ADをインストールするとsysvol共有フォルダ、Netlogon共有フォルダが
%SystemRoot%配下に作成されますが、この2つのフォルダは
ドメインのユーザーからもアクセスできてしまってもよいものでしょうか?
と、言いますのは、
ADを構築し、クライアントコンピューターから\サーバー名を
指定したところ、sysvolフォルダとNetlogonフォルダが表示され
sysvolフォルダ、NetlogonフォルダにクライアントPC(domein user)
からアクセスできてしまいました。
これはセキュリティ的に良い物なのでしょうか?
チャブーンです。
SYSVOL共有というのはグループポリシーの設定データ(どんなレジストリを変更するのか)が格納されているため、すべてのユーザーやコンピューターから読み取り可能な状態である必要があります。書き込みや削除はできませんので、書き換えの問題はありませんが、ログオンスクリプトが格納されている場合、そのスクリプトにパスワードを含む内容(net use等、別のユーザーでネットワークアクセスする際に書かれるケースがあります)がある場合、注意が必要です。
ちなみにNetlogonフォルダは古いOS(Windows NT)時代に(システムポリシーでログオンスクリプトを実行するために)スクリプトファイルが配置されたフォルダであり、Active Directoryでは下位互換で配置されているだけなので、通常は空になっています。
この質問への回答やコメントをメールでお知らせします。