QA@IT

SysvolフォルダとNetLogONフォルダについて

24447 PV

ADをインストールするとsysvol共有フォルダ、Netlogon共有フォルダが
%SystemRoot%配下に作成されますが、この2つのフォルダは
ドメインのユーザーからもアクセスできてしまってもよいものでしょうか?

と、言いますのは、
ADを構築し、クライアントコンピューターから\サーバー名を
指定したところ、sysvolフォルダとNetlogonフォルダが表示され
sysvolフォルダ、NetlogonフォルダにクライアントPC(domein user)
からアクセスできてしまいました。

これはセキュリティ的に良い物なのでしょうか?

回答

チャブーンです。

SYSVOL共有というのはグループポリシーの設定データ(どんなレジストリを変更するのか)が格納されているため、すべてのユーザーやコンピューターから読み取り可能な状態である必要があります。書き込みや削除はできませんので、書き換えの問題はありませんが、ログオンスクリプトが格納されている場合、そのスクリプトにパスワードを含む内容(net use等、別のユーザーでネットワークアクセスする際に書かれるケースがあります)がある場合、注意が必要です。

ちなみにNetlogonフォルダは古いOS(Windows NT)時代に(システムポリシーでログオンスクリプトを実行するために)スクリプトファイルが配置されたフォルダであり、Active Directoryでは下位互換で配置されているだけなので、通常は空になっています。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。