Windows2000上の「あるフォルダ」を
すべてのクライアントに対して読みとり専用として
LAN上に公開したいのですがうまくいきません。

全ての人に公開というのは
Windows2000上のユーザー名「Guest」を
使えば何とかなると思うのですが

クライアントとしてWindows2000を使用していて
さらにAdministratorで使用している場合
サーバーにアクセスすると権限を変更できてしまいます。

権限を変更されて「フルアクセス」にされても、
ファイルを書き込んだりすることはできないのですが
他のユーザーの権限をLAN上の他のコンピュータから
変えられるというのは不安なため、この機能を停止したいのですが
どうすればよいのか教えてください お願いします

なお実際の環境は サーバー側が Windows2000 Serverを
使っているのですがWindows2000 Professionalでも
同様の現象が発生していますので Professionalでの
解決方法でもかまいませんのでお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

まず、クライアントのAdministartorユーザとサーバのAdministratorユーザのパスワードが同じなのは行けません。

必ず変えましょう。
Win2kはMMCを搭載したことによりネットワーク越しの管理が容易になっていますので、このような現象はよくある話です。

NT系OSのくせを知らないと防ぎようがないでしょう。

まず、NT系OSにアクセスするにはサーバ上にユーザアカウントが必要です。これが基本(大前提)になります。

更にクライアントでログインしているユーザと同名のユーザがサーバ上にあり、かつ両者のパスワードが同じな場合は透過的にサーバにアクセスで来てしまうのもNT系OSの特徴です。
この2点からユーザ管理とパスワード管理というものが発生します。

これらのわずらわしさを解決するのが[Guest]ユーザの存在です。

更に、NTFSのアクセス権と共有設定のアクセス権を照らし合わせて、サーバ上のフォルダやファイルにアクセスできるかが決まります。
まず、Eneryone:フルコントロールだとGuestユーザも好き勝手出来ますので、フルコントロールではなく読み取りのみにしておきましょう。

馬鹿ちょんで使えそうで、以外に難しいのがNT系OSなのです。

この回答への補足

回答ありがとうございます。

サーバーとクライアントのパスワードが同じなのは
自動ログオンさせることに一生懸命になっていたため
適当に決めてしまいました。
(これが間違いの始まりだったのですね)

早速試してみます。

しかしクライアントからサーバーの管理が出来るというのは
ありがたいのですが、今回はそれを余計な機能と感じました。

補足日時:2001/11/24 12:38
    • good
    • 0
この回答へのお礼

残念ながら 納期が厳しかったため試すことが出来ませんでした。
現場での設置作業で、みなさんに今まで教わったことを
参考に再度挑戦してみたいと思います。

一度質問は締め切ることにします。

また質問をすると思いますが
よろしくお願いします。

他の回答者の人もこの場を借りてお礼申し上げます。

お礼日時:2001/11/24 20:44

こんにちわ。


まず、どのような形でWindows2000 Serverを運用したいのか、まずまとめられる事をお勧めします。

ご使用されているWindows2000の環境では、全てのPCとサーバーに「Administrator」というものが有り、何かゴチャゴチャになってしまっているようにお見受けします。

基本的にはtamagawa49さんの記述されているとおり、Windows2000 ServerのAdministrator権限を全てのWindows2000 Professionalのユーザーが使用している事自体が、おかしいのです。

Windows2000 Serverで、セキュリティも含めた管理を行う前提で有れば、まずWindows2000 ServerのActive Directoryをインストール(dcpromo.exe)して、ドメインコントローラーとして運用し、全てのクライアントはこのドメインに参加して使用する形にされては如何でしょうか?
つまり、このWindows2000 Serverが一番偉いのです。

(全ユーザーの管理をするという事は、当然ユーザー名とパスワードも、このWindows2000 Server上で設定する事となりますよね。)

次にこの「ドメイン」に参加させるグループを作成します。
コンテナオブジェクトで実際の関連各部署を登録(OUを作成)して行けば、これでグループやユーザーの管理が出来ます。

あとは各グループやユーザーにWindows2000 Serverの資産(ファイルやフォルダ)を利用させるか決めいかれれば、良いかと思います。


実際の組織図に合わせて、「絵」を書いてみたら、容易に出来るかと思いますよ!

