LANの組み方についてお尋ねしたいことがありますのでよろしくお願いします。
例えば20台のパソコンでLANを組むとします。それをそれぞれ10台ずつのA・Bの2つのグループに分け、BグループからAグループへのアクセスは遮断しながら、AグループからBグループへのアクセスはパターンによって許可出来るようなLANの組み方はできるでしょうか。
Aグループのパソコンは共用したいと思っていますから、使う人間が特定されていません。
ある条件を満たした人間が使う場合にはBグループへのアクセスを許可し、満たさない場合にはアクセスを禁止したいのです。
ルーターやサーバーのセキュリティでは使われるパソコン自体によって判別されますから、アクセスを許可される人間に”なりすます”ことが出来てしまいます。グループウェアソフトにそのような物がないかとも思いましたが、これも許可するパソコンを登録する方式でしたので”なりすまし”を見破ることは出来ないように思われます。
アクセスの際に必ずパスワードを要求するようにし、あるパスワードが入力されればフルアクセスが可能になり、別のパスワードなら違うグループにはアクセス出来なくなるようなシステムなら理想的だと思っています。
このようなことが可能でしょうか。
もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。
よろしくお願いします。
No.4ベストアンサー
- 回答日時:
>ハブが1台あれば何台かのPCでLANを組むことが出来ます。
その中の1台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。ドメインにはドメインコントローラーが1台以上必要で、Server OSをインストールするときに、ドメインコントローラーにするかどうか聞いてきます。
ドメインに接続するように設定されているPCは、ドメインコントローラーが無いと基本的にはログオンできませんので、ドメインコントローラーは、365日24H運転させるのが一般的です。
>この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。
ログロン認証や共有リソースを開く際にドメインコントローラーを参照するのだと思いますが、常にドメインコントローラーを経由すということではありません。
各PCの設定としては、ネットワークの設定で、ワークグループ名かドメイン名を入力するところがありますが、ドメイン名を入力して、ドメインに接続するようになっていれば、それ以外には特にすることはありません。
>XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。
MEでも98でもkyoto04さんの期待どおりにできたと記憶していますが、95系はずいぶん使っていないので、正確には覚えていないです。
XP HOME はドメインに接続できませんが、ワークグループ名がドメイン名と同じで、ユーザー名とパスワードが同じであれば、共有リソースへのアクセスはなんとかなります。ドメインに接続していると、各ユーザーが自分のパスワードを変更すれば、ドメインコントローラー内のパスワードも変更されます。
>もし可能でしたら、そのシステムに必要とされる機器などを紹介頂けると嬉しく思います。
LANが機能する状態なら、特になにもいりません。各PCにLANカードがあって、HUBがあって、LANケーブルで接続されていればOKです。
Server OS は接続するPCの数によって値段が変わります。幾らするかは調べてみてください。
ドメインコントローラーに使用するPCは、性能は低くていいですが安定して動くものがいいです。
ありがとうございました。
後はserverOSの使い方をチェックする必要はありますが、充分可能性があると理解することが出来ました。
serverを使うことはハードルの高いことですが、乗り越えることは絶対に必要なことですからね。
お忙しい中、本当にありがとうございました。
server設定で困ったら、またよろしくお願いします・
No.5
- 回答日時:
あなたのしたいことは、まさにWindows 2000 ServerやWindows Server 2003などで実現されるアクティブディレクトリが実現してくれます。
そのために作られたものです。#4さんがMEもXP Homeもなんとかいけると言われているので、その辺りも大丈夫でしょう。あとはマイクロソフトのホームページなどで調べられることをお勧めします。
サーバは1台あればいいし、そのサーバがLANにつながっていればOKです。クライアント(サーバ以外のアクティブディレクトリで管理されているPC)は、ドメインで入らないとネットワークの利用もできないようにできます。なお、そのアクティブディレクトリを管理するドメインコントローラとなるサーバは、#4さんが言われるとおり、通常24時間365日稼動したままにします。あまり再起動すると安定性が悪くなることがありますので、極力停止はしないほうがいいです。プリンタもファイルを置く専用のサーバ(これはドメコンと兼用でも構いませんが、セキュリティは落ちます)もLANにつながってさえいれば使用できるし、利用制限もできます。
アクティブディレクトリでクライアントに制限できることは170項目以上ありますので、かなりの細かいカスタマイズはできますよ。
ありがとうございました。
アクティブディレクトリはその名前を聞いたことがある程度ですので挑戦してみるのに多少の不安もありますが、希望の処理ができる可能性が分かり、挑戦するしかないと自分を奮い立たせています。
また、具体的に困ったことが出てきたときにはよろしくお願いします。
No.3
- 回答日時:
サーバーによるドメインを組むことによって、アカウント=人(具体的にはユーザー名とパスワード)管理をして認証をかける方法がいいでしょう。
なんでしたら、指紋認証や虹彩認証までできます(当然オプション)そのアカウントによって、ネットワークリソースのアクセス権の管理はもちろん、ローカルリソースのアクセス権の管理までできます(Windows NT系)。
ただ、MEってドメインに入れたっけ?(98はパッチ適用で入れるけど、Windows MEなんですよね?)
