Activedirectoryで出来ること

社内に2003Serveでドメインを立てようと勉強を始めました。
PCやネットワーク管理は経験が有るのですが、ドメイン立ち上げは初めてです。PCは10台程度しか無く小規模です。
１）４つのグループに分け、グループ間は隔離したいのですが、共有ファイルサーバー、共有プリンターを使いたい。
２）特定のグループはWindowsUpdate等の一部のサイトを除いて外部接続を制限したい。
３）上記制限は極端に強固なモノでなくても良い。
以上のような案件の場合、ドメインコントローラでどこまで出来るのでしょうか？
大まかな概念、検索キーワード等を教えていただければ、助かります。
以上宜しくお願いいたします。

No.2 ベストアンサー 回答者： Toshi0230 回答日時： 2007/11/28 01:59

> ローカルフォルダをLAN内全てに公開してしまうことが出来ますよね？。

これがドメイン管理だと制限出来るのかな？と言う初歩的質問でした

単純にユーザにPCの管理者権限を与えてしまえば、ユーザはそのPCに対してフォルダの共有も含めてすべての作業を実施することができるようになります。
これを抑制する方法ですが、ちょっとADの中では見あたりません。
ユーザに完全な管理者権限を与えないのが一番かも。

> A2) URLFilter機能のあるルーターをLAN内グループ出口に入れる。 等の方法がお手軽な気がしてきました

私もそう思います。

ADの基本的な目的は、ユーザのアカウントを集中管理することにあります。副次的な機能として、アクセス権限やPCの設定などを一貫性を持たせながらある程度設定する機能を持ちますが、万能ではありません。
適宜、必要なツールを利用するようにしたほうがよいと思います。

この回答へのお礼

適切なご回答有り難う御座います。
調べ物をして「出来ること」は比較的簡単に探せるのですが、
「出来ないこと」はなかなか確証が得られないモノです。
頂いたアドバイスに沿って検討していきます。

お礼日時：2007/11/29 00:51

No.1 回答者： Toshi0230 回答日時： 2007/11/22 01:55

A1) 「隔離」の意味がはっきりしませんが、たとえばファイルサーバで互いのデータにアクセスできないようにする、といったことは可能になります。

アクセス権の設定を、ドメインのアカウントベースで実施することで容易に実現できるようになります。

A2) グループポリシーの設定で多少制限を加えることができますが、試したことはないので実効性については「？」です。
詳細な制御をやるのであればADだけでは無理で、ISAなどほかのサーバ類を導入する必要があります。

この回答への補足

ご回答有り難う御座います。感謝します。
そもそもドメインで何が出来るのか？ なので、ドメインが必要なのか？？ な段階です。判りにくい質問で済みません。
> A1) 「隔離」の意味がはっきりしませんが
ワークグループだとクライアントユーザーにマシンに対する管理者権限が必要な場合、ローカルフォルダをLAN内全てに公開してしまうことが出来ますよね？。これがドメイン管理だと制限出来るのかな？と言う初歩的質問でした。
> A2) URLFilter機能のあるルーターをLAN内グループ出口に入れる。 等の方法がお手軽な気がしてきましたが如何でしょう。
ご意見いただければ、幸いです。

補足日時：2007/11/22 13:21