- ベストアンサー
ActiveDirectoryについて
IISの仮想ディレクトリでディレクトリを参照できるように設定したフォルダに対して、ActiveDirectoryのドメインコントローラからアクセス権の設定を行うことは可能でしょうか?
- hikson
- お礼率41% (139/338)
- ハードウェア・サーバー
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>もしかするとIISで仮想ディレクトリを作成した場合、IISのアクセス権が優先されて、ドメインコントローラのアクセス権が否定されるのではないかと思ったからです。 Webクライアントから見たアクセス権は、IISとACLのどちらかが優先ということではなくて、両方がアクセス可能になっていないと、HTTP401エラーが出て、ページを表示することができません。 ACLは、仮想ディレクトリのターゲットフォルダに対するアクセスを設定するもので、ADのドメインユーザであれ、IISマシンのローカルユーザ(匿名アクセスや統合Windows認証によるアクセス)であれ、許可もしくは拒否できます。 実際の運用方法としては、そのWebページを誰にでも見られるようにする場合と、特定のユーザに限る場合とで、これらのアクセス権の組み合わせが変わってきます。 たとえば、トップページは誰でもアクセス可能にするなら、匿名アクセスをIISのルートディレクトリで許可し、ターゲットフォルダのACLにローカルのインターネットゲストアカウント(IUSR_サーバ名)を追加し、読み取りと実行まで許可。 次に、その下の仮想ディレクトリにはドメインユーザだけが見れるようにということで、IISでは統合Windows認証を有効にし、ターゲットフォルダのACLにはドメインのユーザやグループを追加して、読み取りと実行以上を許可。 こんな感じですが、うまく伝わりましたでしょうか?
その他の回答 (1)
- peamame
- ベストアンサー率76% (10/13)
IISのマシンは、ドメインコントローラ以外のマシンですか? IISのマシン上で、仮想ディレクトリの指す実際のディレクトリに対して、ドメインのアクセス権を与えればすみますが、それが出来ないということでしょうか。 であれば、ドメインコントローラから管理共有(\\サーバ名\C$など)でIISのマシンにアクセスし、ターゲットのフォルダに対してアクセス権の設定をすることは出来ると思います。この場合、IISマシンのローカルの管理者権限が必要ですが。
補足
ご回答ありがとうございます。 >IISのマシンは、ドメインコントローラ以外のマシンですか? IISのマシンはドメインコントローラ以外のマシンです。 >仮想ディレクトリの指す実際のディレクトリに対して、ドメインのアクセス権を与えればすみますが、それが出来ないということでしょうか。 まだ、検証してないのですが、検証する前に裏付けを取っておきたいと思いました。もしかするとIISで仮想ディレクトリを作成した場合、IISのアクセス権が優先されて、ドメインコントローラのアクセス権が否定されるのではないかと思ったからです。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
良く理解しました。ありがとうございます。