人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

現在、ドメインコントローラーで、クライアントにポリシー設定を行う作業をしております。ユーザーグループにより、ドライブの書き込み制限をかけたいのですが(クライアント自身がCドライブへ書き込めないようにしたい。)レジストリの何処で制御されているのか、分からないので、ポリシーテンプレート作成に困っています。何か良いサイトがあればよろしくお願いします。

●質問者: kaz_123_gt
●カテゴリ:コンピュータ
✍キーワード:クライアント グループ コントローラー サイト テンプレート
○ 状態 :終了
└ 回答数 : 3/4件

▽最新の回答へ

1 ● yasukana
●20ポイント

http://www.hatena.ne.jp/1062385559#

現在、ドメインコントローラーで、クライアントにポリシー設定を行う作業をしております。ユーザーグループにより、ドライブの書き込み制限をかけたいのですが(クライアン.. - 人力検索はてな

クライアント端末のCドライブのセキュリティを一台一台設定する必要があります。

Cドライブの書き込み許可をSystemと任意のグループに対して許可します。

レジストリでは設定出来ません。

これはNTFS式フォーマットでしかセキュリティが利用出来ない点から分かるように、OSで管理する以前にディスク自体がセキュリティ情報をもっています。

◎質問者からの返答

回等有難う御座いますw

調べた情報によると、パッチを当てればドメインコントローラーからコントロール出来るとの情報がありました。(本当かは分からないですけどね。) もう少し調べて見ます。

有難う御座いました。


2 ● akibare
●20ポイント

http://support.microsoft.com/default.aspx?scid=kb;en-us;242092

How to: Use System Policies to Hide Specific Drives

NTですか?W2K Active Directoryのグループポリシーですか?NTの場合、リンクの通りCドライブを表示しないことで、間接的に保護できるのではないでしょうか。NTFSではCのデフォルトがEverybody=Full Accessになっているのでログオンスクリプトでセキュリティ設定の変更でもしない限り完全に書き込み不可にするのは難しいかも。

◎質問者からの返答

回答有難う御座います。

そうです! OSを書くのを忘れてましたw

現状は、Win2000です。

クライアントを直接操作すれば、権限を付けられるのですが、ドメインコントローラーから同様の事がポリシー設定できるのでは?と思いましたので。

因みに、現在ドライブ不可視には、なっているのですが、コマンドで直接指定すると、書き込みが出来るので困っている次第でした。

参考になりました

有難う御座いました。w


3 ● akibare
●40ポイント

http://support.microsoft.com/default.aspx?scid=kb;en-us;307027

Drives That Are Blocked By a Group Policy Are Still Accessible By Using the Search Tool

ポリシーではNTFSのセキュリティは変更できないのでは?ドライブの不可視、最新のSPにより検索不可にし、最後にはcmd.exeを使えないようにログオンスクリプト(必要であれば暗号化したVBスクリプトでrunasして)で名前を変えてしまうとか。

http://www.serverwatch.com/tutorials/article.php/1476721

Scripting NTFS permisions with ADSI (Part 1) — ServerWatch.com

そこまでするならログオンスクリプト(WSH + ADSI)でNTFSの権限を変えてしまうというのも可能でしょう。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