• ベストアンサー
  • 暇なときにでも

ローカルサーバのドメインへの参加について

  部署内でローカル(ワークグループ)で運用しているファイルサーバ『soumu』(Windows2000ServerSP4)があり、ローカルのアカウントを作成してフォルダを管理しています。これをセキュリティの必要上から社内の大きなドメイン『shanai』(Windows2000ServerでADを構築)に参加させようということになりました。   ローカルのアカウントは、『shanai』ドメインのアカウントと同じもので作成してパスワードも同じに設定しているためこれまでは特に意識することなく『soumu』サーバにアクセスできました。   しかし、『soumu』サーバを『shanai』ドメインに移行したところ、クライアントPC(Windows2KProSP4)からはeveryone権限が設定されているフォルダにしかアクセスができなくなりました。(それ以外のアクセス権を設定しているフォルダへは『アクセスが拒否されました』となります)   『soumu』サーバにはグループを作成して細かくアクセス権限をフォルダごとに設定していますので、同じ環境を引き継ぐことはできないでしょうか。   込み入った説明でわかりづらいと思いますが、どうかよろしく願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

 状況は推測ですが・・・  soumuサーバの細かいアクセス制限ですが、ドメインユーザーに対して適切な権限が与えられていますか?  ドメインにアクセスすればドメインの権限、ワークグループにアクセスすればワークグループの権限です。 両方同時は出来ません。

sachiyoshi
質問者

お礼

 ご回答どうもありがとうございます。  同時にはやはり無理ですか・・・。  『soumu』サーバは『shanai』ドメインに参加していなかったのでローカルの状態では『shanai』ドメインのユーザーに対してアクセス権を設定できませんでした。  なので、確かに『shanai』ドメインに参加した後ではそのドメインユーザーにアクセス権を設定できるのですが、全フォルダ(全部で500以上あります)に改めてドメインユーザーのアクセス権を付け直すとなるとたいへんな作業になってしまいます。  ローカルアカウントもドメインのアカウントもユーザーIDは同じなので(例えばローカルIDが『sachiyoshi』でドメインIDも『sachiyoshi』という意味です)、『shyanai(@shanai.com)』ドメインに移行してもローカルアカウントのアクセス権でアクセスできると思い、徐々に全フォルダを『shanai』ドメインアカウントに切り替えて行こうと考えていました。  しかし、今回everyone権限以外のフォルダにはアクセスが拒否されたため、結局元のローカル(ワークグループ)に戻して運用している状態です。(ローカルのままでは『shanai』ドメインアカウントのアクセス権を追加できませんので身動きが取れない状態です)  説明がわかりづらくすみません。  

その他の回答 (2)

回答No.3

No.2です。先の回答でちょっと言葉が足りなかった気がするので補足。 ローカルグループにドメインのアカウントを登録するのは、もちろんサーバをドメインに参加させた後の話です。 念のため。

回答No.2

アクセスできなかった原因については、No.1さんが指摘されているとおり、ドメインのアカウント対してアクセス権限がなかったためと思われます。 本当はきちんと設定をし直したほうがいいと思いますが、すぐには難しいでしょうから、ワークグループで運用していたときのグループに、ドメインのユーザアカウントを適宜追加していく、という方法でなんとかならないでしょうか? (アクセス権限の設定を、グループ単位でやっているものと仮定しての話です) これでも多少作業が入ると思いますが、フォルダ単位ですべて設定し直すよりは楽だと思います。 いかがでしょう?

sachiyoshi
質問者

お礼

ご回答どうもありがとうございます。 お礼が遅れまして申し訳ありません。  結局『soumu』サーバを『syanai』ドメインに参加させる前に『syani』ドメイン上に『soumu』サーバと同じグループを作成して、後から一気に追加する方法を取ることにしました。  ご意見、たいへん参考にさせていただきました。  どうもありがとうございます。

関連するQ&A

  • ドメインとワークグループのユーザーアカウント、パスワードの同期について

     社内にWindows2000ServerSP4でドメインを作成。配下にクライアントPC(Windows2000Pro)が100台ほどあり、社内LANを形成しています。  一方、個別の部署では、独自に古くからファイルサーバ(Windows2000ServerSP4:PC名『soumu』)があり、ドメインには参加せず、ワークグループ(ローカル)で運用しています。  この『soumu』サーバのユーザーIDはドメインのIDとは別に作成しています(といっても実際には同じIDに統一はしています)が、初期パスワードはドメインIDと同じに設定していました。  このような状況下で、初期パスワードのままであれば、ドメインIDと『soumu』サーバのIDのパスワードが同じなので問題はありませんでした。  しかし、セキュリティの関係で、ドメインIDのパスワードを2週間に一度変更することになり、『soumu』サーバーにアクセスする際ユーザー名とパスワードの入力が求められるようになりました。  一度入力して『soumu』サーバーにアクセスしてしまえば、以降ログオフ(もしくは再起動)しない限り、入力を求められることはありませんが、毎日起動たびに入力しなければならず手間がかかっています。  しかも、ドメインIDのパスワードはクライアントPCで変更ができるのに、『soumu』サーバのIDについてはいちいちユーザーにそのサーバのところまで来てもらい「コンピュータの管理」を起動してその場で変更してもらっています。  ただ、この『soumu』サーバをドメインに参加させることがどうしてもできない事情があります。   そこで、『soumu』サーバをワークグループのままで、ドメインアカウントのパスワードと同期をとる、ドメインID同様クライアントPC上で変更できるような何か良い方法はないでしょうか。 (『soumu』サーバーをドメインに参加させれば良い話なことはわかっているのですが・・・・)  長くわかりにくい説明ですが、どうかよろしくお願いいたします。

