Windows2003Serverのドメイン環境を使用しています。
一般ユーザーには管理者権限を与えていないため、インストールに最低限必要な環境のみを用意する管理者権限のアカウントを作成し、必要に応じてこのアカウントを開放して、必要な作業をしてもらう運用にしようと考えています。
前提条件として、インターネットに接続できないような環境を構築することが必要です。
試行錯誤で辿り着いた方法は、
1.IEのインターネットオプションの「接続」タブでプロキシサーバーをダミーにする
2.IEのインターネットオプションの「接続」タブを見えなくする
ようなスクリプトをログスクリプトとして起動するようなポリシーを作るというものです。
これは取りあえずはうまくいったのですが、困ったことに、社内サーバーまでがアクセスできなくなってしまいました。hostsファイルで名前解決しているサーバーをhttpで呼ぶ場合は問題無いのですが、社内サーバーからActiveXを配信してインストールする場合は、アクセスできないのです。
IEのコンテンツアドバイザ機能で、接続可能なサーバーを簡単に指定できるようですが、2003のADでは、グループポリシーとして設定できないようです。
ダミーのプロキシではなく、社外サイトへ通さないような設定をしたプロキシを通すのが正攻法だとは思うのですが、そこまでの知識もなく、余分なマシンもないのが実情です。
これ以外にインターネット接続を禁止することのできる方法がありましたら、教えて頂けないでしょうか?(ブラウザはIE限定でもよいと思っています。)
No.2ベストアンサー
- 回答日時:
>サーバーが2003なので、Windowsファイヤウォールの設定をグループポリシーで行うことはできないようですので、これは駄目でした。
こちらの設定もRSAT等を使用しないと設定ができません。
>RSATのほうを調べていますが、ちょっと知識不足で良く判りません。
ちょっと難しく考えているような気がしますが、
Windows Server 2003でVista以降のグループポリシーが機能的に使用できないのではなく、管理ツールが古いので設定ができないだけです。
だから、管理ツールを新しいものを使用して設定するということです。
そのツールがWindows7ではRSATの中にあるというだけです。
新しい管理ツールが使用出来れば、DCがWindows Server 2003でもWindowsファイヤウォールもコンテンツアドバイザ機能も設定できるはずですが。。。
>確かにこれが一般的だと思いますが、特定アカウントを使用する場合のみという制限付きなので、
質問からこのことが読み取れませんでしたので失礼をしました。
Windowsファイヤウォールはコンピュータの構成の設定なので、Windowsファイヤウォールという提案はだめですね。
>ダミープロキシではなく、実際に動作するプロキシを立てて、プロキシのポリシーで社内LAN以外をはじくという方法もありかなと思い始めました。
結果的にこのほうがメリットが大きいような気がします。
認証プロキシにすればユーザー毎にコンテンツの制限を変えたりいろいろできますし。
コメント有難うございました。
お礼が遅れてすみません。
RSATのほうは知識不足と、別PCを立てて運用するのにはちょっと抵抗があるので、比較的負荷の少ないWindowsサーバーにsquidを入れ、社内LAN以外をはじくことに成功しました。
ただ、当初の目的であったアプリケーション(ActiveX)のインストールが管理者権限では成功するのですが、元のユーザーに戻ったところ、実行できないという問題が発生して目的は達していないのですが、これは別問題ですね。
どうもアドバイス有難うございました。
No.1
- 回答日時:
クライアントのOSも書かれたほうが良いかと
>IEのコンテンツアドバイザ機能で、接続可能なサーバーを簡単に指定できるようですが、2003のADでは、グループポリシーとして設定できないようです。
この認識は誤りです。
ドメインコントローラが2003でも、Vista以降のグループポリシーを設定することは可能です。
Windows7などを1台管理用として使用する必要がありますが、そこからRSATを強いようすれば可能です。
以下を参照してみて下さい。
http://social.technet.microsoft.com/Forums/ja-JP …
上記で問題が解決されれは良いのですが、そのほかにもコメントさせて頂きます。
>これは取りあえずはうまくいったのですが、困ったことに、社内サーバーまでがアクセスできなくなってしまいました。hostsファイルで名前解決しているサーバーをhttpで呼ぶ場合は問題無いのですが、社内サーバーからActiveXを配信してインストールする場合は、アクセスできないのです。
これは例外設定がうまくいっていないだけのような気がしますがどうでしょうか?
