- PR -

2つのネットワークで共有するファイルのセキュリティーについて

1
投稿者投稿内容
seai
ベテラン
会議室デビュー日: 2007/04/10
投稿数: 60
投稿日時: 2007-04-10 17:04
はじめまして。初投稿です。いろいろ調べたのですが、皆目検討がつかないので
ご存知の方いましたら教えてください。

以下の構成のネットワークが有ります。

[ネットワークA:192.168.10.XXX]--WinXPエンベデッド
   |
 [SW-HUB] Workgroup
   |
  [NIC-A:192.168.10.1 255.255.255.0]
[データベース用PC:共有フォルダ]
  [NIC-B:192.168.63.XXX 255.255.255.0]
   |
 [SW-HUB] Domain
   |
[ネットワークB:192.168.63.XXX]--サーバー:2003サーバー
                 クライアント:WinXP、W2K


ドメインとワークグループの2つのネットワークに接続されている
データベース用PCがあります。NICは2枚あります。
データベース用PCの共有フォルダに対してセキュリティーをかけ
一部のドメインユーザーのみアクセスできるように制限をかけたいのですが
データベース用PCをドメインに参加させないと、ドメインユーザーに対する
アクセス許可の設定ができません。
その状態ではネットワークA(Workgroup)に接続されている
データ収集用PCがデータベース用PCの共有フォルダにデータを落とせなくなります。
かといってワークグループに参加ではドメインユーザーのアクセス制限を
かけることができません。

なにかうまい方法はないものでしょうか。



Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-04-10 17:20
データ収集用PCってのは、ネットワークAにあるWinXPエンベデッドですよね?

引用:

データベース用PCをドメインに参加させないと、ドメインユーザーに対する
アクセス許可の設定ができません。
その状態ではネットワークA(Workgroup)に接続されている
データ収集用PCがデータベース用PCの共有フォルダにデータを落とせなくなります。


問題のワークグループ端末ですが、どんなユーザで認証しようとしてますか?
ローカルユーザでUserAというのを使って認証しようとしてるなら、
Domainドメインに、同じユーザ名パスワードでドメインユーザを作成して、
そのドメインユーザに共有フォルダへのアクセス権を付与してください。
認証時のドメイン名置き換え規則で、普通にアクセスできるはずです。

http://www.monyo.com/technical/windows/msnet/
の第5回->ドメイン名の置き換え規則 あたりを参考に。


他にもやり方は色々あります。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-04-10 17:27
あと1点、タイトルに違和感を覚えたので。

今回の問題は、2つのネットワークというより、
ドメイン参加端末と不参加端末が混在する環境での問題ですので、
1つの共通した、ドメイン環境が存在するネットワークに、
ドメインに参加してない端末が存在する、という状況と
同様に考えて問題ありません。

むしろ、Windowsファイル共有等、Microsoftネットワーク機能を
使う端末がマルチホーム(NIC2枚で独立したセグメントに接続)した構成は、
認証以外の構成トラブルの元になりますので、
単にワークグループとドメイン環境を分けたいだけ、という理由で
マルチホームにしたのであれば、考え直すことも検討してください。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
seai
ベテラン
会議室デビュー日: 2007/04/10
投稿数: 60
投稿日時: 2007-04-11 10:40
Mattun様 回答ありがとうございます。

> データ収集用PCってのは、ネットワークAにあるWinXPエンベデッドですよね?
そうです。生産設備に組み込まれていますのでエンベデッドになっています。
(1点忘れましたがデータベース用PCはWinXPです。)

> 問題のワークグループ端末ですが、どんなユーザで認証しようとしてますか?
> ローカルユーザでUserAというのを使って認証しようとしてるなら、
> Domainドメインに、同じユーザ名パスワードでドメインユーザを作成して、
> そのドメインユーザに共有フォルダへのアクセス権を付与してください。
> 認証時のドメイン名置き換え規則で、普通にアクセスできるはずです。

元々、ネットワークAは生産設備でドメインのない単独のネットワークで
運用していましたのでユーザー認証という考えは全くありませんでした。
データ収集用PCをドメインコントローラにユーザー登録し、
そのユーザー名をデータベース用PCの共有フォルダに対して
アクセス権を設定するということでよろしいのでしょうか?

> むしろ、Windowsファイル共有等、Microsoftネットワーク機能を
> 使う端末がマルチホーム(NIC2枚で独立したセグメントに接続)した構成は、
> 認証以外の構成トラブルの元になりますので、
> 単にワークグループとドメイン環境を分けたいだけ、という理由で
> マルチホームにしたのであれば、考え直すことも検討してください。

収集したデータを社内LAN(ネットワークB)を見れるようにせよという指示で
データベース用PCにNICを1枚追加し社内LAN(ネットワークB)に接続したのですが
単に接続しただけでは(ドメインに参加しない状態)、データベース用PCの
共有フォルダはすべてのドメインユーザーから見えてしまいます。
また、データ収集用PCは生産設備ですので
「生産設備は社内LAN直接に接続できない」という社内のルールに触れてしまいます。
従ってデータベース用PCの共有フォルダを介した
「NIC2枚で独立したセグメントに接続」という構成にせざるを得ません。
生産に絡む重要なデータですので特定のドメインユーザーのみ
見えるようにしたいというのが今回の相談でした。

いろいろご指摘ありがとうございました。
ほかにも参考になりそうなURLがあれば教えていただきたく。
1

スキルアップ/キャリアアップ(JOB@IT)