【復活求む!】惜しくも解散してしまったバンド|J-ROCK編 >>

ドメインでの共有フォルダアクセス制限

【質問】
現在ドメイン環境の構築を行っています。
その中で共有フォルダについて以下のような機能はできないのでしょうか?

【前提環境】
環境として以下の環境があるとします。
サーバーAの共有フォルダ・・・a アクセス制限としてAdministratorのみ
サーバーBの共有フォルダ・・・b アクセス制限としてAdministratorのみ
クライアント普段はUsers権限

【やりたいこと】
サーバーAの共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスする
そうすることによってサーバーBの共有フォルダbにも認証なしでアクセスできる

【現状】
サーバーA、サーバーBにそれぞれ認証が必要となっている。
どちらか片方認証されればどちらでもアクセスできるようにしたいです。
ケルベロス認証など調査しましたが、いまいちわからなかったのでご存知の方教えてください。

【使用環境】
サーバー:WindowsServer2003
クライアント:WindowsVista

このQ&Aに関連する最新のQ&A

A 回答 (4件)

Administratorという言葉が何度か出てきますが、


どのAdministratorですかね?

サーバーAのAdministrator?
サーバーBのAdministrator?
ドメインのAdministrator?

そして全てのAdministratorが別物として扱われる、というあたりは認識されていますか?

> サーバーAの共有フォルダaにアクセス時に
> Administrator権限を持ったユーザでアクセスする
> そうすることによってサーバーBの
> 共有フォルダbにも認証なしでアクセスできる

サーバーAにサーバーAのAdministratorでアクセスする場合、
ユーザー名は「サーバーA\Administrator」。

サーバーBにサーバーBのAdministratorでアクセスする場合、
ユーザー名は「サーバーB\Administrator」。

各々のサーバーにDomainのAdministratorでアクセスする場合、
ユーザー名は「ドメイン名\Administrator」。

※「」内は他にもパターンがありますが(汗)

↑この辺がわかってくれば、どうすればやりたいことができるのか、ご理解いただけるかと。
    • good
    • 0

ドメインユーザーとローカルユーザー、ローカルコンピュータの権限とドメインの権限(≒ドメインコントローラの権限)等の認識および知識が不足しているようです。



>【やりたいこと】
>サーバーAの共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスする
>そうすることによってサーバーBの共有フォルダbにも認証なしでアクセスできる

認証なしで共有フォルダにアクセス出来るなんてことはありません。
既定では、Windowsがログオンしているユーザーの権限で自動的にアクセスをしているので使用者は意識していなだけです。
権限のない共有フォルダにアクセスすると、上記の認証が失敗するので資格情報入力のダイアログが出たりするわけです。
Active Directoryを構成してようが、ワークグループであろうがこれは変わりありません。
ドメインユーザーであればサーバーBがアクセスしたユーザーの妥当性をドメインコントローラにチェックします。
ローカルユーザーであればサーバーB自身が行います。

普段はUsers権限であると言っていますので、共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスするというのをどのように行っているか、
または、どのように行いたいかで回答が変わると思います。
また、使用しているユーザーがドメインユーザーなのか、ローカルユーザーなのかも確認したいところです。

単純に認証をシームレスに行いたいだけならば、サーバーAおよびBに対するネットワークパスワードを設定すればいいと思います。
そうでなければ、やりたいことを詳しく書く必要があると思います。
ちょっと発想を変える必要があるかもしれません。

>ケルベロス認証など調査しましたが、いまいちわからなかったのでご存知の方教えてください。

今回やりたいことにkerberos認証の知識が必要になることは無いと思います。

なお、No1の方が言っている機能は、分散ファイルシステム(DFS)と言います。
    • good
    • 0

サーバAのAdministrator,サーバBのAdministrator,ともに同じパスワードにしているのに【やりたいこと】がで

きないということですか?
    • good
    • 0

ドメインを組んでるなら、ドメインのadministratorでログインし、両方の共有フォルダにdomainのadministratorにフルアクセス権限を与えればいけそうな気がしますが。


