私には 2 人のユーザーがいる Windows 7 コンピューターがあります。1 人は管理者で、もう 1 人は制限付きユーザーです。
制限付きユーザーはインターネットにアクセスできる必要がありますが、LAN 内のどのコンピューターのネットワーク共有にもアクセスできません。LAN 内にコンピューターやワークグループがあることさえ表示されないのがベストです。
管理者ユーザーは、インターネットと LAN に通常どおりアクセスできる必要があります。
どうすればこれを実現できるでしょうか?
編集:
LAN内の他のコンピュータを制御できません。
このコンピューターにホーム グループを残しておくだけで十分だと思いますか?
答え1
もっと良い解決策があるかもしれません。しかし、ここに一つあります:
- そのユーザーに共有権限を与えたり、明示的に拒否したりしないでください。
- そのユーザーのコンピュータ ブラウザ サービスを無効にします。非常に原始的な方法は、無効に設定することです。有効にするには管理者である必要があるため、管理者自身は有効にできますが、ユーザーは無効にできません。別の方法としては、それを実行するログオン/ログオフ スクリプトがあります。
答え2
これは、予想よりもはるかに大きな答えであり、多くの可変要素で満たされています。
まず、「ユーザー」の知識レベルを考慮する必要があります。高度な知識を持つユーザー (またはハッカー) がコンピューターの前に座ることができれば、できないことはほとんどありません。技術に精通したユーザーは共有に直接アクセスする方法を知っているかもしれませんが、基本的な「アクセスが拒否されました」というメッセージが表示されても、それ以上のことはできないでしょう。一般的なユーザーは、ショートカットがない限り、ネットワーク共有にアクセスする方法を知りません。
「ネットワーク共有」とはどういう意味ですか? 別の Windows Server 上の実際の「Windows ネットワーク共有」について話しているのですか? そうであれば、必要に応じてユーザーを許可/制限する権限を設定してください。 一般的なルールとして、ユーザーがネットワーク共有に対する権限を持っていない場合、そのユーザーはその共有にアクセスできません。 \some-server\share を参照すると、ユーザー名/パスワードを要求するわかりやすいログオン プロンプト (ドメインにログインしていない場合) または単に「アクセスが拒否されました」というメッセージ (ドメインにログインしていて権限がない場合) が表示されます。 管理者に権限を割り当てて、必要な権限を与えることができます。 「非表示にする」という点については、ユーザーのスキル レベルに関係します。 ネットワーク接続をユーザー別にフィルターすることはできず、IP アドレス、ポート、またはその他の「ネットワーク」属性によってのみフィルターできます。 ネットワーク接続が確立されると、セキュリティの維持はアプリケーション レイヤーに委ねられます。 残念ながら、ユーザーごとにファイアウォール ルールにグループ ポリシー オブジェクトを適用する方法はありません。
ネットワーク共有の「外観」を制限したい場合は、さまざまなネットワーク共有の表示を隠したり制限したりできるグループ ポリシーを使用して、かなりのことを行うことができます...ただし、この説明は非常に長くなる可能性があるため、軽々しく行うべきではありません。
SMB スタックが部分的に実装された「家庭用」アプライアンス (ルーター? NAS? ???) 上のネットワーク共有について話しているのであれば、製造元に完全に依存します。ユーザー名/パスワードを要求されない場合は、できることはあまりありません。
他のことについて話しているのであれば、もっと情報が必要です。