LAN内でのグループ分け

ＬＡＮの組み方についてお尋ねしたいことがありますのでよろしくお願いします。

例えば20台のパソコンでＬＡＮを組むとします。それをそれぞれ10台ずつのＡ・Ｂの２つのグループに分け、ＢグループからＡグループへのアクセスは遮断しながら、ＡグループからＢグループへのアクセスはパターンによって許可出来るようなＬＡＮの組み方はできるでしょうか。

Ａグループのパソコンは共用したいと思っていますから、使う人間が特定されていません。
ある条件を満たした人間が使う場合にはＢグループへのアクセスを許可し、満たさない場合にはアクセスを禁止したいのです。

ルーターやサーバーのセキュリティでは使われるパソコン自体によって判別されますから、アクセスを許可される人間に”なりすます”ことが出来てしまいます。グループウェアソフトにそのような物がないかとも思いましたが、これも許可するパソコンを登録する方式でしたので”なりすまし”を見破ることは出来ないように思われます。

アクセスの際に必ずパスワードを要求するようにし、あるパスワードが入力されればフルアクセスが可能になり、別のパスワードなら違うグループにはアクセス出来なくなるようなシステムなら理想的だと思っています。

このようなことが可能でしょうか。
もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。
よろしくお願いします。

No.4 ベストアンサー 回答者： noname#30727 回答日時： 2004/09/03 14:41

>ハブが１台あれば何台かのPCでLANを組むことが出来ます。

その中の１台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。

ドメインにはドメインコントローラーが１台以上必要で、Server OSをインストールするときに、ドメインコントローラーにするかどうか聞いてきます。
ドメインに接続するように設定されているPCは、ドメインコントローラーが無いと基本的にはログオンできませんので、ドメインコントローラーは、365日24H運転させるのが一般的です。

>この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。

ログロン認証や共有リソースを開く際にドメインコントローラーを参照するのだと思いますが、常にドメインコントローラーを経由すということではありません。
各PCの設定としては、ネットワークの設定で、ワークグループ名かドメイン名を入力するところがありますが、ドメイン名を入力して、ドメインに接続するようになっていれば、それ以外には特にすることはありません。

>XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。

MEでも98でもkyoto04さんの期待どおりにできたと記憶していますが、95系はずいぶん使っていないので、正確には覚えていないです。
XP HOME はドメインに接続できませんが、ワークグループ名がドメイン名と同じで、ユーザー名とパスワードが同じであれば、共有リソースへのアクセスはなんとかなります。ドメインに接続していると、各ユーザーが自分のパスワードを変更すれば、ドメインコントローラー内のパスワードも変更されます。

>もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。
LANが機能する状態なら、特になにもいりません。各PCにLANカードがあって、HUBがあって、LANケーブルで接続されていればOKです。
Server OS は接続するPCの数によって値段が変わります。幾らするかは調べてみてください。
ドメインコントローラーに使用するPCは、性能は低くていいですが安定して動くものがいいです。

この回答へのお礼

ありがとうございました。
後はserverOSの使い方をチェックする必要はありますが、充分可能性があると理解することが出来ました。
serverを使うことはハードルの高いことですが、乗り越えることは絶対に必要なことですからね。
お忙しい中、本当にありがとうございました。
server設定で困ったら、またよろしくお願いします・

お礼日時：2004/09/04 18:06

No.5 回答者： noname#9381 回答日時： 2004/09/04 01:22

　あなたのしたいことは、まさにWindows 2000 ServerやWindows Server 2003などで実現されるアクティブディレクトリが実現してくれます。

そのために作られたものです。#4さんがMEもXP Homeもなんとかいけると言われているので、その辺りも大丈夫でしょう。

　あとはマイクロソフトのホームページなどで調べられることをお勧めします。

　サーバは1台あればいいし、そのサーバがLANにつながっていればOKです。クライアント（サーバ以外のアクティブディレクトリで管理されているPC）は、ドメインで入らないとネットワークの利用もできないようにできます。なお、そのアクティブディレクトリを管理するドメインコントローラとなるサーバは、#4さんが言われるとおり、通常24時間365日稼動したままにします。あまり再起動すると安定性が悪くなることがありますので、極力停止はしないほうがいいです。プリンタもファイルを置く専用のサーバ（これはドメコンと兼用でも構いませんが、セキュリティは落ちます）もLANにつながってさえいれば使用できるし、利用制限もできます。
　アクティブディレクトリでクライアントに制限できることは170項目以上ありますので、かなりの細かいカスタマイズはできますよ。

この回答へのお礼

ありがとうございました。
アクティブディレクトリはその名前を聞いたことがある程度ですので挑戦してみるのに多少の不安もありますが、希望の処理ができる可能性が分かり、挑戦するしかないと自分を奮い立たせています。
また、具体的に困ったことが出てきたときにはよろしくお願いします。

お礼日時：2004/09/04 18:08

No.3 回答者： noname#9381 回答日時： 2004/09/02 07:44

　サーバーによるドメインを組むことによって、アカウント＝人（具体的にはユーザー名とパスワード）管理をして認証をかける方法がいいでしょう。

なんでしたら、指紋認証や虹彩認証までできます（当然オプション）
　そのアカウントによって、ネットワークリソースのアクセス権の管理はもちろん、ローカルリソースのアクセス権の管理までできます(Windows NT系)。

