社内ネットワークで特定なIPアドレスからの拒否はできますか

社内の環境なのですが、
windows2000Serverのパソコンに、
特定なIPアドレスからの接続を
拒否することができますか？
hostsファイルに何か記述すればいいのですか？
よろしくお願い致します。

No.1 回答者： OsieteG00 回答日時： 2005/09/30 11:51

・ネットワーク構成（ドメインorワークグループ、IPアドレスの付与方法・・DHCPか、固定IPか）

・「接続」とはどのような意味か？ドメインへのログオン？共有ファイルへのアクセス？

によっても異なります。

ドメイン環境下で共有ファイルへのアクセスでしたら、コンピュータ名で共有ファイルへのアクセスを禁止できます。共有フォルダを右クリック->共有とセキュリティ->アクセス権
でできたかと。
ドメインへのログオンだと、ログオンするコンピュータ名を事前に登録しておかなければならないので、登録しなければ拒否につながると思います。

この回答への補足

環境はワークグループです。
IPアドレスは、固定のものと、DHCPを利用しているものと
ありますが、固定のものと考えてください。
接続というのは共有ファイルに対してです。
アクセス権で設定できるのは、ユーザーではないでしょうか？
ユーザーはAdministrator権限は許可しているので
接続されてしまいます。
ですので、コンピュータ名、もしくはIPアドレスで
制御したいのですが。

補足日時：2005/09/30 13:34

No.2 回答者： OsieteG00 回答日時： 2005/09/30 14:16

そうですね。

失礼しました。
クライアント側のHostsファイルに、サーバのコンピュータ名とダミーのIPアドレスを記入すればとりあえずコンピュータ名での接続はできなくなります。ただし、IPアドレスを直打ちされるとできます。

あとは、ファイアウォールを導入して特定IPからのパケットをフィルタリングする等。

No.3 ベストアンサー 回答者： bec 回答日時： 2005/09/30 21:47

IPアドレスでフィルタリングかけると、サーバー内のファイルに対しては

全てアクセスできなくなってしまうのでは無いでしょうか？
ドメイン内なら、ADを利用してフォルダに対してアクセス可能なPCを指定できますが、
そもそもワークグループ環境では基本的に2000Proのアクセス管理と同じですから、
IPアドレス（PC）でのアクセスコントロールは無理なのでは無いでしょうか？
サーバーに対して一切アクセス拒否で構わないのでしたら、始めからユーザー登録しなければ済む事ですし。

もしかして、全ユーザーが同じユーザー名で利用されてます？
アクセス管理を行いたいのでしたら、やはり個別にアカウントを設定した方が良いですよ。
共通のアカウントを使い回ししないのは、セキュリティの基本の基本ですから。
それに、たとえ拒否したいユーザーがローカルマシンに対してadmin権限持っていても、
サーバーに対してadmin権限を与える必要性もないでしょうし、
フォルダに対して当該ユーザーのアクセスを「拒否」してしまえば、
たとえadministratorであってもアクセス不可能になりますよ。
フォルダのアクセス権変更されると意味無いですが・・
ま、administratorのフォルダに対するフルコントロールを剥奪して、
独自のアカウントにのみ、フルコントロール権限を与えれば回避可能ですが。

この回答へのお礼

全てにアクセスできなくていいのです。

もともと、社内の人が利用していたパソコンなので、
アカウントはサーバー側に設定してあります。
しかし、一時的に外部の人が使うので
その一時的なときだけ、IPアドレスで
拒否したかったのです。

お礼日時：2005/10/18 14:05