Windows2000サーバの共有フォルダのセキュリティについて

学校でWindows2000サーバ、クライアントはXPプロです。
ドメインをたてて、共有フォルダを設定してます。
アクセス権は共有アクセスはフルアクセス、NTFSアクセスで設定してます。
使用するソフトがローカルのアドミ権限が必要なので、サーバでのユーザ管理でDomainAdmin権限を与えてます。（これでローカルのアドミ権限が得られます。）
問題は学生がマイネットワークから他人のフォルダを右クリックしてセキュリティタブでアクセス権の設定を変更して見えるように出来てしまったことです。共有アクセスで設定すれば、セキュリティタブは出ないということは分かっているのですが、学生数が多く１つ１つ設定するのは手間がかかりすぎます。（NTFSセキュリティは一括で変更できるツールは多く出てますので）何かよい解決策はありませんか。共有名に＄をつけて隠しても推測されてしまってだめです。
ローカルにアドミ権限をつける別の方法、または共有フォルダの一括設定方法があればよいのですが。
長くなりましたがよろしくお願いします。

No.1 ベストアンサー 回答者： tenkawa99 回答日時： 2006/03/14 17:07

導入後にソフトの関係でDomainAdmin権限を生徒に与えたようですね。

はっきりいって、考えられません。
これがどれほど危険かお分かりですか？サーバの全データの読み書き・削除・設定変更が可能です。システムファイル消されたらＯＳの起動すら出来なくなりますよ。

アクセス権等、既に変更されてしまった部分は再設定を行い、勝手にファイルやフォルダを作成されていないか等を確認する必要があるでしょう。
なお、Windowsには管理共有として、全ハードディスクドライブが隠し共有になっており、アクセス可能ですので、全ドライブを確認しましょう。

クライアントのローカルAdministratorの一括登録はサーバのグループポリシーで行えます。
コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ
ここにAdministratorsを追加し、中にDomain Usersを入れる。

この回答へのお礼

丁寧な説明ありがとうございます。
危険なことは分かっていたのですが、ソフトが起動しないと言われて、応急的な措置として設定しました。言われる方法を試してみます。
サーバは念のため再インストールすることにします。
導入業者にも言ったのですが、そのときは明解な回答が得られなかったのが残念です。
ありがとうございました。

お礼日時：2006/03/14 17:33

No.2 回答者： tenkawa99 回答日時： 2006/03/14 17:46

すいません。

ちょっと修正です。
>サーバの全データの読み書き・削除・設定変更が可能
⇒サーバだけではなく、サーバ及びサーバにドメイン参加している全クライアントに対して全データの読み書き・削除・設定変更が可能

※もし職員室がサーバにドメイン参加しており、サーバと通信可能な状態の場合、生徒機からサーバ経由で職員室ＰＣの中身すら読み書き・削除・設定変更が可能です。成績表とかいれてたら大問題になりかねませんね。