この回答への補足
inthefloiさん、larさん、ありがとうございます。
今考えているシステムをもう少し具体的に整理してみます。
LANに繋ぐPCは通信が出来るか出来ないかのパターンで2つに分かれますが、それらのPCのOSは多種になりそうです。
AグループのPC、A1、A2、A3...にも、BグループのPC、B1、B2、B3....にも、入っているOSは98、98SE、ME、XP-HE、XP-Proと様々です。たぶん、Win2000Serverも入ってくるのではないかと思います。
全てのPCからインターネットに接続することは条件ではありません。何台かのPCだけしかインターネットに接続できない状況であっても支障はありません。(もちろん、全てが繋がってはダメだということはありませんが)
ただ、将来的にも1台のPCもインターネットに繋ぐことが出来ないシステムでは困ります。
当面重要に考えているのは、フォルダとプリンタの共有です。
フォルダについてもプリンタについても言えることですが、パターンによって共有を許可したり禁止したりしたいのです。
AグループBグループという分け方は各PCに設定するワークグループやセグメントなどではなく、そのPCを使う人間が、特定のフォルダにアクセスすることができるかできないかという分け方です。
また、ネットワークプリンタを設定している場合でも、許可されている人間が操作しているPCからのみ使うことが出来るようにならないものかと考えているのです。
そこで思い付いたのが、”特定のフォルダ”というのを、例えば外付けHDDなどにすればどうか、ということでした。LAN対応などの製品ならアクセス制限を定義出来る物もあるはずでしょうから。
製品の中には印刷ポートを持っている物もあるようですからそれでいけないかと、考えてみました。
しかし、ここで指摘頂いたようなドメイン管理まで出来る製品は見つけられませんでした。
アドバイスを頂いたように、”ドメイン管理”というのがどうしても必要なようですね。
後はこれができるハード構成になるかどうか、ということになりますでしょうか。
イメージが今ひとつはっきりしないのですが、例えば2000Serverを1台入れて、これをサーバーとしてドメイン管理を組んでいく、ということになりますでしょうか。
この際には、LAN内の全てのPCを一旦サーバーを経由しないと信号の受け渡しができないように設定しないといけないのでしょうか。
ハブが1台あれば何台かのPCでLANを組むことが出来ます。その中の1台が2000Serverだというのがイメージなら、2000Serverの電源がoffでもLANは使えてしまいます。当然ドメイン管理は意味のないことになってしまいそうですが、そうではないのでしょうか。
LAN内にWinMEが入ることは確実です。場合によっては98まで入ることになるかもしれません。
XPは当然入ってくるでしょうが、XPのマルチユーザーのようにLANにログオンするときに一つのプロファイルを選べば全て使うことが出来、別のプロファイルを選べば制限のかかった状態になる、というようなことがMEでも98でもできるといいんですが....。
No.2
- 回答日時:
再度回答します。
アクセス・接続・通信が何を指しているのかわからないのです。
まず、Windowsの基本的なネットワークリソースとしては、共有フォルダと共有プリンタがありますよね?
