Administrator権限でLANからログオンされた場合の対処法

Windows2000上の「あるフォルダ」を
すべてのクライアントに対して読みとり専用として
ＬＡＮ上に公開したいのですがうまくいきません。

全ての人に公開というのは
Windows2000上のユーザー名「Guest」を
使えば何とかなると思うのですが

クライアントとしてWindows2000を使用していて
さらにAdministratorで使用している場合
サーバーにアクセスすると権限を変更できてしまいます。

権限を変更されて「フルアクセス」にされても、
ファイルを書き込んだりすることはできないのですが
他のユーザーの権限をＬＡＮ上の他のコンピュータから
変えられるというのは不安なため、この機能を停止したいのですが
どうすればよいのか教えてください　お願いします

なお実際の環境は　サーバー側が Windows2000 Serverを
使っているのですがWindows2000 Professionalでも
同様の現象が発生していますので Professionalでの
解決方法でもかまいませんのでお願いします。

No.4 ベストアンサー 回答者： selenity 回答日時： 2001/11/23 23:17

まず、クライアントのAdministartorユーザとサーバのAdministratorユーザのパスワードが同じなのは行けません。

必ず変えましょう。
Win2kはMMCを搭載したことによりネットワーク越しの管理が容易になっていますので、このような現象はよくある話です。

NT系OSのくせを知らないと防ぎようがないでしょう。

まず、NT系OSにアクセスするにはサーバ上にユーザアカウントが必要です。これが基本(大前提)になります。

更にクライアントでログインしているユーザと同名のユーザがサーバ上にあり、かつ両者のパスワードが同じな場合は透過的にサーバにアクセスで来てしまうのもNT系OSの特徴です。
この2点からユーザ管理とパスワード管理というものが発生します。

これらのわずらわしさを解決するのが[Guest]ユーザの存在です。

更に、NTFSのアクセス権と共有設定のアクセス権を照らし合わせて、サーバ上のフォルダやファイルにアクセスできるかが決まります。
まず、Eneryone:フルコントロールだとGuestユーザも好き勝手出来ますので、フルコントロールではなく読み取りのみにしておきましょう。

馬鹿ちょんで使えそうで、以外に難しいのがNT系OSなのです。

この回答への補足

回答ありがとうございます。

サーバーとクライアントのパスワードが同じなのは
自動ログオンさせることに一生懸命になっていたため
適当に決めてしまいました。
（これが間違いの始まりだったのですね）

早速試してみます。

しかしクライアントからサーバーの管理が出来るというのは
ありがたいのですが、今回はそれを余計な機能と感じました。

補足日時：2001/11/24 12:38

この回答へのお礼

残念ながら　納期が厳しかったため試すことが出来ませんでした。
現場での設置作業で、みなさんに今まで教わったことを
参考に再度挑戦してみたいと思います。

一度質問は締め切ることにします。

また質問をすると思いますが
よろしくお願いします。

他の回答者の人もこの場を借りてお礼申し上げます。

お礼日時：2001/11/24 20:44

No.3 回答者： seal-papa 回答日時： 2001/11/23 13:27

こんにちわ。

まず、どのような形でWindows2000 Serverを運用したいのか、まずまとめられる事をお勧めします。

ご使用されているWindows2000の環境では、全てのＰＣとサーバーに「Administrator」というものが有り、何かゴチャゴチャになってしまっているようにお見受けします。

基本的にはtamagawa49さんの記述されているとおり、Windows2000 ServerのAdministrator権限を全てのWindows2000 Professionalのユーザーが使用している事自体が、おかしいのです。

Windows2000 Serverで、セキュリティも含めた管理を行う前提で有れば、まずWindows2000 ServerのActive Directoryをインストール(dcpromo.exe)して、ドメインコントローラーとして運用し、全てのクライアントはこのドメインに参加して使用する形にされては如何でしょうか？
つまり、このWindows2000 Serverが一番偉いのです。

（全ユーザーの管理をするという事は、当然ユーザー名とパスワードも、このWindows2000 Server上で設定する事となりますよね。)

次にこの「ドメイン」に参加させるグループを作成します。
コンテナオブジェクトで実際の関連各部署を登録(ＯＵを作成)して行けば、これでグループやユーザーの管理が出来ます。

