LAN 上の 1 台のマシンがネットワーク共有にアクセスしないようにするにはどうすればよいですか?

LAN 上の 1 台のマシンがネットワーク共有にアクセスしないようにするにはどうすればよいですか?

Windows ネットワーク上に XP コンピュータが 1 台あり、このコンピュータをネットワーク上の他のコンピュータのネットワーク共有から分離したいと考えています。このコンピュータがネットワーク上の他のネットワーク共有にアクセスできないようにしたいのですが、どうすればよいでしょうか。

答え1

覚えておかなければならないのは、ユーザーアカウントそしてマシンアカウントマシンアカウントは、マシンをドメインに参加させるためだけに使用されます。ユーザーアカウントは、コンピュータまたはドメインにログオンするために使用されます。共有へのアクセスの管理は、ユーザーアカウントを介して行われます。ユーザーは、ローカルコンピュータ(つまり、ワークグループシナリオ)またはドメイン(つまり、ドメイン コントローラーとして機能するマシンは、すべてのネットワーク ユーザーに認証資格情報を提供します。Windows サーバーまたは Linux Samba のいずれかを実行します)。最も単純な家庭での使用例は、ワークグループ モデルである各 PC に個別にログインすることです。これは、PC が起動してログインせずにスタート ボタン画面に移動した場合でも発生します。そのマシンには、"自動ログオン" するユーザー アカウントがまだ存在します。(mmcコマンドを使用してユーザーを検索すると、Microsoft 管理コンソールが開きます)。

ケース1:ワークグループ

「簡易ファイル共有」を無効にするには、Tools - Folder Options - View - Advanced settings次の手順に従ってください。参照. フォルダーを右クリックして で共有しますSharing and Security。 同時に、 ボタンで権限を設定しますPermissions。 ここでは 2 つのシナリオがあります。

  1. まず、許可するときローカルユーザー名とパスワードによるアクセスフォルダを共有しているコンピュータに存在するユーザー名とパスワードを入力します。USER1 とします。アクセス許可では、USER1 にのみアクセスを許可します。他のすべてのコンピュータに USER1 がないことを確認します。その後、接続時にユーザーにユーザー名とパスワードが求められます。アクセスを許可したくないコンピュータを使用しているユーザーがユーザー名とパスワードを知らない場合、その人は共有にアクセスできません。もちろん、他のすべてのユーザーはユーザー名とパスワードを覚えておく必要があり、除外したいユーザーにそれらの資格情報を提供したいという誘惑に抵抗する必要があります。
  2. シナリオ2は、ユーザーはネットワークのユーザー名やパスワードを知らないなど、彼らは「自動ログオン」するコンピュータにやって来ます。つまり、彼らは知らないのですパスワードも何もない、ただ自分のコンピュータを使うだけ. ボタン画面で起動するコンピュータにのみ表示されますStart。これを利用できます。共有にアクセスするコンピュータのユーザー名を書き留めます。共有コンピュータで、正確なユーザー名を持つユーザーアカウントを作成します。same usernamesそしてsame passwords許可されたコンピュータと同じ。フォルダを共有する場合は、それらのユーザーに権限を与えます。除外したいコンピュータのユーザーと同じユーザー名を設定することもできます。共有コンピュータでそのアカウントに権限を与える場合は、取り除くすべてのアクセス。ユーザーに見えるのは、"許可され​​た" コンピューターから共有にアクセスでき、"除外された" コンピューターからのアクセスは拒否されるということです。舞台裏では、共有コンピューターはアクセス要求を次のように見ています: who is asking?- user1 - what's your password?- password1 OK you can access。除外されたコンピューターが接続すると、最後の応答が になることを除いて、まったく同じやり取りが行われますAccess Denied!。これが機能するのは、アクセスするコンピューターのユーザー名とパスワードが、共有コンピューターのユーザー名とパスワードと同じになるように設定されているためです。アクセスするコンピューターが 4 台あるとします。各コンピューターには 1 つのユーザー アカウントがあります。共有コンピューターには、少なくとも 4 つのアカウントがあります (アクセスするコンピューターがすべて同じユーザー名/パスワードの "自動ログオン" で設定されていない場合は、共有コンピューターに 2 つのアカウントがあります。1 つはアクセスするコンピューター用、もう 1 つは除外されたコンピューター用です)。確認なしで機能する唯一の理由は、ユーザー名とパスワードが一致し、コンピューターが手元にある唯一の資格情報を使用しようとするためです。ネットワーク セキュリティの観点からは、これは... うーん... あまり良くありません。クトゥルフおそらく、その通りだと思います。ただし、ユーザーが自動的にログオンするアカウントをいじり始めない限り、機能するでしょう。

ケース2:ドメイン

もっとシンプルに - すべてのユーザーがドメインにログオンするので、すべてのユーザー名が中央に保存されます。そのため、中央サーバーから共有へのアクセスを制限できます - 共有するときに、許可されたユーザーを指定するDOMAIN\User1などします。特に許可されていないユーザーはアクセスできません。もちろん、次のユーザーのアクセスを削除することを忘れないでください。Everyoneグループ。簡単で便利ですが、Windows サーバー (費用がかかります) を実行するか、Linux 上に SAMBA 3 または 4 サーバーをセットアップする必要があります。

ケース3?ファイアウォール

おそらく、共有マシンのソフトウェア ファイアウォールを使用して、除外したいマシンの IP アドレスからのトラフィックを具体的に除外することができます。その IP アドレスからのリクエストがあった場合、ポート 138 と 139 の TCP/UDP トラフィックをドロップするようにファイアウォールに指示するだけで十分です。ただし、これは標準の Windows XP ファイアウォール以外のファイアウォールである必要があります。除外したいマシンのファイアウォールを使用することもできます。そのマシンに、共有マシンからのポート 138 と 139 からのすべてのパケットをドロップするように指示します。もう 1 つクトゥルフユーザーが変更を元に戻さない限り、この方法は機能する可能性があります ;)。

関連情報