あと、度忘れしましたが、各サーバーの共有フォルダをdomain名¥フォルダ名として割りつける機能があったとはずだと思います。それを利用すれば。。。
*すいません、なんていう機能だったか忘れました。。。会社に行けば本があるのですが。。。
.
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QWindows ドメインユーザーとローカルユーザーでのアクセス制限

社内ネットワークを構築する事が決まり、パソコンに詳しいという理由で、以下の環境でActive Directoryを構成することになりました。
サーバー:Windows Server 2012 Foundation
クライアント:Windows Vista, Windows 7 Pro, Windows 10 Pro(すべてドメイン参加可能PC)

現在、PCを利用する者にドメインユーザーを付与し、そのユーザーでログインしてもらい、ファイルサーバー(共有フォルダ)のアクセス可能を実現しています。


そこで質問です。
あるユーザーがローカルユーザーでログインし、共有フォルダにアクセス時のみドメインユーザー・パスワードを入力しアクセスしていることが分かりました。

社内のセキュリティポリシー上、ドメインユーザーでログインして利用してもらいたいので、ローカルユーザーでログインしている者には、共有フォルダのアクセスは不可としたいのですが、何か方法はございますか?

よろしくお願いします m(__)m

Aベストアンサー

#1です。

参考になりそうな話ではあるが…↓

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=22513&forum=6

あとはルールを徹底して罰則を設けるとか、そういう次元の話になってくる。そもそも、社内のPCだけじゃなく持ち込みPCまでを視野に入れてくるとずいぶん話が最初とは違うじゃないか。
この辺も詰めの甘さが目立つ。後から後からぼろぼろ条件が出てくるようでは、そもそもの設定が甘いという事。
どういうリスクがあって、それはシステムで対処するのか、それ以外で対処するのか(できるのか)、その辺の切り分けも含めて最初からやり直した方がいい。

最初の質問からは想像もできない展開なのでこれ以上は回答しません。

QIDとパスワードを求められてアクセスできない

次(1)~(10)のように設定しました。

(1)PC1(Windows 7 Ultimate)とPC2(Windows XP Professional)はWORKGROUPでLAN接続してある。

(2)PC1の「ネットワーク探索を有効にする」、「ユーザーアカウントとパスワード使用して他のコンピューターに接続する」、「パスワード保護の共有を無効にする」の3つをONにしてある。

(3)PC1のユーザーAはadministratorである。

(4)PC1のフォルダ1の「プロパティ」の「セキュリティ」タブのEveryoneはフルコントロールにしてある。

(5)PC1のフォルダ1の「プロパティ」の「セキュリティ」タブの「所有者」タブの「現在の所有者」はAである。

(6)PC1のフォルダ1は「プロパティ」の「共有」タブで「共有」にしてある。

(7)PC1のGeustアカウントはオンで、そのパスワードは空である。

(8)PC1のローカルセキュリティポリシーの「ネットワーク経由のアクセスを拒否」にはGuestは含まれていない。

(9)PC1のユーザーのうちにはBという名前のユーザーはいない。

(10)PC2のユーザーBはadministratorである。

(a)
この場合、PC2のBがPC2からPC1のフォルダ1にIDとパスワードなしでアクセスできると思うのですが、PC1のフォルダ1にアクセスしようとしてPC2のExplorerでPC1をクリックすると、IDとパスワードの入力を求める画面が出ます。なぜでしょうか。

(b)
PC1の上記(2)、(4)、(6)、(7)、(8)のどれかの設定を変えたときは、PC2を再起動しない限り、その設定変更をPC2は認識しないのでしょうか。例えば、PC1の「パスワード保護の共有を無効にする」を「パスワード保護の共有を有効にする」に変えたときは、PC2を再起動しない限り、その設定変更をPC2は認識しないのでしょうか。