  • 共有フォルダへ特定のユーザのみアクセス権を設定したい

    ある共有フォルダのアクセスを特定のアカウントのみに許可したいと思って次のような設定をしました。しかしアクセスできません。どうすればできるかご教授お願いします。 ローカルグループ「Skanri」を新規に作成し、これにローカルアカウントを数個登録しました。この所属させたアカウントはusers権限やadministrator権限を持つものなど違いがあります。次に共有フォルダ「kanri」にSkanriアカウントグループをアクセス権として設定しました。 しかしこのSkanriに所属するアカウントからこのkanri共有フォルダがアクセスできません。 ちなみに、kanriにeveryoneフルコントロールのアクセス権を設定するとアクセスできますので、共有設定は間違いないと思います。 環境はwindows2000serverでドメインは構成しておらずメンバーサーバです。LAN上に複数のxpproクライアントがあり、そこから共有フォルダをアクセスしようとしています。 よろしくお願いします。

  • ドメイン環境のフォルダ共有

    社内のドメイン環境(Windows2008R2)のメンバーサーバ「サーバA」があります。 この「サーバA」に共有フォルダを作成しました。 指定したドメインユーザが同フォルダにアクセスできるよう設定したいと思います。 その手順ですが、以下で正しいでしょうか?。 ・「サーバA」にローカルグループとして「グループA」を作成する。 ・「グループA」にドメインユーザを含める。 ・「サーバA」に共有フォルダを作成し、「グループA」に書き込み・読み取りの権限を与える 以上の設定で、ドメインユーザは「\\サーバA\共有フォルダ名」でアクセスすることが可能か、 アドバイスを頂けると助かります。

  • ドメイン環境でローカルアカウントが作成できない

    ドメイン環境(Windows2003サーバー) PC(Windows XP) 「このコンピューター」で新しいアカウントを作成しようとしたのですがなぜかできないのです。「ドメインサーバー名¥ユーザーアカウントが存在しないため ドメインサーバー名¥ユーザーアカウントに対して標準のユーザーアクセスは許可されませんでした。」 というメッセージが出てきます。 コントロールパネルから「ユーザーアカウント」へ入ると「新規作成」が出てこないので「追加」で作成しようとしたら先ほどのメッセージが出てきます。 administrator権限をもつアカウントで処理しています。昨年同様の方法で設定できたように記憶しているのですが?

  • ドメイン参加後、ローカルにログオンできない

    ドメイン参加後、ローカルにローカルの管理者アカウントでログオンできない 会社でPCのキッティング作業をしています。 本職は事務であり難儀している上、上司の意向で他の部署(今回の質問ではサーバーを扱う部署)への質問が禁止となっています。他部署へは設定変更依頼しか出せません。内容に誤りがあっても回答や示唆はありません。 そんな状況で申し訳ないのですが、質問させていただきます。 気軽にご回答いただいて大丈夫です。 本環境のサーバーはWindows Server でバージョンなどは不明、クライアントPCはWindows 7 Professionalです。 会社で使用する複数の同機種同構成のPCを設定していますが、ドメイン参加後に、それまでの設定作業で使用していたローカルのAdministratorsグループのアカウントでローカルにログオンできなくなります。 その際の操作と表示は以下のとおりなのですが、要因がドメイン参加後やサーバー側にあるとした場合、どの設定が関与している思われますでしょうか。 --- 1)Adminsitrator権限である「KIT」というアカウントで、WORKGROUPで作業。  ソフトのインストールなどを行います 2)ドメイン参加を行う。  KITアカウントには参加させる権限は無いので、KITでログオン後に  定められたユーザーアカウントでドメイン参加のユーザー認証を行う  参加後はPCを再起動 3)ドメイン参加後にもローカルにログオンして作業を行うため、以下のようにKITアカウントでログオンを試みる ・ユーザー名 ホスト名\KIT ・パスワード KITのパスワード 4)以下のメッセージが表示されてローカルにログオンできない。 お使いのログオンの方法はこのコンピューターでは許可されていないためログオンできません。 詳細はネットワーク管理者に問い合わせください。 --- ほかの気になるところ ドメイン参加の「KIT」による作業は、サーバー管理者が作成したキッティング工程に含まれています。 ドメイン参加後、ビルドインのAdministratorは無効になり、「KIT」以外の、サーバー管理者が定めたアカウント以外は削除されるか無効になります。なので、ドメイン参加後に「KIT」でログオンできなくなると、キッティング作業者は作業ができません。 「KIT」でログオンできなくても、既存の従業員はログオンできます。(\ドメイン\従業員ID、と従業員のPW) ドメイン参加後の初回のPC再起動で必ずログオンできなくなるのではなく、数時間や一日後にログオンできなくなるPCがあります。 ドメイン参加後に行う作業は他のファイルサーバー(NAS)からのソフトウェアインストールだけで、そのソフトはローカルへのログオンに関与していないことは確認済です。 ドメイン参加後にログオンできたPCと、ドメイン参加前までの作業を行ったPCを比較してみましたが、ローカルグループポリシーに差異はなく、KITアカウントもAdministratorのままであり、Administratorsグループに有効な設定で存在していました。 レジストリは自分の技術では比較箇所の見当がつきません。 あと、キッティング作業者の伝え聞く話では、サーバー担当者が今回のPCを参加させるドメインのOUを作るの作らないの、入れるの入れないの、ドメイン参加させるPCのコンピューター名が登録済みだの済んでないだので、なんだか怒られるそうです。 OUが何か調べればわかりましたが、概要だけです。 だらだらと書かせていただきましたが、どこの設定が関与していると思われますでしょうか。

