ドメイン上のファイルサーバーとPCへのアクセスを拒否する-ゲストユーザー

Question

70台以上のPCとサーバーがあり、ユーザーはPCからサーバーにアクセスしてファイルにアクセスします。

Active Directoryまたはグループポリシーから、ゲストユーザー（自分のコンピューターにのみアクセスできる必要があります）のネットワーク上のすべてのPCおよびサーバーへのアクセスを拒否することは可能ですか？.
ファイル共有からのアクセスを拒否することを提案するいくつかの記事を読みました-各ファイル共有に行き、アクセスを拒否します-私たちは多くのコンピューターと多くのファイル共有を持っているので、これには長い時間がかかります、もっと速い方法はありますか？これをする？

サーバー2008を実行しています。

誰かがアドバイスを提供したり、正しい道に私を導くことができれば、私はそれを大いに感謝します。

Todd Wilcox · Accepted Answer

notに任意のリソースへのEveryoneオブジェクトアクセスが許可されていると仮定すると、ゲストが使用するコンピューター上にローカルアカウントを作成できます。彼らはそのアカウントでコンピューターにログオンし、ドメインにもログオンしていないため、デフォルトではドメインリソースにアクセスできません。

ドメインアカウントを使用する必要がある場合は、新しいドメインアカウントを作成し、そのアカウントを含めるための新しいドメインセキュリティグループ（「ゲストユーザー」などと呼ぶことができます）を作成します。アカウントをグループに追加し、新しいグループをユーザーのプライマリグループとして作成し、そのユーザーをドメインユーザーグループから削除します。これで、ユーザーはドメイン上の何にもアクセスできないはずです。これも、Everyoneオブジェクトに何もアクセスを許可していないと仮定した場合です。これは、過去にまったく新しいものにアクセスを許可できなかったためです。ユーザーまたはグループ。

Everyoneの何かへのアクセスを許可した場合、またはEveryoneが任意のリソースへのアクセス権を持っている可能性があると考える理由がある場合は、それを実行して修正する必要がありますそれ。 Everyoneの代わりに使用することでほとんど常に回避できるオブジェクトの1つは、Domain Usersです。これは、一般に、すべてのドメインアカウントがDomain）のメンバーであるためです。ユーザー（上記のようにアカウントが特に削除されていない限り）。ユーザーが営業時間中に使用しているリソースへのアクセス許可を変更しないでください。ユーザーが次にログオンしてセキュリティトークンを取得するまで、変更によってアクセスが拒否される可能性があります。理想的には、経験豊富なコンサルタントがこの種の権限の変更を手伝ってくれるでしょう。誤ってユーザーが重要なリソースへのアクセスを拒否したり、ユーザーに機密情報へのアクセスを許可したりする可能性が非常に高いからです。

スタッフ全員がコンピューターを使用してドメインアクセスを必要としない場合は、コンピューターをゲストアクセス専用にし、ドメインに参加させることもできません。最後に、ゲストの最終的な分離は、問題のコンピューターが別のネットワーク上にあるか、ドメインコンピューターからVLAN）であり、複数の物理的または仮想的なファイアウォールを介してインターネットを共有することです。インターフェイス、または個別の専用ファイアウォールとインターネット接続を使用することもできます。

user5870571 · Answer

ゲストユーザーアカウントがActiveDirectoryアカウントの場合は、Active Directoryのユーザーアカウントに移動し、[プロパティ]に移動し、[アカウント]タブに移動し、[ログオン先...]ボタンをクリックして、の名前を入力してみませんか。ゲストユーザーにログオンを許可するコンピューターは？

これを実装する方法を決定する前に、トッドのポイントも考慮する必要があります。 Everyone Allow Fullの共有およびNTFSアクセス許可用に構成された共有を持つコンピューターがある場合は、それに対処する必要があります。

Toddが指摘したように、本番ネットワークとは別のネットワークにゲストアクセスを設定する正しい方法は、ゲストネットワークを別の仮想ローカルエリアネットワーク（VLAN）に配置することです。

多くの人は、ゲストにネットワークへのアクセスを許可することは大したことではなく、スイッチを切り替えて機能させることはできますが、同じゲストにネットワークへのアクセスを許可することはできないと考えているようです。それはこれがどのように機能するかではありません。計画を立てることで多くの頭痛の種を減らすことができるため、ゲストにインターネットアクセスを提供する必要があると思われるが、ゲストを本番ネットワークから遠ざける場合は、時間をかけてVLANを使用してネットワークを適切に設計および分離する必要があります。これは簡単な作業ではありませんが、正しく構成すると、2つのネットワークを分離したまま、両方にインターネット（またはプリンターやサーバーなどの他のリソース）へのアクセスを許可します。