メタサーバのローカルディスクをユーザに公開させたくない
AAA 2008/05/16 20:03:30
アプリケーションで使用するファイルを指定させるため、
Windowsダイアログを開かせているのですが、
クライアントのドライブだけを表示させたいと思っています。
ActiveDirectoryにてOUの設定で対応可能との記載がこちらのサイトにもあるのですが、
具体的にグループポリシーの何を変更させればよいのでしょうか。
どなたか教えてください。
Windowsダイアログを開かせているのですが、
クライアントのドライブだけを表示させたいと思っています。
ActiveDirectoryにてOUの設定で対応可能との記載がこちらのサイトにもあるのですが、
具体的にグループポリシーの何を変更させればよいのでしょうか。
どなたか教えてください。
BBB 2008/05/19 09:03:59
ユーザーの構成
- 管理用テンプレート
-- Windows コンポーネント
---- エクスプローラ
-----・ 指定したドライブを [マイ コンピュータ] 内で非表示にする
-----・[マイ コンピュータ] からドライブにアクセスできないようにする
上記の2つでそれなりのことはできます。
- 管理用テンプレート
-- Windows コンポーネント
---- エクスプローラ
-----・ 指定したドライブを [マイ コンピュータ] 内で非表示にする
-----・[マイ コンピュータ] からドライブにアクセスできないようにする
上記の2つでそれなりのことはできます。
AAA 2008/05/20 16:04:26
ありがとうございます。
テストしてみます。
テストしてみます。
pi 2008/05/20 19:16:00
特定のドライブ文字列を隠したいのであれば、
systemadm.infを変更する必要があります。
systemadm.infを変更する必要があります。
AAA 2008/05/22 21:06:17
BBBさんのやり方ですと、
クライアントがOS起動時にドメインに参加してしまったら、
METAを使わない通常時でもドライブの非表示になってしまわないのでしょうか。
Cドライブはクライアントにもありますが、
META上ではサーバ側でCドライブが割りあたっています。
Cドライブをマイコンピュータで非表示にした場合、
OSをドメインに参加させた時点でクライアントのCドライブがみれなくなるのではないでしょうか?
クライアントがOS起動時にドメインに参加してしまったら、
METAを使わない通常時でもドライブの非表示になってしまわないのでしょうか。
Cドライブはクライアントにもありますが、
META上ではサーバ側でCドライブが割りあたっています。
Cドライブをマイコンピュータで非表示にした場合、
OSをドメインに参加させた時点でクライアントのCドライブがみれなくなるのではないでしょうか?
BBB 2008/05/23 10:11:18
OUでクライアントコンピュータとMETAサーバを分けるとか、
WMIフィルタで絞るとか、
あと、METAサーバのローカルポリシーを設定する方法でも可能かと。
# 最後のは、Administratorにも効いてしまいますが。
WMIフィルタで絞るとか、
あと、METAサーバのローカルポリシーを設定する方法でも可能かと。
# 最後のは、Administratorにも効いてしまいますが。
AAA 2008/05/27 13:28:12
メタはパススルー認証にしているので、
クライアントOSにログインするドメインのユーザIDと
メタを利用するドメインのユーザIDは同じです。
OUでクライアントとサーバを分けたとしても、グループポリシーは
[ユーザーの構成]に設定をするため、OU配下のユーザに対して適用されるのではないでしょうか。
(それとも[ユーザーの構成]がコンピュータに対しても適用されるのでしょうか?)
何度もすみません・・・。
メタのパススルー認証では制限できないのでしょうか。
クライアントOSにログインするドメインのユーザIDと
メタを利用するドメインのユーザIDは同じです。
OUでクライアントとサーバを分けたとしても、グループポリシーは
[ユーザーの構成]に設定をするため、OU配下のユーザに対して適用されるのではないでしょうか。
(それとも[ユーザーの構成]がコンピュータに対しても適用されるのでしょうか?)
何度もすみません・・・。
メタのパススルー認証では制限できないのでしょうか。
CCC 2008/05/27 15:17:45
コンピュータの構成
- 管理用テンプレート
-- Windows コンポーネント
---- エクスプローラ
-----・ 指定したドライブを [マイ コンピュータ] 内で非表示にする
-----・[マイ コンピュータ] からドライブにアクセスできないようにする
を使えばいいのでは。
- 管理用テンプレート
-- Windows コンポーネント
---- エクスプローラ
-----・ 指定したドライブを [マイ コンピュータ] 内で非表示にする
-----・[マイ コンピュータ] からドライブにアクセスできないようにする
を使えばいいのでは。
pi 2008/05/27 16:47:05
少し補足
パススルー認証は、認証の回数を減らすだけの機能です。
CPSサーバのローカルドライブのアクセスに関してはWindowsで制御する必要があります。
今回の場合は、端末側も、CPSセッションも同一のドメインユーザーで利用するため、
ドメイン側のポリシーで制御を行うと、
端末側のドライブも見えなくなります。
よって、CCCさんの記載の様に
CPSサーバのローカルポリシーで設定する方法で良いのでは?
ただし、このポリシーはAdminも含め、
全ユーザーに適用されます。
パススルー認証は、認証の回数を減らすだけの機能です。
CPSサーバのローカルドライブのアクセスに関してはWindowsで制御する必要があります。
今回の場合は、端末側も、CPSセッションも同一のドメインユーザーで利用するため、
ドメイン側のポリシーで制御を行うと、
端末側のドライブも見えなくなります。
よって、CCCさんの記載の様に
CPSサーバのローカルポリシーで設定する方法で良いのでは?
ただし、このポリシーはAdminも含め、
全ユーザーに適用されます。
しげっち 2008/05/28 09:55:03
CPSのローカルセキュリティーポリシーを採用される場合、ポリシーを編集するユーザを
1つ決め(PolAdmin等適当な管理者権限を有するアカウント)、そのアカウントでのみ
ポリシーを編集するようにします。Administratorはポリシーが保存されているフォルダの
アクセス権を全て「拒否」に設定する事でAdministratorにポリシーが適用される事は無く
なります。CPSサーバを1台でしかもドメイン環境で無い場合によく採用しています。
ドメイン環境の場合はグループポリシーを使用してドライブ非表示等のポリシーを設定
していますが、CPSを利用するユーザと端末がドメインに参加しているユーザが同じ場合
クライアント端末がWindowsXP以降のOSしかない場合はWMIフィルタを使用し、適用する
サーバを特定する方法を採用しています。
1つ決め(PolAdmin等適当な管理者権限を有するアカウント)、そのアカウントでのみ
ポリシーを編集するようにします。Administratorはポリシーが保存されているフォルダの
アクセス権を全て「拒否」に設定する事でAdministratorにポリシーが適用される事は無く
なります。CPSサーバを1台でしかもドメイン環境で無い場合によく採用しています。
ドメイン環境の場合はグループポリシーを使用してドライブ非表示等のポリシーを設定
していますが、CPSを利用するユーザと端末がドメインに参加しているユーザが同じ場合
クライアント端末がWindowsXP以降のOSしかない場合はWMIフィルタを使用し、適用する
サーバを特定する方法を採用しています。
