Active Directoryのグループ設計での問題

ご観覧有難うございます。
表題の通り、Active Directoryのグループ設計での質問でございます。

Windows Server 2003 導入いたしまして、1OU複数グループで設計を行いたいと思っております。
クライアントPCのOSはXP Pro/2000 Pro オンリーです。

質問
１.フォルダのSecurity（アクセス権？フルコントロールやリードオンリーの事をお伝えしたいのですが・・・）でDomain Server側のSecurityとNASのSecurityが両方設定されている場合はどうなるのでしょうか。詳細を下図に記載します。
________　　　　　　　｜フルアクセス｜リードオンリ｜変更｜
－－－－－－－｜－－－－－－｜－－－－－｜－－｜
フォルダ共有______｜______ 　　　　　｜______　　　　　｜____ ｜
－－－－－－－｜－－－－－－｜－－－－－｜____ ｜
フォルダ Security ｜______ 　　　　　｜_____　　　　　｜___ ｜
－－－－－－－｜－－－－－－｜－－－－－｜____ ｜
（アンダーバーは図を調整するために使用しました無視してください。）
これでわかりますでしょうか・・・。


２．あるUserに権限の違う複数グループ所属させ、違うアクセス権を設定したNASのDirectoryに対しアクセスする際、クライアントはSecurityが強い権限が適用されアクセス出来るのでしょうか。それともSecurityが弱い権限が適用適用され、アクセス出来ないのでしょうか。XPと2000では適用され方が違う？？

私に知識がないがため、分かりにくい表現になっていると思いますが、なにとぞ宜しくお願い致します。

No.2 ベストアンサー 回答者： Toshi0230 回答日時： 2006/09/09 12:18

A1 フォルダ共有設定画面でのアクセス権設定と、ファイル（フォルダ）セキュリティ画面でのアクセス権設定のことを質問されている、という理解でよいですよね？

この場合、双方のアクセス権のAND（積集合）が取られます。
つまり、ファイルにフルアクセスを許可しても、共有設定で「読み込みのみ」になっていたら、書込はできませんし、その逆もしかりです。

A2. こちらは自信ありませんが、双方のアクセス権のOR（和集合）が取られたと記憶してます。
つまり、どこかのグループでアクセスが許可されていれば、アクセスできます。
注意点として、「拒否」の設定も同様に解釈されたはずで、どこかのグループで「拒否」を設定されている場合は他のグループで許可されていても該当するアクセスは行えなかったはずです。
（事前にご確認ください）

この回答へのお礼

Toshi0230様
ご回答有難う御座います。

＞フォルダ共有設定画面でのアクセス権設定と、ファイル（フォルダ）セキュリティ画面でのアクセス権設定のことを質問されている、という理解でよいですよね？
まったくその通りで御座います。AND（積集合）で考えられているのですね。有難う御座います！

＞双方のアクセス権のOR（和集合）が取られたと記憶してます。
OR（和集合）の考え方ですね。そうですよね。それでないとグループを数限りなく作らなければならなく柔軟な設計は難しいと思っておりました。テストケースもこの結果を裏づけできるよう考えてまいります。

本当に有難う御座いました。

お礼日時：2006/09/09 16:37

No.1 回答者： fallen_angel 回答日時： 2006/09/07 11:23

参考までに

バッファロー社製のＮＡＳは、ＡｃｔｉｖｅＤｉｒｅｃｔｏｒｙの認証を継承できます。

http://buffalo.jp/products/catalog/storage/ts-tg …

この回答へのお礼

fallen_angel様
アドバイス有難うございます。
ＮＡＳの製品を打ち込むのを忘れていました。
参考で教えて頂いた製品でした・・・。
認証が受けれるということはアクセス権の設定がActive Directoryのグループで出来るという事になると思うのですが、アクセス権の問題がまだ残っております。
もしお分かりになりましたら、ご回答下さい。
宜しくお願い致します。

お礼日時：2006/09/07 13:05