>これ以外にインターネット接続を禁止することのできる方法がありましたら
インターネットに接続してはいけないPCが特定の範囲になるようDHCPやIPアドレスの設定をして、ルータやファイアウォールで外に出れないようにする方が一般的かなという気がします。
ルータやファイアウォールの設定が不可ならば、PCがVista以降という制限が付きますがWindowsファイアウォールの設定というのも考えられます。
Windowsファイアウォールの設定もグループポリシーになりますが。
この回答への補足
サーバーが2003なので、Windowsファイヤウォールの設定をグループポリシーで行うことはできないようですので、これは駄目でした。
http://www.atmarkit.co.jp/fwin2k/win2ktips/1360g …
RSATのほうを調べていますが、ちょっと知識不足で良く判りません。
ダミープロキシではなく、実際に動作するプロキシを立てて、プロキシのポリシーで社内LAN以外をはじくという方法もありかなと思い始めました。
maesenさん、コメント有難うございました。
色々とアドバイス頂き感謝致します。
OSはほぼWindows7ですが、Xpが10数台残っています。
>ドメインコントローラが2003でも、Vista以降のグループポリシーを設定することは可能です。
>Windows7などを1台管理用として使用する必要がありますが、そこからRSATを強いようすれば可能です。
情報有難うございました。私の知識が足りないと思うのですが、コンテンツアドバイザ機能という項目自体がグループポリシーエディタに無かったもので諦めてしまいました。
>インターネットに接続してはいけないPCが特定の範囲になるようDHCPやIPアドレスの設定をして、ルータやファイアウォールで外に出れないようにする方が一般的かなという気がします。
確かにこれが一般的だと思いますが、特定アカウントを使用する場合のみという制限付きなので、ルータ等のレイヤの機器では出来ないように思います。
>ルータやファイアウォールの設定が不可ならば、PCがVista以降という制限が付きますがWindowsファイアウォールの設定というのも考えられます。
Windowsファイヤウォールもグループポリシーが使えるのですね。Xp端末は例外ということにしてこの運用が一番判り易そうです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
このQ&Aを見た人はこんなQ&Aも見ています
-
準・究極の選択
「年収1000万円で一生カレーライス」か 「年収180万円で毎日何でも食べ放題」 あなたはどちらを選びますか?
-
フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
あなたが普段思っている「これまだ誰も言ってなかったけど共感されるだろうな」というあるあるを教えてください
-
映画のエンドロール観る派?観ない派?
映画が終わった後、すぐに席を立って帰る方もちらほら見かけます。皆さんはエンドロールの最後まで観ていきますか?
-
海外旅行から帰ってきたら、まず何を食べる?
帰国して1番食べたくなるもの、食べたくなるだろうなと思うもの、皆さんはありますか?
-
天使と悪魔選手権
悪魔がこんなささやきをしていたら、天使のあなたはなんと言って止めますか?
-
特定のネットワークにのみ接続できるように制限する方法が分からずに困っています。
Windows Vista・XP
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・【お題】絵本のタイトル
- ・【大喜利】世界最古のコンビニについて知ってる事を教えてください【投稿~10/10(木)】
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
サーバーにおけるメールの保管期間
-
Webサーバー構築中、indexがル...
-
URLの違いについて「WWW」が...
-
自宅FTPサーバー構築について
-
【minecraft】サーバーに接続で...
-
学校のWiFiに繋げると履歴が見...
-
メールボムに困っています。
-
社内ネットワークの1台だけ接...
-
サーバについて
-
「OLEサーバーが登録されて...
-
サーバーってどこにあるの?
-
自社のシステムのサーバーの変...
-
プリンタの共有ができません
-
URLの検索でHPが見れない。
-
セグメントが変わるとpingが届...
-
他人名義でのインターネットで...
-
インターフェースサーバーとは...
-
外部のデータベースについて
-
UNIXサーバを跨いだリンク
-
NASのウイルス対策は?
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
エックスサーバーでhttpd.conf...
-
ipconfigで、DNSが複数みえる
-
グループポリシーでインターネ...
-
プロクシ(BJD)サーバ自身のmail...
-
ルーター設定:FTPサーバーへ静...
-
メディアサーバーエラーについて
-
xamppのセキュリティ設定する必...
-
outlook Express起動時に出る警...
-
サーバー証明書の有効期限の設...
-
HPがwww.で表示されない。エラー
-
WindowsXPでVNCサーバーがうま...
-
プロキシサーバーの設定について
-
サーバーへ接続できません。
-
DHCPサーバーを無効にするとル...
-
PC版Minecraftの公開サーバーに...
-
1つのIPで複数のサーバーを...
-
サーバーにアップロードを業者...
-
エックスサーバーでのサブドメ...
-
DNS設定が二重?ドメインに自宅...
-
Web Analyzerの設定を具体的に...
おすすめ情報