この範囲に限定するならば、Windows 2000 Server や Windows Server 2003 を導入すれば問題は解決します。
ドメイン(ワークグループみたいなもの)に接続された各クライアントPCは、ユーザーアカウントやユーザーグループが共通になるので、ユーザーアカウントが登録されていれば、どのクライアントPCからでもログオンできます。
共有の設定も、ユーザー単位でもグループ単位でも制限できますし、Aグループの方が勝手に各PCの設定を変更することが出来ないようにもできます(Windows Me でどこまで出来るかは記憶が薄いです)。
何度も言いますが、問題なのは何にアクセスしたいのかという事です。
例えばLANからインターネットにアクセスする場合、ハブがあってルーターがあるシンプルな構成であれば、何かがなければAグループだけを禁止にすることができません。
Windows Serverをルーターとしても使用する設定にすれば、特定アカウントをはじく事はできそうですが、そういった設定は少々難しいです。
また、データベースやグループウェアなどのサーバアプリを使用する場合、Windows のアカウントでアクセス制限ができるものと、出来ないものがあります。
出来るものはいいのですが、出来ないものはWindowsとは別のアカウントの管理が必要になります。
パケットフィルタのようなものであれば、IPアドレスでしか制限が出来ないものもありますが、そのような話ではないですよね。
Windows Server の導入がベストだと言っているわけではないですが、kyoto04 さんが管理をやらされるのであれば、書籍などが充実しているものの方がいいだろうと思います。
No.1
- 回答日時:
アクセスというのが何を指しているのかわかりませんが、Windows xxxx Server のアカウントの一元管理とリソースアクセ
ス許可の設定だでは出来ない事をやろうとしているのですか?この回答への補足
質問を補足したいと思います。
Aグループを使う人間に、Bグループに接続を許可されている集団とそうでない集団があるというところがネックだと思っています。
Server(ハードでもソフトでも)のアクセス制限を適用する仕組みは、接続を要求してきたPCのIPアドレスなどのそのPC固有の情報のチェックで行っているはずだと理解しています。
この仕組みで接続の許可・不許可を行おうとすると、接続を許可されていない集団の人間でも、許可されているPCさえ使えば接続出来てしまうことになります。
アクセス許可の対象がPCという機械ではなくて人間だということです。
思い付いた仕組みは、LANに接続する際にパスワードを入力させることが出来ますが、あるパスワードの場合には全てのPCと通信することが出来、別のパスワードではどちらかのグループに属しているPCとしか通信出来ないような仕組みです。
このような仕組みを設定することはできますでしょうか。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
SIMフリーのスマホを先日機種変...
-
【アクセスが拒否されました。...
-
Creator Owner のアクセス許可...
-
アクセス許可「ユーザーまたは...
-
USBメモリの認識拒否
-
アクセス権がなく、iTunesを起...
-
サーバー共有フォルダへのアク...
-
ネットワークログオン
-
ファイル共有について
-
会社の共有フォルダのIPアドレ...
-
対象のアカウント名は間違って...
-
PCのリモート接続状態を事前に...
-
VPSのレンタルサーバーから音声...
-
リモートデスクトップのプロセス名
-
GoogleChromeのリモートデスク...
-
自分のPCがリモートされてるか...
-
サーバの日付を変更するとWebア...
-
店頭で販売されているパソコンが
-
530が出て、FTPアクセスできません
-
複数ドメインの統合について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
SIMフリーのスマホを先日機種変...
-
【アクセスが拒否されました。...
-
Everyone拒否したら自分がアク...
-
会社の共有フォルダにアクセス...
-
ドメインにログオンしないPCか...
-
アクセス許可、管理者権限が得...
-
アクセス許可「ユーザーまたは...
-
USBメモリの認識拒否
-
【regini.exeについて】
-
付与されてしまったアクセス権...
-
windows server 2003の共有フォ...
-
レジストリのInitialKeyboardIn...
-
共有フォルダーにアクセスする...
-
「フルコントロール」と「変更...
-
Creator Owner のアクセス許可...
-
ワークグループのコンピュータ...
-
C:\\windows\\system32\\driver...
-
ファイル共有について
-
ネットワークドライブ経由での...
-
ワークグループのコンピュータ...
おすすめ情報