Windows ドメイン環境における基本メカニズムを知らないと能否検証に時間を取られることがある。
アクセス制御の主体(アカウント)
- グループ
- コンピュータ
- ユーザ
コンピュータリソースを利用する主体を指す。 主体と対象の違いは、「使う側」か「使われる側」かということ。
アカウントにはACL を付与できない。
コンピュータがアカウントであるという定義から、コンピュータを単位(対象)としたアクセス制御を行えない。
アクセス制御の対象(オブジェクト)
様々あるし、今後も増える可能性があるのでざっくりと列挙する。
- フォルダ
- プリンタ
- アプリケーション
- (名前付きパイプ)
コンピュータリソースを指す。
ドメインに参加したコンピュータの上で物理、論理を問わずに主体を除いた物を指してオブジェクトと定義できる。
理論上は、メモリ空間の一領域を切り出してACL を付与することも、プロセッサスレッド一つにACL を付与することも可能なはず。
実際は、その必要がないからACL を付与するユーザインターフェースがないだけ。 よく知らんが、内部上はACL を持っている可能性がある。
アクセス制御の制御情報(ACL)
主体(=誰)に対して、どういうアクセスを許可・禁止するのかを定義した情報を指す。
この情報は、必ずオブジェクトに貼付される。
まとめ
つまり、このコンピュータ群に対しては、この組織に所属するメンバだけがアクセス可能である。 といったACL は貼付できないよ!
と、言いたいだけです。
これを緩い制限で実現したい場合は、ドメインを分割した方が早く、強い制限で分断したい場合は、ネットワークレベルで分断した方がよい。
この要求に対する回答がNAP なのだろうか…? だとしたら、WindowsNTの基本設計で切り落とした部分の制限事項じゃねえかよ。
コンピュータを主体と対象で分離して、対象と見立てた方へACL を付与し、自分自身へのアクセスを禁止するACL を制限すればよいだけじゃないかな〜と思う。