものも在るようですので、そのようなものを使うと安価に構築できると思います(性能的には劣りますが)。

参考URL：http://www.atmarkit.co.jp/fnetwork/rensai/router01/router01.html

anmochi · Answer

まず、Windowsネットワークのワークグループとは、ワークグループ名を意図的に同一にしたあるいは偶然一致したパソコンたちが、「近くのコンピュータ」などですぐ見えるようになるだけの機能であって、ワークグループによる制限をかける事はできない。

という訳で、本気で制限をかけたければそもそも共有をしないくらいの気合でいかなければならない。

ところで、フォルダの共有を行うときに、名前の一番最後にドルマーク($)をつけると、明示的に入力しないと中をのぞく事ができない。例えば \machine\share$という共有があったとして、\machineを開いてもshare$は表示されない。この機能を用いてアクセスさせる人以外には共有名を教えないなども時には有効だと考えられる。

このような管理をしたいのであればやはりドメイン管理を行う事だろう。まぁそれでもWindows98ではどうとでもされるが。

tonoji · Answer

ストレートな回答ではないですが、ワークグループ内の個別のＰＣのセキュリティでアクセス権を制限されてはいかがでしょう。
Ｗ９８レベルではどうだったか自信ありませんが、２０００以降であればそれで当面は可能かと思います

ワークグループにアクセス制限

> サーバというのも考えてはみたのですが、そこまで しなくても何かないだろうか？と

ストレートな回答ではないですが、ワークグループ内の個別のＰＣのセキュリティでアクセス権を制限されてはいかがでしょう。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

> サーバというのも考えてはみたのですが、そこまでしなくても何かないだろうか？と