アクティブディレクトリで管理されているドメイン下で、ファイルの共有を制限したいのですができません。
具体的には、一つのドメインに2つの会社のグループが設定されており、それぞれ、参照可能な共有フォルダが違います。
例:親会社のドメインアカウントでPCにログインすると、OYAという共有フォルダを参照できるが、子会社のドメインアカウントでPCにログインすると、KOというフォルダが参照できる。
このような場合に、親会社のドメインアカウントでPCにログインし、OYAフォルダの内容をCドライブ直下にコピーし、そののちにログアウトし、子会社のドメインアカウントでログインした場合、Cドライブの直下を見た場合、OYAフォルダを見ることができてしまいます。
このようなことができないようにしたいのですが、ADサーバの設定、もしくは、ADサーバによるクライアントPCの設定などでできる方法はありますでしょうか。
あまりPCに詳しくないので、不足している情報などがあれば追加いたします。
よろしくお願いします。
A 回答 (3件)
- 最新から表示
- 回答順に表示
No.3
- 回答日時:
同一人物が親子 2つのドメインにアカウントを持っているって話ではないですよね?
親会社にアカウントを持つ A さんと、子会社にアカウントを持つ B さんが同じ PC を使う。
A さんがサーバーにある親会社用のフォルダーからローカル (ユーザーごとの専用フォルダーではなく、ドライブ直下など) にファイルを保存する。
B さんが同じ PC にログインした場合、A さんが保存したファイルにアクセスできてしまう。
なんとかならんか。
ってことでよいでしょうか?
これはもう仕方がない話なので、ユーザーたちにこういう懸案事例を公開して啓蒙するしかないと思います。
PC に保存するならデスクトップやドキュメントなど、ユーザーごとに用意される領域にすべきだ、と。
No.2
- 回答日時:
>このような場合に、親会社のドメインアカウントでPCにログインし、OYAフォルダの内容をCドライブ直下にコピーし、そののちにログアウトし、子会社のドメインアカウントでログインした場合、Cドライブの直下を見た場合、OYAフォルダを見ることができてしまいます。
共有フォルダの内容をローカルディスクにコピーするということですので、
この場合は、コピー元(共有フォルダOYA)のアクセス権は引き継ぎません。
Cドライブに設定されているアクセス権を元にアクセス権がコピーされたOYAに再設定されます。
Cドライブのアクセス権のデフォルトにはUsersに対する読み取り権限がありますので別のユーザーからも参照できることになります。
>このようなことができないようにしたいのですが、ADサーバの設定、もしくは、ADサーバによるクライアントPCの設定などでできる方法はありますでしょうか。
クライアント側で何も設定せずに、ADのグループポリシーのみで実現するのはなかなか困難です。
Cドライブのデフォルトのアクセス権を変更するのはリスクを伴います。
Cドライブ直下にコピーという運用をやめれば何とかなるかもしれませんがそれでもNTFSアクセス権の知識が無いと簡単では無いかもしれません。
そもそもなぜCドライブ直下にコピーなのでしょうか?
マイドキュメントやデスクトップ等のユーザー領域にコピーすればデフォルトで他のユーザーからのアクセスはできません。
一般的には他のユーザーから見えてほしくないデータここに入れると思うのですが。
なお、ログオンするユーザーがローカルPCの管理者権限がある場合、多少知識があればどんな設定をしてもファイルを参照することができますのでご注意下さい。
No.1
- 回答日時:
共有フォルダのアクセス権はユーザーアカウントと紐付けされます。
親会社のアカウントと子会社のアカウント、両方を使い分けられること自体が問題だと思います。
なぜ複数のアカウントが使えるようになっているのかを、まず確認する必要がありますね。
たとえ上司や役員だったとしても、本人の業務に必要のないアカウント情報は知らせるべきではありません。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ネットワーク管理者にアクセス...
-
AdministratorsとDomain Admins...
-
Amazonプライム会員です。家族...
-
“Pipidae”
-
IPアドレスからOSを割り出す方法
-
thunderbirdの受信トレイが開け...
-
Outlookに「同期に失敗」という...
-
wwwとwww2の違い
-
PCを自分以外に使わせないよう...
-
スクリーンショットをとり、ペ...
-
新規で別アカウントを作成した...
-
物理的に別のメールサーバを使...
-
ASP.NET Machine Accountの存在...
-
さくらVPS メール受信できない。。
-
DNS登録へのIP重複登録について
-
ワークステーションからのログ...
-
バーチャルドメインについて
-
Windows2000におけるユーザープ...
-
ユーザーアカウントを消去し、...
-
Windows Live ID(アカウント)と...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
AdministratorsとDomain Admins...
-
ネットワーク管理者にアクセス...
-
ファイルサーバー内のフォルダ...
-
LAN内のコンピューターのログイ...
-
「パワーユーザー権限」とは
-
IIS6.0の匿名アクセスについて
-
プリンタドライバを別パソコン...
-
Windows2000でドライブの共有方法
-
Active Directoryでユーザー管...
-
共有フォルダへ接続時に認証エ...
-
管理共有(ADMIN$,[ドライブ]$,...
-
Webでシフト管理をしたい!
-
administratorのPASSについて
-
ログオンユーザー名の作り方
-
バッチファイルによる ユーザ...
-
ネットワーク上のPC同士の共有...
-
ドメインネットワークのファイ...
-
ファイルサーバのアクセス者の...
-
ドメイン配下のファイルサーバ...
-
Androidのスマートフォンで、 ...
おすすめ情報