出産前後の痔にはご注意!

お世話になります。
Active Directory(以下AD)に参加しているあるコンピュータに対して特定のADユーザー(2~3人のユーザー)しかログインできないようにしたいのですが可能でしょうか?

A 回答 (2件)

Active Directoryで運用しているなら、管理者に相談した方が早いです。

Active Directoryに参加しているパソコンに運用の面で手を加えていることが多いですから。

さて、共有化できることと、パソコン使用者が管理者モードになっていることを前提にして、回答します。
まずあるフォルダに共有化します。
その次に共有化したフォルダに誰にどのようにアクセス権を与えるかの設定をすればOKです。

もし単なるユーザーモードになっている場合は、上で述べた設定はできないと思うので、管理者に相談することを勧めます。
会社によってはクライアントPCに共有フォルダを設けないようにというところがありますから。私の会社もそうです。
    • good
    • 0

パソコン内にあるフォルダに共有化すると同時に、AD機能を利用してアクセス権を設定すればできます。


やり方がわからない場合は、AD管理者にお願いしてみたらどうでしょうか?

この回答への補足

回答ありがとうございます。
申し訳ありませんが下記についてもう少し詳しくご教授頂ければ幸いです。
>パソコン内にあるフォルダに共有化する
”何を”共有化すればよいのでしょうか?

>AD機能を利用して
多岐にわたるActiveDirectoryの機能のどれを利用すればよろしいのでしょうか?管理ツールの”Active Directoryユーザとコンピュータ”を使ってできることでしょうか?具体的な操作手順を紹介頂ければ幸いです。

宜しくお願い致します。

補足日時:2007/11/12 10:18
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q同一PCからドメインにログイン出来るユーザーを一人にしたい

ドメイン WIN2003
PC WINXP

ドメインにログインする際に1台のPCかからログイン出来るユーザーをひとつのアカウントに制限したいと思ってます。現状は1台のPCからどのユーザーでもログインできてしまいます。制御するにはどこの設定を変こすればよいのでしょうか。わかる方いましたらお願いします

Aベストアンサー

逆に「ドメインユーザーアカウントの、ログオンできるワーク
ステーション」を制限することなら可能です。

1. [Active Directoryユーザーとコンピュータ]で、ユーザーの
  プロパティダイアログボックスを開き、[アカウント]タブを
  クリックする。

2. [ログオン先]ボタンをクリックして[ログオンできるワーク
  ステーション]ダイアログボックスを開く。

3. [次のコンピュータ]をクリックする

4. ログオンを許可されているワークステーションの名前を入力し、
  [追加]をクリックする。ワークステーションをさらに追加する
  には、この手順を繰り返す。

5. 間違えた場合はそのエントリをクリックし、[編集]をクリック
  して間違いを修正するか、または[削除]をクリックして削除する。

この件は「Microsoft Windows 2000オペレーションブック 」に記載
があります。また、TechNet ライブラリに書籍の全文が掲載されて
います。

Q特定のユーザーをログオン不可とするには?

Windows2000 Professionalで、特定のユーザーを
ネットワーク経由のアクセス(共有フォルダ)のみとし、
ローカルからのログオンを不可としたいのですが、
可能でしょうか?

Aベストアンサー

ローカル セキュリティ ポリシー
若しくは
(ActiveDirectoryの)グループポリシー
で設定します。

ローカルセキュリティポリシーの場合:
【セキュリティの設定】→【ローカルポリシー】→【ユーザ権利の割り当て】→【ローカルログオンを拒否する】

グループポリシーの場合:
【コンピュータの構成】→【Windowsの設定】→【セキュリティの設定】】→【ローカルポリシー】→【ユーザ権利の割り当て】→【ローカルログオンを拒否する】

QWindows ドメインユーザーとローカルユーザーでのアクセス制限

社内ネットワークを構築する事が決まり、パソコンに詳しいという理由で、以下の環境でActive Directoryを構成することになりました。
サーバー:Windows Server 2012 Foundation
クライアント:Windows Vista, Windows 7 Pro, Windows 10 Pro(すべてドメイン参加可能PC)

現在、PCを利用する者にドメインユーザーを付与し、そのユーザーでログインしてもらい、ファイルサーバー(共有フォルダ)のアクセス可能を実現しています。


そこで質問です。
あるユーザーがローカルユーザーでログインし、共有フォルダにアクセス時のみドメインユーザー・パスワードを入力しアクセスしていることが分かりました。

社内のセキュリティポリシー上、ドメインユーザーでログインして利用してもらいたいので、ローカルユーザーでログインしている者には、共有フォルダのアクセスは不可としたいのですが、何か方法はございますか?

よろしくお願いします m(__)m

Aベストアンサー

#1です。

参考になりそうな話ではあるが…↓

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=22513&forum=6

あとはルールを徹底して罰則を設けるとか、そういう次元の話になってくる。そもそも、社内のPCだけじゃなく持ち込みPCまでを視野に入れてくるとずいぶん話が最初とは違うじゃないか。
この辺も詰めの甘さが目立つ。後から後からぼろぼろ条件が出てくるようでは、そもそもの設定が甘いという事。
どういうリスクがあって、それはシステムで対処するのか、それ以外で対処するのか(できるのか)、その辺の切り分けも含めて最初からやり直した方がいい。

最初の質問からは想像もできない展開なのでこれ以上は回答しません。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー(あるいは、Domain Users)を追加
でできるはずです。

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

QPower User と Administrator の権限の違い

にわかネットワーク・PC管理者をやっているのですが、権限の設定について教えてください。

Administrator権限を割り当てたくは無いけど、管理者にあまり負担が掛かるのもイヤ…ということで各PCにPower User権限を貼っているのですが、Power Userってかなり融通が利きますよね。プログラムのインストールも出来ますし…。
実際のところ、Administrator権限とPower User権限との明確な違いってどこなんでしょうか。IPアドレスは変更できないということくらいしか気付きませんでした…。

Aベストアンサー

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1411663619

「ヘルプとサポートセンター」には以下のような記述があります。

>Power Users は、Administrators グループに予約されたタスクを除く、オペレーティング システムのすべてのタスクを実行できます。
>Power Users は、Administrators グループに自分自身を追加するアクセス許可を与えられていません。
>Power Users は、アクセス許可を与えられない限り、NTFS ボリュームのほかのユーザーのデータにアクセスできません。
>オペレーティング システム ファイルを変更しないプログラムのインストールまたはシステム サービスのインストール

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。


人気Q&Aランキング