Windowsドメイン環境で社内ネットワークを構築してます。
ドメイン変更を行っており
以下の名前をつけて説明します。
旧ドメイン:hoge1.local
新ドメイン:hoge2.local
(dcは共にwindows2000srv,クライアントはwindows2000pro)
クライアント端末は新ドメインhoge2.localに属しています。
このクライアントのログインユーザをhoge2\user1とします。
同じユーザ名/pwをhoge1でも作っています。
旧ドメインにファイルサーバが2台あり、
それぞれsrv1.hoge1.local、srv2.hoge2.localがあるのですが、
srv1に接続する際にはid/pwは求められず接続でき、
srv2に接続する場合にはid/pwは求められ、
domainname\username(この場合、hoge2\user1)/pwを入力しないと接続できません。
希望はsrv2もsrv1同様にid/pwは求められず接続できることです。
通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。
現にsrv1にはそれで接続できているので、問題はsrv2のセキュリティ設定だと思います。
mmcを起動し、ポリシー編集の画面を見たのですが前任者がいくつか設定をしているみたいです。
どのように設定を変更すればsrv2に対し、srv1同様にid/pwを求められずに
接続できるようになるでしょうか?
*現在は、回避策として
ドライブの割り当てを利用して、別名接続をhoge2\user1/pwで行っています。
ただ、これは根本的な解決ではないので、srv2の設定方法を教えていただければと思っています。
No.3ベストアンサー
- 回答日時:
信頼関係が存在する=ドメイン単位でのアカウント認証で他ドメインにはそのままでは許可がおりない。
これはよいですか?それができているならドメインというものがそもそも無意味になってしまう。
それからそのパソコンはドメインに参加している、これもokですね。
NT当時のことを知っているMCSEということなので、windowsドメインができたばかりの時のことを思い出してください。
(2000serverも2003serverも資格取るときにこれらはやったはずだと思いますが)
昔NT当時はアカウントに権限が無かった場合、再度Gestアカウントで再度アクセスを試みる仕組みが取れました。everyoneフルコントロールの共有にはアクセスできました。
2000サーバは手元にないのでわかりませんが、2003サーバのローカルセキュリティポリシーの中の
ネットワークアクセス:everyoneのアクセス許可を匿名ユーザーに適用する
という場所、2003では規定値は無効になっていますが、これを有効にしてみてどうか試してみてください。おそらく2000も同様のセキュリティポリシーあったと思いますが。
ただ、MCSEとのことなのでわかっていることとは思いますが、元々2000→2003とあがるにしたがってセキュリティが強化され、今までは何のチェックもされていないようながら空きのセキュリティが多少なりとも強化されている、というのが今の流れです。
今回のような内容はセキュリティの観点からはわざわざ穴を作る行為であり本筋は2003に移行するようなのでそこで整理するのでしょうが、そこできっちりと統合、管理すべき内容です。
要するに2003移行を前提とするなら今回の内容は覚えても無駄な話ということです。
No.2
- 回答日時:
その内容でいくならドメインに信頼関係というものはなくてよいし、あるはずがないですよね。
なんで信頼関係という機能があるのでしょうね。
たぶん
>通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。
これが勘違いの元かと。今回のケースはそのクライアントはsrv1のドメインに参加してるのではないですか?ネットワークとしてはsrv1ドメインにログインしてるのではないかということ。
ドメインに所属している場合にはdomainname\usernameで判断されるのですよ。
たぶん言ってる内容はワークグループ接続の場合。ワークグループの場合は元々ドメインに参加してるわけじゃないのでドメインを含む認証にはならないです。
ドメイン参加のサーバ資源などは権限を普通そのドメインのアカウントに与える形式とるので、ワークグループは不都合。かといってドメインが2つ以上存在するのも本来は無駄。
でも信頼しないと権限与えられないのでドメインが複数ある場合には信頼関係を結ぶのです。
ワークグループはそれぞれのサーバが認証を行っていく方式。
windowsドメインはネットワーク上の通行手形を貰ってそのドメイン配下の資源にはそのユーザに応じたアクセス権限をもらえる機能。
セキュリティポリシィの前の接続形態の問題だと思いますが。
この回答への補足
補足させていただきます。
>通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。
こちらを勘違いという指摘を受けましたが、
この件に関しては他の環境でも確認しているので
おそらく出来ると思います。
もちろん、私の勘違いかも知れませんし
私の関わってきたいくつかのネットワーク構成が全て
例外的な設定をしていた可能性もあります。
bonnumamanさんが上記と同じ構成を実際に組んだ上で
やはり2つのドメインで同一id/pwでも、他方のドメインに
アクセスする際、常にdomainname\usernameでなければアクセス
出来ない、というのであればこの質問自体、私の
勘違いですので、無視してもらって構いません。
信頼関係に関して詳しく教えていただきありがとうございます。
教えてもらう立場で僭越なのですが、
当方もNT4、2000、2003トラックでのMCSEなのでその辺りは
すこしは認識しているつもりです。
信頼関係の存在意義とかMS推奨構成という話は分かるのですが、
作業するネットワーク構成において常に作業者の権限が
優先されるわけではなく、お客様であったり現場の要望を
優先させざる終えないケースがあることは実務で構築をされている
方であれば理解していただけると思います。
>通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証される
として、引き続きsrv2に接続できる設定がありましたら
アドバイスいただけると助かります。
No.1
- 回答日時:
そちらの環境を実際見ないとわかりませんが、仮定の話で回答します。
そちらの書かれている現象が出ているのは、おそらく下記の原因ではないかと思います。ドメインコントローラ同士の信頼関係を結んでいないのではないでしょうか?
