- - PR -
2つのネットワークで共有するファイルのセキュリティーについて
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2007-04-10 17:04
はじめまして。初投稿です。いろいろ調べたのですが、皆目検討がつかないので
ご存知の方いましたら教えてください。 以下の構成のネットワークが有ります。 [ネットワークA:192.168.10.XXX]--WinXPエンベデッド | [SW-HUB] Workgroup | [NIC-A:192.168.10.1 255.255.255.0] [データベース用PC:共有フォルダ] [NIC-B:192.168.63.XXX 255.255.255.0] | [SW-HUB] Domain | [ネットワークB:192.168.63.XXX]--サーバー:2003サーバー クライアント:WinXP、W2K ドメインとワークグループの2つのネットワークに接続されている データベース用PCがあります。NICは2枚あります。 データベース用PCの共有フォルダに対してセキュリティーをかけ 一部のドメインユーザーのみアクセスできるように制限をかけたいのですが データベース用PCをドメインに参加させないと、ドメインユーザーに対する アクセス許可の設定ができません。 その状態ではネットワークA(Workgroup)に接続されている データ収集用PCがデータベース用PCの共有フォルダにデータを落とせなくなります。 かといってワークグループに参加ではドメインユーザーのアクセス制限を かけることができません。 なにかうまい方法はないものでしょうか。 | ||||
|
投稿日時: 2007-04-10 17:20
データ収集用PCってのは、ネットワークAにあるWinXPエンベデッドですよね?
問題のワークグループ端末ですが、どんなユーザで認証しようとしてますか? ローカルユーザでUserAというのを使って認証しようとしてるなら、 Domainドメインに、同じユーザ名パスワードでドメインユーザを作成して、 そのドメインユーザに共有フォルダへのアクセス権を付与してください。 認証時のドメイン名置き換え規則で、普通にアクセスできるはずです。 http://www.monyo.com/technical/windows/msnet/ の第5回->ドメイン名の置き換え規則 あたりを参考に。 他にもやり方は色々あります。 | ||||
|
投稿日時: 2007-04-10 17:27
あと1点、タイトルに違和感を覚えたので。
今回の問題は、2つのネットワークというより、 ドメイン参加端末と不参加端末が混在する環境での問題ですので、 1つの共通した、ドメイン環境が存在するネットワークに、 ドメインに参加してない端末が存在する、という状況と 同様に考えて問題ありません。 むしろ、Windowsファイル共有等、Microsoftネットワーク機能を 使う端末がマルチホーム(NIC2枚で独立したセグメントに接続)した構成は、 認証以外の構成トラブルの元になりますので、 単にワークグループとドメイン環境を分けたいだけ、という理由で マルチホームにしたのであれば、考え直すことも検討してください。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||
|
投稿日時: 2007-04-11 10:40
Mattun様 回答ありがとうございます。
> データ収集用PCってのは、ネットワークAにあるWinXPエンベデッドですよね? そうです。生産設備に組み込まれていますのでエンベデッドになっています。 (1点忘れましたがデータベース用PCはWinXPです。) > 問題のワークグループ端末ですが、どんなユーザで認証しようとしてますか? > ローカルユーザでUserAというのを使って認証しようとしてるなら、 > Domainドメインに、同じユーザ名パスワードでドメインユーザを作成して、 > そのドメインユーザに共有フォルダへのアクセス権を付与してください。 > 認証時のドメイン名置き換え規則で、普通にアクセスできるはずです。 元々、ネットワークAは生産設備でドメインのない単独のネットワークで 運用していましたのでユーザー認証という考えは全くありませんでした。 データ収集用PCをドメインコントローラにユーザー登録し、 そのユーザー名をデータベース用PCの共有フォルダに対して アクセス権を設定するということでよろしいのでしょうか? > むしろ、Windowsファイル共有等、Microsoftネットワーク機能を > 使う端末がマルチホーム(NIC2枚で独立したセグメントに接続)した構成は、 > 認証以外の構成トラブルの元になりますので、 > 単にワークグループとドメイン環境を分けたいだけ、という理由で > マルチホームにしたのであれば、考え直すことも検討してください。 収集したデータを社内LAN(ネットワークB)を見れるようにせよという指示で データベース用PCにNICを1枚追加し社内LAN(ネットワークB)に接続したのですが 単に接続しただけでは(ドメインに参加しない状態)、データベース用PCの 共有フォルダはすべてのドメインユーザーから見えてしまいます。 また、データ収集用PCは生産設備ですので 「生産設備は社内LAN直接に接続できない」という社内のルールに触れてしまいます。 従ってデータベース用PCの共有フォルダを介した 「NIC2枚で独立したセグメントに接続」という構成にせざるを得ません。 生産に絡む重要なデータですので特定のドメインユーザーのみ 見えるようにしたいというのが今回の相談でした。 いろいろご指摘ありがとうございました。 ほかにも参考になりそうなURLがあれば教えていただきたく。 |
1