  • アクセス権限が設定できない

    AGDLPポリシーに従いActive Directoryでアクセス権限の設定を行っています。 手順4.のドメインローカルグループにアクセス許可を割り当てると、 グローバルグループのメンバに登録されたユーザーからのアクセスが拒否 されてしまうのですが、何か他に設定は必要なのでしょうか? [設定手順] 1.ユーザーアカウント(A)を作成する 2.ユーザーアカウントをグローバル(G)グループのメンバにする 3.グローバルグループをドメインローカル(DL)グループのメンバにする 4.ドメインローカルグループにアクセス許可(Permission: P)を割り当てる 4-1.共有にするフォルダのプロパティにて「共有のアクセス許可」にドメインローカルグループを追加 4-2.共有にするフォルダのプロパティにて「セキュリティ」にドメインローカルグループを追加 OS:Windows Srver 2003 R2

  • ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい

    以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。

  • windowsserver2008ファイルサーバー

    windows server 2008のフォルダのアクセス権限についての質問です ドメイン環境で、ファイルサーバーを構築しています フォルダを作成して、共有タブで共有にしeveroneをフルコントロールにします セキュリテイタブの詳細設定で、不要なユーザーを削除し、administratorsと、アクセスさせる ドメインのグループのみに権限を与えると、ドメインユーザーには、適用されますが、 ワークグループのadministratorsの権限を持つ、ユーザーからは、フォルダにフルコントロールでアクセスできてしまいます administratorsのユーザーをセキュリテイタブで、拒否の設定にすると、ワークグループのadministratorsの権限を持つ、ユーザーからはアクセスできなくなります この、設定で、いいのか、もっと良い方法があれば、教えてください よろしくお願いします

  • ドメインに入れない

    すみません、困っているので分かる方いたら教えてください。 Windowsのアカウントのプロファイル情報が壊れているのか(?) 会社のドメインユーザーでログインしてもドメインに入っていない感じです。 ローカルユーザーを削除して、作り直しましたが改善されません。 C:\Usersの下にはローカルアカウント(admini権限あり)名 のフォルダしかなく(ドメイン名付きのフォルダがない)、 ドメインユーザーでログインしても”パブリック”のフォルダを参照している ようです。(デスクトップのフォルダで確かめるとそこを参照している) ユーザーアカウントの管理では、 ローカルアカウントとドメインアカウントの 2つが存在しています。(ドメインアカウントは作成されて いなかったので自分で作成) コンピューターの管理:ローカルユーザーとグループでの ユーザーでは同じ名前のアカウントが1つだけあります。 C:\Usersの下にドメインのユーザーでフォルダが作成され 正しく参照、及びドメインに入ってくれるには どこを参照・修正すればよろしいでしょうか? (OSの再インストール以外で解決したいです。) 急いでいるので早めのご回答頂けると助かります。 以上、宜しくお願い致します。

  • ドメインに入れない

    すみません、困っているので分かる方いたら教えてください。 Windowsのアカウントのプロファイル情報が壊れているのか(?) 会社のドメインユーザーでログインしてもドメインに入っていない感じです。 ローカルユーザーを削除して、作り直しましたが改善されません。 C:\Usersの下にはローカルアカウント(admini権限あり)名 のフォルダしかなく(ドメイン名付きのフォルダがない)、 ドメインユーザーでログインしても”パブリック”のフォルダを参照している ようです。(デスクトップのフォルダで確かめるとそこを参照している) ユーザーアカウントの管理では、 ローカルアカウントとドメインアカウントの 2つが存在しています。(ドメインアカウントは作成されて いなかったので自分で作成) コンピューターの管理:ローカルユーザーとグループでの ユーザーでは同じ名前のアカウントが1つだけあります。 C:\Usersの下にドメインのユーザーでフォルダが作成され 正しく参照、及びドメインに入ってくれるには どこを参照・修正すればよろしいでしょうか? (OSの再インストール以外で解決したいです。) 急いでいるので早めのご回答頂けると助かります。 以上、宜しくお願い致します。