ドメインサーバへのアクセスでid(domainname\username)/pwを求められる

Windowsドメイン環境で社内ネットワークを構築してます。

ドメイン変更を行っており
以下の名前をつけて説明します。
旧ドメイン:hoge1.local
新ドメイン:hoge2.local
(dcは共にwindows2000srv,クライアントはwindows2000pro)

クライアント端末は新ドメインhoge2.localに属しています。
このクライアントのログインユーザをhoge2\user1とします。

同じユーザ名/pwをhoge1でも作っています。

旧ドメインにファイルサーバが2台あり、
それぞれsrv1.hoge1.local、srv2.hoge2.localがあるのですが、

srv1に接続する際にはid/pwは求められず接続でき、
srv2に接続する場合にはid/pwは求められ、
domainname\username(この場合、hoge2\user1)/pwを入力しないと接続できません。

希望はsrv2もsrv1同様にid/pwは求められず接続できることです。


通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。
現にsrv1にはそれで接続できているので、問題はsrv2のセキュリティ設定だと思います。

mmcを起動し、ポリシー編集の画面を見たのですが前任者がいくつか設定をしているみたいです。

どのように設定を変更すればsrv2に対し、srv1同様にid/pwを求められずに
接続できるようになるでしょうか？

*現在は、回避策として
ドライブの割り当てを利用して、別名接続をhoge2\user1/pwで行っています。
ただ、これは根本的な解決ではないので、srv2の設定方法を教えていただければと思っています。

No.3 ベストアンサー 回答者： bonnumaman 回答日時： 2007/10/11 13:56

信頼関係が存在する＝ドメイン単位でのアカウント認証で他ドメインにはそのままでは許可がおりない。

これはよいですか？それができているならドメインというものがそもそも無意味になってしまう。

それからそのパソコンはドメインに参加している、これもｏｋですね。

ＮＴ当時のことを知っているＭＣＳＥということなので、windowsドメインができたばかりの時のことを思い出してください。
（2000serverも2003serverも資格取るときにこれらはやったはずだと思いますが）

昔ＮＴ当時はアカウントに権限が無かった場合、再度Gestアカウントで再度アクセスを試みる仕組みが取れました。everyoneフルコントロールの共有にはアクセスできました。

2000サーバは手元にないのでわかりませんが、2003サーバのローカルセキュリティポリシーの中の
ネットワークアクセス：everyoneのアクセス許可を匿名ユーザーに適用する
という場所、2003では規定値は無効になっていますが、これを有効にしてみてどうか試してみてください。おそらく2000も同様のセキュリティポリシーあったと思いますが。

ただ、MCSEとのことなのでわかっていることとは思いますが、元々2000→2003とあがるにしたがってセキュリティが強化され、今までは何のチェックもされていないようながら空きのセキュリティが多少なりとも強化されている、というのが今の流れです。

今回のような内容はセキュリティの観点からはわざわざ穴を作る行為であり本筋は2003に移行するようなのでそこで整理するのでしょうが、そこできっちりと統合、管理すべき内容です。

要するに2003移行を前提とするなら今回の内容は覚えても無駄な話ということです。

No.2 回答者： bonnumaman 回答日時： 2007/10/11 02:09

その内容でいくならドメインに信頼関係というものはなくてよいし、あるはずがないですよね。

なんで信頼関係という機能があるのでしょうね。

たぶん
＞通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。

これが勘違いの元かと。今回のケースはそのクライアントはsrv1のドメインに参加してるのではないですか？ネットワークとしてはsrv1ドメインにログインしてるのではないかということ。

ドメインに所属している場合にはdomainname\usernameで判断されるのですよ。

たぶん言ってる内容はワークグループ接続の場合。ワークグループの場合は元々ドメインに参加してるわけじゃないのでドメインを含む認証にはならないです。

ドメイン参加のサーバ資源などは権限を普通そのドメインのアカウントに与える形式とるので、ワークグループは不都合。かといってドメインが２つ以上存在するのも本来は無駄。
でも信頼しないと権限与えられないのでドメインが複数ある場合には信頼関係を結ぶのです。

ワークグループはそれぞれのサーバが認証を行っていく方式。
windowsドメインはネットワーク上の通行手形を貰ってそのドメイン配下の資源にはそのユーザに応じたアクセス権限をもらえる機能。

セキュリティポリシィの前の接続形態の問題だと思いますが。

この回答への補足

補足させていただきます。

＞通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。

こちらを勘違いという指摘を受けましたが、
この件に関しては他の環境でも確認しているので
おそらく出来ると思います。

もちろん、私の勘違いかも知れませんし
私の関わってきたいくつかのネットワーク構成が全て
例外的な設定をしていた可能性もあります。

bonnumamanさんが上記と同じ構成を実際に組んだ上で
やはり2つのドメインで同一id/pwでも、他方のドメインに
アクセスする際、常にdomainname\usernameでなければアクセス
出来ない、というのであればこの質問自体、私の
勘違いですので、無視してもらって構いません。


信頼関係に関して詳しく教えていただきありがとうございます。

教えてもらう立場で僭越なのですが、
当方もNT4、2000、2003トラックでのMCSEなのでその辺りは
すこしは認識しているつもりです。

信頼関係の存在意義とかMS推奨構成という話は分かるのですが、
作業するネットワーク構成において常に作業者の権限が
優先されるわけではなく、お客様であったり現場の要望を
優先させざる終えないケースがあることは実務で構築をされている
方であれば理解していただけると思います。

＞通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証される

として、引き続きsrv2に接続できる設定がありましたら
アドバイスいただけると助かります。

補足日時：2007/10/11 02:51

No.1 回答者： Microstar 回答日時： 2007/10/11 01:35

そちらの環境を実際見ないとわかりませんが、仮定の話で回答します。

そちらの書かれている現象が出ているのは、おそらく下記の原因ではないかと思います。
　ドメインコントローラ同士の信頼関係を結んでいないのではないでしょうか？
　ドメインコントローラを結べば、両方のドメインネットワークへ行き来できるようになるのですが。

この回答への補足

ありがとうございます

説明が不十分ですみません。
信頼関係については言及しておくべきでした。

信頼関係は結んでおりません。

また、Windows2000をWindows2003SBSにアップグレード予定なので
信頼関係を結ぶ予定もありません。

どちらかというと、現象の回避のための質問ではなく
srv1と同じセキュリティ設定をsrv2でも行いたい、
今後のためにこれらのセキュリティ設定方法を正しく
理解しておきたいというのが質問の意図です。

よろしくお願いします。

補足日時：2007/10/11 01:47