ドメインコントローラを結べば、両方のドメインネットワークへ行き来できるようになるのですが。
この回答への補足
ありがとうございます
説明が不十分ですみません。
信頼関係については言及しておくべきでした。
信頼関係は結んでおりません。
また、Windows2000をWindows2003SBSにアップグレード予定なので
信頼関係を結ぶ予定もありません。
どちらかというと、現象の回避のための質問ではなく
srv1と同じセキュリティ設定をsrv2でも行いたい、
今後のためにこれらのセキュリティ設定方法を正しく
理解しておきたいというのが質問の意図です。
よろしくお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ドメイン・サーバー・クラウドサービス サクラのサーバーにHPをアップロードしたいのですがffftpのホストアドレスが分かりません 2 2023/06/09 20:26
- オープンソース AWSドメイン名でApacheテスト・ページを表示させる方法を教えて下さい。 1 2023/04/26 15:59
- モバオク! PayPay銀行のログインID PWのどちらも分からず、ログイン出来ずに困っています 5 2023/04/07 18:04
- その他(セキュリティ) システムのセキュリティに詳しい方〜 飛行機のチケット使わなかったときのチケット費用補償保険/旅行キャ 1 2022/04/06 09:49
- その他(パソコン・スマホ・電化製品) switch bot hub miniの接続ができません。 4 2022/11/16 15:41
- その他(開発・運用・管理) Windowsバッチファイルでリモートデスクトップを自動ログインするが確認画面が出る対処方法 1 2022/12/19 15:48
- その他(IT・Webサービス) グーグルドメインズの解約方法 1 2022/08/14 12:52
- gooブログ ブログ開設方法 2 2022/05/15 14:28
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- その他(Microsoft Office) Office2021 Pro OEM版の認証エラー解消方法を教えてください 3 2022/12/20 17:25
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
「ドメイン」とは何ですか?
-
システムエラー 1231の内容と理...
-
Jpg4が開けない
-
ドメイン参加PCのコンピュータ...
-
あるドメインのPDC(?)を探す...
-
ドメインが違うと接続できない...
-
ファイルサーバのディレクトリ...
-
Windows2003のドメインに参加し...
-
【Windows10】自動構成IPv4 ア...
-
pcにps4のコントローラーを接続...
-
USBのMACアドレス取得方法
-
IEで自動構成スクリプトが元に戻る
-
CMOSクリアとBIOS初期化の違い
-
マザーボードNIC2枚さしについて
-
ローカルアドミンにドメインユ...
-
DNSサーバとADサーバの設置につ...
-
内部、外部DNSサーバーの役割
-
ローカルセキュリティポリシー...
-
接続がプライベートではありま...
-
マイネットワークで表示されて...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「ドメイン」とは何ですか?
-
システムエラー 1231の内容と理...
-
ドメイン参加PCのコンピュータ...
-
信用できる組織のドメインは信...
-
Jpg4が開けない
-
ワークグループからドメインに...
-
ドメインが違うと接続できない...
-
Active Directoryコネクターの...
-
pingが通りません。
-
ワークグループのメンバーで名...
-
ホスト名について
-
Dドライブの隠し共有設定について
-
社内のどのPCでも同じ環境を使...
-
hostsとlmhostsの違いは何ですか?
-
ドメインコントローラの故障?
-
SYSVOL・NETLOGONを隠したい
-
vistaのドメイン参加について
-
ファイルサーバのディレクトリ...
-
ドメインから外れる
-
Squidが突然遅くなった?
おすすめ情報