あとは各グループやユーザーにWindows2000 Serverの資産(ファイルやフォルダ)を利用させるか決めいかれれば、良いかと思います。


実際の組織図に合わせて、「絵」を書いてみたら、容易に出来るかと思いますよ！

「そんな事は知ってるんだよ～！」だったら、御免なさいですが・・・(^^ゞ
頑張って下さい！

この回答への補足

こちらこそ　うまく説明できなくて　すみません。

やりたいことをまとめました。

Windows2000 Serverを使用したシステムを客先に納めます。
納めたシステムは一定間隔でログを吐き出します。

システムはむやみにさわられたくないため
蓄積されたログは、その他の装置から閲覧させます。
ですが閲覧するパソコンには制限を設けたくありません。
また管理者などは設けないため閲覧するパソコンが
増えた場合、ＬＡＮの設定さえすれば使えるように
する必要があります。

そこでシステムの１フォルダを誰もが
読み込み可能なフォルダとしたいのです。

以前ＮＴ４．０ワークステーションで構築したときは
ユーザーGuestを有効にすることで対応しました。
ただ閲覧側はＷｉｎ９５系でのみ正常動作を確認しただけです。
Win2000系ではパスワードを要求されるため
（たとえパスワードが無くても）
うまくいきませんでした。

これを今度Windows2000で構築することを考えたのですが
うまくいかなかったのです。

仕事場にしか試す環境がないため
（インターネットも）
ここで教えられたことを会社で実行してみますが

下記のことはすでに試しました。

まずEveryOneでしたっけ？このユーザー名に対して
読み込み許可を与えたのですがこれでは
どのクライアントもフォルダを読むことが出来ませんでした。

各クライアントユーザー名を登録すれば特に問題ないようです。

Guestではまだ試していません。

ですがクライアントユーザーがAdministrator権限の場合
なぜかシステム（サーバー）が管理している
ユーザー管理が変更できてしまうのです。

具体的には、クライアントからネットワークコンピュータを
開いてサーバーを指定
読み込み専用にしているフォルダを右クリックし
プロパティーで共有関係の設定を開くと
書き込み許可を与えるチェックボックスがなぜか
自由にクリックできるのです。

変更したのちファイルを書き込もうとすると
それは断られましたが、かなり不安なので
なんとかしたいのです。

解決に向けて　どうか　もう少しおつき合い願います。

補足日時：2001/11/23 21:20

No.2 回答者： tamagawa49 回答日時： 2001/11/23 12:16

>さらにAdministratorで使用している場合

よく分からないのですが、もしやクライアントがサーバーの管理者（Administrator）のパスワードを知っていて、しかも普段そのパスワードでログオンしているということなのでしょうか。

通常Win2000（クライアント）にあるAdministratorというユーザー名は自分のコンピュータに対する管理権限であって、ログオン先はドメインではなく自分のコンピュータ（このコンピュータのような表示がされていたと思います）です。クライアントがAdministratorでしかも2000Serverのドメインにログオンするためにはサーバーのパスワードが必要なはずです。したがって、サーバーのパスワードを変更してしまえば（当然秘密）解決するのではないでしょうか。
もちろんクライアントにはそれぞれのユーザー名を決め、サーバーでユーザーの追加をしなければなりませんが。
またクライアントは各自のコンピュータでAdministratorではない新ユーザー名でログオンしなければなりません。（Administratorではパスワードが違うのでログオンできません）
うまく説明できてないかも・・・。

また、2000ServerではGuestは使えなくなっていると思います。これはセキュリティ上の問題でそうなっているはずです。

最後にフォルダを公開する一番簡単な方法は、そのフォルダのプロパティのセキュリティでEveryoneに許可します。ただし、それだと部外者がノートパソコンをLANに繋いだだけで（場合によっては）侵入されてしまいます。
やはり○○グループに許可（許可したい全員が入っているグループ）という形の方がいいかもしれません。
もちろん、セキュリティあるいはアクセス許可のところで「読み取りのみ」にすることもできます。

説明が上手くないので分からなかったかもしれません。また見当違いかもしれませんが、頑張って下さいね。

この回答への補足

こんなに返事が来るとは思いませんでした。

ありがとうございます。

サーバーもクライアントも同時にセットアップしたため
もしかしたら同一のパスワードを使っている可能性もあります。

明日　早速試してみたいと思います、では

補足日時：2001/11/23 21:49

No.1 回答者： noname#9414 回答日時： 2001/11/23 11:54

「管理ツール」「ローカルセキュリティポリシー」の中に「ネットワーク経由でコンピュータへアクセス」というものがあり、グループ単位で許可することが可能なので、その中のAdministratorsのチェックをはずしてはどうでしょうか？そうすれば一応ネットワーク経由のAdministratorsのアクセスが無くなります。

ただし、自分でもログインできなくなるので、注意が必要ですが・・・

この機能はProfessionalでも持っているので、Serverにもあるはずです。

ではでは☆