「そんな事は知ってるんだよ~!」だったら、御免なさいですが・・・(^^ゞ
頑張って下さい!

この回答への補足

こちらこそ うまく説明できなくて すみません。

やりたいことをまとめました。

Windows2000 Serverを使用したシステムを客先に納めます。
納めたシステムは一定間隔でログを吐き出します。

システムはむやみにさわられたくないため
蓄積されたログは、その他の装置から閲覧させます。
ですが閲覧するパソコンには制限を設けたくありません。
また管理者などは設けないため閲覧するパソコンが
増えた場合、LANの設定さえすれば使えるように
する必要があります。

そこでシステムの1フォルダを誰もが
読み込み可能なフォルダとしたいのです。

以前NT4.0ワークステーションで構築したときは
ユーザーGuestを有効にすることで対応しました。
ただ閲覧側はWin95系でのみ正常動作を確認しただけです。
Win2000系ではパスワードを要求されるため
(たとえパスワードが無くても)
うまくいきませんでした。

これを今度Windows2000で構築することを考えたのですが
うまくいかなかったのです。

仕事場にしか試す環境がないため
(インターネットも)
ここで教えられたことを会社で実行してみますが

下記のことはすでに試しました。

まずEveryOneでしたっけ?このユーザー名に対して
読み込み許可を与えたのですがこれでは
どのクライアントもフォルダを読むことが出来ませんでした。

各クライアントユーザー名を登録すれば特に問題ないようです。

Guestではまだ試していません。

ですがクライアントユーザーがAdministrator権限の場合
なぜかシステム(サーバー)が管理している
ユーザー管理が変更できてしまうのです。

具体的には、クライアントからネットワークコンピュータを
開いてサーバーを指定
読み込み専用にしているフォルダを右クリックし
プロパティーで共有関係の設定を開くと
書き込み許可を与えるチェックボックスがなぜか
自由にクリックできるのです。

変更したのちファイルを書き込もうとすると
それは断られましたが、かなり不安なので
なんとかしたいのです。

解決に向けて どうか もう少しおつき合い願います。

補足日時:2001/11/23 21:20
    • good
    • 0

>さらにAdministratorで使用している場合


よく分からないのですが、もしやクライアントがサーバーの管理者(Administrator)のパスワードを知っていて、しかも普段そのパスワードでログオンしているということなのでしょうか。

通常Win2000(クライアント)にあるAdministratorというユーザー名は自分のコンピュータに対する管理権限であって、ログオン先はドメインではなく自分のコンピュータ(このコンピュータのような表示がされていたと思います)です。クライアントがAdministratorでしかも2000Serverのドメインにログオンするためにはサーバーのパスワードが必要なはずです。したがって、サーバーのパスワードを変更してしまえば(当然秘密)解決するのではないでしょうか。
もちろんクライアントにはそれぞれのユーザー名を決め、サーバーでユーザーの追加をしなければなりませんが。
またクライアントは各自のコンピュータでAdministratorではない新ユーザー名でログオンしなければなりません。(Administratorではパスワードが違うのでログオンできません)
うまく説明できてないかも・・・。

また、2000ServerではGuestは使えなくなっていると思います。これはセキュリティ上の問題でそうなっているはずです。

最後にフォルダを公開する一番簡単な方法は、そのフォルダのプロパティのセキュリティでEveryoneに許可します。ただし、それだと部外者がノートパソコンをLANに繋いだだけで(場合によっては)侵入されてしまいます。
やはり○○グループに許可(許可したい全員が入っているグループ)という形の方がいいかもしれません。
もちろん、セキュリティあるいはアクセス許可のところで「読み取りのみ」にすることもできます。