次(1)~(10)のように設定しました。

(1)PC1(Windows 7 Ultimate)とPC2(Windows XP Professional)はWORKGROUPでLAN接続してある。

(2)PC1の「ネットワーク探索を有効にする」、「ユーザーアカウントとパスワード使用して他のコンピューターに接続する」、「パスワード保護の共有を無効にする」の3つをONにしてある。

(3)PC1のユーザーAはadministratorである。

(4)PC1のフォルダ1の「プロパティ」の「セキュリティ」タブのEveryoneはフルコントロールにしてある。

(5)PC1のフォルダ1の「プロパティ」の...続きを読む

Aベストアンサー

No.3の補足です。

Guestアカウントをオンにしておけば,
相手のPCからパスワードなしでネットワークにアクセスできます。(注1:参照)
したがって、質問者さんの環境ではパスワードを要求されてしまうということは、他の問題が絡んでいると思われます。
このことを考えて、パスワードを要求されない環境を作成して、実際に試してみてはどうですか、と確認しているわけです。

> 確かに、仰るように設定するとIDとパスワードの入力は求められないと思います。

「思います」ではなくて、実際に試してみてパスワード入力なしでネットワークにアクセスできた、ということを確認してはどうですか。
もしもアクセスできなければ、他の要因が存在することが分かります。
アクセスできればGuestアカウントでもアクセスできなければいけません。
どちらにしても、問題のの切り分けが進むことになります。
---
注1:お解りとは思いますが、この時点ではネットワークにアクセスできる、という段階です。
共有フォルダにアクセスできるかどうかは別の問題です。(共有フォルダの「アクセス許可」によって状況は異なります)
---
今後のチェックとしては「Guestアカウントにパスワードを設定してアクセスしてみるとどうなるか」です。
当然ですが、通常のアカウントと同様に、IDはGuest、パスワード入力を要求されます。
もしもこのようにならない場合は質問者さんの環境には何か他の原因があることが切り分けできることになります。
「Guestアカウントにパスワード設定、および解除」は添付画像参照。

No.3の補足です。

Guestアカウントをオンにしておけば,
相手のPCからパスワードなしでネットワークにアクセスできます。(注1:参照)
したがって、質問者さんの環境ではパスワードを要求されてしまうということは、他の問題が絡んでいると思われます。
このことを考えて、パスワードを要求されない環境を作成して、実際に試してみてはどうですか、と確認しているわけです。

> 確かに、仰るように設定するとIDとパスワードの入力は求められないと思います。

「思います」ではなくて、実際に試してみてパスワー...続きを読む

Qドメイン環境のフォルダ共有

社内のドメイン環境(Windows2008R2)のメンバーサーバ「サーバA」があります。

この「サーバA」に共有フォルダを作成しました。
指定したドメインユーザが同フォルダにアクセスできるよう設定したいと思います。

その手順ですが、以下で正しいでしょうか?。

・「サーバA」にローカルグループとして「グループA」を作成する。
・「グループA」にドメインユーザを含める。
・「サーバA」に共有フォルダを作成し、「グループA」に書き込み・読み取りの権限を与える

以上の設定で、ドメインユーザは「\\サーバA\共有フォルダ名」でアクセスすることが可能か、
アドバイスを頂けると助かります。

Aベストアンサー

> サーバAのローカルユーザーやグループは必要ありません。

というANo.1の見解は間違っています。
Microsoftが推奨する,Global group と DomainLocal group(Local groupでも可)の役割の違いを考慮していません。
http://okwave.jp/qa/q3114532.html の私の回答ANo.1

ただし。
ユーザ数が数十名程度の小規模なWindowsネットワークであるなら,グループを多階層化するのも面倒なわけで。
ANo.1のように,グループ化概念をGlobal groupだけに一本化して A-G-P の形でWindowsネットワークを運営している小規模事業者はごく普通に存在しています。
質問者のように A-L-P (A-DL-P) の形で運営するのも間違いではありません。


人気Q&Aランキング