質問
このA社とB社はセグメントは分かれていないのですね(おなじLANのなかに同居しているのですね)
セグメントが分かれているならルータをかまして「A社はAサーバにしか行けない」というような事も出来ますが...
ユーザー自身が使っているPCはどうにでもできる
と言い出せば A社にあるパソコンにB社の社員のアカウントを登録すればBサーバが見れる ということになってしまいます。 それはそれで便利と思いますが...
すみません答えになっていませんが ウチでもグループの別会社が同居していますが共有フォルダのアクセス権の設定だけで管理しています。(別セグメントにある派遣社員群には本社のサーバにアクセスできないようにルータ設定をしているということもやっています。)
お疲れ様です。
要求されている事項はたしかに難しいですね。
これは、ユーザーPCで共有フォルダの設定をするという考え方でしょうか?
もし、そもそもクライアントで共有フォルダを作らなくてもよいのであれば、Windows共有サービス自体を消すという方法もあるような気がします。
(根本解決ではありませんが)
あとは、資産管理系のソフトがあれば、そこでブロックができる可能性もあります。
一番は、やはり通信系でブロックすることが早いように思います。
セグメントが一緒になるとやはり厳しいですが、セグメントが違えばF/Wでブロックはできます。
あとは、ブロックではないですが、PaloAltであれば、AD連携が可能ですので、ひょっとするとSMBの監視は可能だと思いますので、これでログをとって倫理的に押さえていくのも手かもしれません。
質問
皆様
弊社がグループ会社になっており、1つのActive Directory上にA社とB社が登録されているような使い方をしております。
「A社とB社とでフォルダ共有はしない」という運用ルールになっております。
ファイルサーバは共有フォルダのアクセス権を設定しているため、ユーザーがA社・B社間でフォルダ共有できなくなっているのですが、ユーザー自身が使っているPCはどうにでもできる状態です。(都合によりユーザー用PCのアドミニストレーター権限をユーザーに付与しています。)
どうにかできないものか、と試案して以下を考えましたが、同じようなことをしている会社様はございませんでしょうか?
======================================
Active Directoryの状態
↓
弊社グループ会社のOU
├A社のOU
└B社のOU
よろしくお願いします。