http://www.hatena.ne.jp/1062385559#
現在、ドメインコントローラーで、クライアントにポリシー設定を行う作業をしております。ユーザーグループにより、ドライブの書き込み制限をかけたいのですが(クライアン.. - 人力検索はてな
クライアント端末のCドライブのセキュリティを一台一台設定する必要があります。
Cドライブの書き込み許可をSystemと任意のグループに対して許可します。
レジストリでは設定出来ません。
これはNTFS式フォーマットでしかセキュリティが利用出来ない点から分かるように、OSで管理する以前にディスク自体がセキュリティ情報をもっています。
http://support.microsoft.com/default.aspx?scid=kb;en-us;242092
How to: Use System Policies to Hide Specific Drives
NTですか?W2K Active Directoryのグループポリシーですか?NTの場合、リンクの通りCドライブを表示しないことで、間接的に保護できるのではないでしょうか。NTFSではCのデフォルトがEverybody=Full Accessになっているのでログオンスクリプトでセキュリティ設定の変更でもしない限り完全に書き込み不可にするのは難しいかも。
回答有難う御座います。
そうです! OSを書くのを忘れてましたw
現状は、Win2000です。
クライアントを直接操作すれば、権限を付けられるのですが、ドメインコントローラーから同様の事がポリシー設定できるのでは?と思いましたので。
因みに、現在ドライブ不可視には、なっているのですが、コマンドで直接指定すると、書き込みが出来るので困っている次第でした。
参考になりました
有難う御座いました。w
http://support.microsoft.com/default.aspx?scid=kb;en-us;307027
Drives That Are Blocked By a Group Policy Are Still Accessible By Using the Search Tool
ポリシーではNTFSのセキュリティは変更できないのでは?ドライブの不可視、最新のSPにより検索不可にし、最後にはcmd.exeを使えないようにログオンスクリプト(必要であれば暗号化したVBスクリプトでrunasして)で名前を変えてしまうとか。
http://www.serverwatch.com/tutorials/article.php/1476721
Scripting NTFS permisions with ADSI (Part 1) — ServerWatch.com
そこまでするならログオンスクリプト(WSH + ADSI)でNTFSの権限を変えてしまうというのも可能でしょう。
回答者 | 回答 | 受取 | ベストアンサー | 回答時間 | |
---|---|---|---|---|---|
1 | ryokuma | 34回 | 24回 | 0回 | 2003-09-03 12:32:06 |
回等有難う御座いますw
調べた情報によると、パッチを当てればドメインコントローラーからコントロール出来るとの情報がありました。(本当かは分からないですけどね。) もう少し調べて見ます。
有難う御座いました。