説明が上手くないので分からなかったかもしれません。また見当違いかもしれませんが、頑張って下さいね。

この回答への補足

こんなに返事が来るとは思いませんでした。

ありがとうございます。

サーバーもクライアントも同時にセットアップしたため
もしかしたら同一のパスワードを使っている可能性もあります。

明日 早速試してみたいと思います、では

補足日時:2001/11/23 21:49
    • good
    • 0

「管理ツール」「ローカルセキュリティポリシー」の中に「ネットワーク経由でコンピュータへアクセス」というものがあり、グループ単位で許可することが可能なので、その中のAdministratorsのチェックをはずしてはどうでしょうか?そうすれば一応ネットワーク経由のAdministratorsのアクセスが無くなります。

ただし、自分でもログインできなくなるので、注意が必要ですが・・・

この機能はProfessionalでも持っているので、Serverにもあるはずです。

ではでは☆
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QWebサーバーにアクセスしている人の権限は?

Windows2000Professional上でWebサーバーを立ち上げて一般に公開しています。
Webサーバーはサービスで立ち上げており通常Loginしない状態でサーバーを稼動させています。
1)この状態で外部からWebサーバーにアクセスする人に対してOS上でファイルやホルダーのアクセス制限をかけるためにはどのようにすればよいでしょうか?
具体的には各ファイル・フォルダーのセキュリティ設定でどのグループ(ユーザー)に対してアクセス制限をかければいいのでしょうか。
ひょっとして”SYSTEM”を選んで設定すればいいのでしょうか?
2)また、LogonしないでWebサーバーを稼動しているときとAdoministratorでLoginした状態でWebサーバーを稼動している時とで外部からサーバーにアクセスしている人の権限は変わらないと考えてもいいのでしょうか?
3)すこし脱線しますがコントロールパネル上の”ユーザーとパスワード”のなかのグループの種類より、各フォルダー・ファイルのセキュリティ設定にあるグループの種類の方が多いのはなぜでしょうか?(SYSTEM、BATCH、Eveyone、、、など)増えた分のグループはどういう意味を持っているのでしょうか?
以上、初歩的かつわかりにくい質問かもしれませんがお教え下さい。

Windows2000Professional上でWebサーバーを立ち上げて一般に公開しています。
Webサーバーはサービスで立ち上げており通常Loginしない状態でサーバーを稼動させています。
1)この状態で外部からWebサーバーにアクセスする人に対してOS上でファイルやホルダーのアクセス制限をかけるためにはどのようにすればよいでしょうか?
具体的には各ファイル・フォルダーのセキュリティ設定でどのグループ(ユーザー)に対してアクセス制限をかければいいのでしょうか。
ひょっとして”SYSTEM”を選んで設定すればいい...続きを読む

Aベストアンサー

1)デフォルトでは、IISは、IUSR_<コンピュータ名>というアカウントで実行されます。匿名アクセスに関しては、EveryoneのACLを調整するか、「インターネットサービスマネージャ>ディレクトリセキュリティ>認証済みアクセス」を設定した場合には、ユーザー毎のACLを調整します。

2)変わらないです。

3)システムの根幹に関わる部分なので、「ユーザーとパスワード」の方では、必要以上のものは隠すようにしているのだと思います。
管理ツール「コンピュータの管理>ローカルユーザーとグループ」で、builtinユーザーの説明が見られます。

Qサーバーを公開していない場合

当社はサーバーを公開していないので、セキュリティはルータの簡易ファイアウォールで、IPマスカレードとTCPによる外部からのセッションを許さない。という設定くらいしかしていません。
外部からのセッションでのTCPをうけつけないというのは、ポート攻撃も遮断できるということでしょうか?
そしてIPマスカレードなので、侵入される恐れもないと思いますが、どうでしょうか?
それとも企業レベルでこれだけのセキュリティでは不足だという意見はありますでしょうか?