　ただ、MEってドメインに入れたっけ？（98はパッチ適用で入れるけど、Windows MEなんですよね？）

この回答への補足

inthefloiさん、larさん、ありがとうございます。
今考えているシステムをもう少し具体的に整理してみます。

LANに繋ぐPCは通信が出来るか出来ないかのパターンで２つに分かれますが、それらのPCのOSは多種になりそうです。
AグループのPC、A1、A2、A3...にも、BグループのPC、B1、B2、B3....にも、入っているOSは98、98SE、ME、XP-HE、XP-Proと様々です。たぶん、Win2000Serverも入ってくるのではないかと思います。

全てのPCからインターネットに接続することは条件ではありません。何台かのPCだけしかインターネットに接続できない状況であっても支障はありません。（もちろん、全てが繋がってはダメだということはありませんが）
ただ、将来的にも１台のPCもインターネットに繋ぐことが出来ないシステムでは困ります。

当面重要に考えているのは、フォルダとプリンタの共有です。
フォルダについてもプリンタについても言えることですが、パターンによって共有を許可したり禁止したりしたいのです。

AグループBグループという分け方は各PCに設定するワークグループやセグメントなどではなく、そのPCを使う人間が、特定のフォルダにアクセスすることができるかできないかという分け方です。
また、ネットワークプリンタを設定している場合でも、許可されている人間が操作しているPCからのみ使うことが出来るようにならないものかと考えているのです。

そこで思い付いたのが、”特定のフォルダ”というのを、例えば外付けHDDなどにすればどうか、ということでした。LAN対応などの製品ならアクセス制限を定義出来る物もあるはずでしょうから。
製品の中には印刷ポートを持っている物もあるようですからそれでいけないかと、考えてみました。
しかし、ここで指摘頂いたようなドメイン管理まで出来る製品は見つけられませんでした。

アドバイスを頂いたように、”ドメイン管理”というのがどうしても必要なようですね。
後はこれができるハード構成になるかどうか、ということになりますでしょうか。

イメージが今ひとつはっきりしないのですが、例えば2000Serverを１台入れて、これをサーバーとしてドメイン管理を組んでいく、ということになりますでしょうか。
この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。

ハブが１台あれば何台かのPCでLANを組むことが出来ます。その中の１台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。

LAN内にWinMEが入ることは確実です。場合によっては98まで入ることになるかもしれません。
XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。

補足日時：2004/09/03 00:22

No.2 回答者： noname#30727 回答日時： 2004/09/02 02:34

再度回答します。

アクセス・接続・通信が何を指しているのかわからないのです。
まず、Windowsの基本的なネットワークリソースとしては、共有フォルダと共有プリンタがありますよね？
この範囲に限定するならば、Windows 2000 Server や Windows Server 2003 を導入すれば問題は解決します。

ドメイン（ワークグループみたいなもの）に接続された各クライアントPCは、ユーザーアカウントやユーザーグループが共通になるので、ユーザーアカウントが登録されていれば、どのクライアントPCからでもログオンできます。
共有の設定も、ユーザー単位でもグループ単位でも制限できますし、Ａグループの方が勝手に各PCの設定を変更することが出来ないようにもできます（Windows Me でどこまで出来るかは記憶が薄いです）。

何度も言いますが、問題なのは何にアクセスしたいのかという事です。
例えばLANからインターネットにアクセスする場合、ハブがあってルーターがあるシンプルな構成であれば、何かがなければＡグループだけを禁止にすることができません。
Windows Serverをルーターとしても使用する設定にすれば、特定アカウントをはじく事はできそうですが、そういった設定は少々難しいです。

また、データベースやグループウェアなどのサーバアプリを使用する場合、Windows のアカウントでアクセス制限ができるものと、出来ないものがあります。
出来るものはいいのですが、出来ないものはWindowsとは別のアカウントの管理が必要になります。
パケットフィルタのようなものであれば、IPアドレスでしか制限が出来ないものもありますが、そのような話ではないですよね。

Windows Server の導入がベストだと言っているわけではないですが、kyoto04 さんが管理をやらされるのであれば、書籍などが充実しているものの方がいいだろうと思います。

No.1 回答者： noname#30727 回答日時： 2004/09/01 02:21

アクセスというのが何を指しているのかわかりませんが、Windows xxxx Server のアカウントの一元管理とリソースアクセ

ス許可の設定だでは出来ない事をやろうとしているのですか？

この回答への補足

質問を補足したいと思います。

Ａグループを使う人間に、Ｂグループに接続を許可されている集団とそうでない集団があるというところがネックだと思っています。

Server（ハードでもソフトでも）のアクセス制限を適用する仕組みは、接続を要求してきたＰＣのＩＰアドレスなどのそのＰＣ固有の情報のチェックで行っているはずだと理解しています。
この仕組みで接続の許可・不許可を行おうとすると、接続を許可されていない集団の人間でも、許可されているPCさえ使えば接続出来てしまうことになります。

アクセス許可の対象がPCという機械ではなくて人間だということです。

思い付いた仕組みは、LANに接続する際にパスワードを入力させることが出来ますが、あるパスワードの場合には全てのPCと通信することが出来、別のパスワードではどちらかのグループに属しているPCとしか通信出来ないような仕組みです。

このような仕組みを設定することはできますでしょうか。

補足日時：2004/09/01 22:37