Aベストアンサー

#7の書き込み者です。

自分の書き込みを読み返したら、わかりにくい点があったので、修正させてください。

>>これらのバグ(脆弱性)は、「ファイアーウォール(含ルータのフィルタリング機能)」や「IDS」などの仕組みでは基本的に防ぐことが出来ません。

>>こうした場合はIDSやファイアーウォール(パーソナル・ファイアーウォールでも可)など、万一脆弱性を突かれた場合でも挙動不審なトラフィックを監視しているから出来ることです。



後段の意味は、「通信を注意深く監視する」という意味で、仕組みそのものでセキュリティーホールを防げるという意味ではありません。

何度もすみません。
それでは。

Qどうしたら良いですか?グローバルIPでWEBサーバー公開

来週末に自社のネット回線を専用線からフレッツに切り替えるのですが、その際にルーターも切り替えをするのですが、外部からうまくWEBサーバーにアクセス出来ずに困ってます。分かる方がいらっしゃいましたら教えて下さい。

【 状 況 】
ルーターの機種(ヤマハ RT107e)

ルーター(グローバルIP)
WEBサーバー 1台(グローバルIP)
DBサーバー 1台(グローバルIP)
クライアントPC 10台(プライベートIP)

クライアントはプライベートで、サーバーはグローバルIPにしています。クライアントからサーバーへアクセスする必要はありません。フィルタでWEBサーバーのIPを指定して80番ポートを空けています。

切替前のルーター(ヤマハ RTA50i)と同じ設定にしているのですが、つながらないので、プロバイダのサポートに確認して色々試してみたのですが解決できませんでした。少しでもヒントがあれば色々試せると思いますので、思いつく方がいらっしゃいましたらお願いします。

Aベストアンサー

参考URLを参考に設定してみてはいかがでしょうか。

※WEBサーバのみの公開であれば、DBサーバーにはグローバルIPアドレスは必要ないのでは?

参考URL:http://netvolante.jp/solution/int/case4b.html

QLAN上でサーバを介したクライアントのセキュリティについて

LANを構築しており、
それぞれのPCで
サーバを介してインターネットに接続しているのですが、
セキュリティの面が心配です。

現状としては、
Windows2000Pro、ルータ使用、ウィルスソフト常駐、ファイヤーウォール無。
です。

それで、Windowsでパッチが当たりますよね。
Updateでセキュリティに関する更新をダウンロードするのですが、
こういったパッチは、サーバだけインストールすれば良い、
というものでしょうか?
やはり、それぞれのPCにインストールしないとダメですか?

また、あるファイルをダウンロードする際に
サーバを介してるのでそこでウィルスのチェックを
してくれてたりするものですか?

Aベストアンサー

>やはり、それぞれのPCにインストールしないとダメですか?
もちろんそれぞれのPCです。

>サーバを介してるのでそこでウィルスのチェックを
してくれてたりするものですか?
そういった風に設定をしているのなら可能ですが、デフォルトではならないです。
各PCにウイルスチェックソフトは必須です。
ウイルスの入り口はメールやウェブページだけではないからです。
フロッピー・CDから入ってくるウイルスにはサーバは関係ないですよね。

QWin2000サーバーのセキュリティタブ内全削除からの復帰

誤ってWin2000サーバーのあるフォルダに対するアクセス権をすべて削除してしまいました。
削除してしまったアクセス権を再び追加しようとしても追加ボタンが押せない状態になっており追加できません。
削除したアクセス権を元に戻す方法をご存知な方いらっしゃいませんでしょうか?

具体的には、あるフォルダを右クリックして、プロパティを選択し、セキュリティタブを選択、「名前」の一覧内にある「Everyone」などすべてのアクセス権を削除してしまいました。
そうしたところ、そのフォルダが二度と開けなくなり、さらにアクセス権を追加することさえできなくなってしまいました。

Aベストアンサー

その「開かなくなったフォルダ」の親フォルダを開き、その中にある「開かなくなったフォルダ」を右クリックすれば「プロパティ(R)」が選択できないでしょうか。

プロパティが開いたら「セキュリティ」タブを選択し「追加(D)...」でEveryone等を追加すればよいかと思います。

もし所有者権限がなくてそれもできない場合は、まず「詳細(V)...」をクリック、「所有者」タブを選択して所有者の変更を行います。所有者は必ずアクセス権の変更権限を持つので、これでアクセス権の追加ができるようになるはずです。


人気Q&Aランキング

おすすめ情報