• ベストアンサー

ActiveDirectoryについて

IISの仮想ディレクトリでディレクトリを参照できるように設定したフォルダに対して、ActiveDirectoryのドメインコントローラからアクセス権の設定を行うことは可能でしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • peamame
  • ベストアンサー率76% (10/13)
回答No.2

>もしかするとIISで仮想ディレクトリを作成した場合、IISのアクセス権が優先されて、ドメインコントローラのアクセス権が否定されるのではないかと思ったからです。 Webクライアントから見たアクセス権は、IISとACLのどちらかが優先ということではなくて、両方がアクセス可能になっていないと、HTTP401エラーが出て、ページを表示することができません。 ACLは、仮想ディレクトリのターゲットフォルダに対するアクセスを設定するもので、ADのドメインユーザであれ、IISマシンのローカルユーザ(匿名アクセスや統合Windows認証によるアクセス)であれ、許可もしくは拒否できます。 実際の運用方法としては、そのWebページを誰にでも見られるようにする場合と、特定のユーザに限る場合とで、これらのアクセス権の組み合わせが変わってきます。 たとえば、トップページは誰でもアクセス可能にするなら、匿名アクセスをIISのルートディレクトリで許可し、ターゲットフォルダのACLにローカルのインターネットゲストアカウント(IUSR_サーバ名)を追加し、読み取りと実行まで許可。 次に、その下の仮想ディレクトリにはドメインユーザだけが見れるようにということで、IISでは統合Windows認証を有効にし、ターゲットフォルダのACLにはドメインのユーザやグループを追加して、読み取りと実行以上を許可。 こんな感じですが、うまく伝わりましたでしょうか?

hikson
質問者

お礼

良く理解しました。ありがとうございます。

その他の回答 (1)

  • peamame
  • ベストアンサー率76% (10/13)
回答No.1

IISのマシンは、ドメインコントローラ以外のマシンですか? IISのマシン上で、仮想ディレクトリの指す実際のディレクトリに対して、ドメインのアクセス権を与えればすみますが、それが出来ないということでしょうか。 であれば、ドメインコントローラから管理共有(\\サーバ名\C$など)でIISのマシンにアクセスし、ターゲットのフォルダに対してアクセス権の設定をすることは出来ると思います。この場合、IISマシンのローカルの管理者権限が必要ですが。

hikson
質問者

補足

ご回答ありがとうございます。 >IISのマシンは、ドメインコントローラ以外のマシンですか? IISのマシンはドメインコントローラ以外のマシンです。 >仮想ディレクトリの指す実際のディレクトリに対して、ドメインのアクセス権を与えればすみますが、それが出来ないということでしょうか。 まだ、検証してないのですが、検証する前に裏付けを取っておきたいと思いました。もしかするとIISで仮想ディレクトリを作成した場合、IISのアクセス権が優先されて、ドメインコントローラのアクセス権が否定されるのではないかと思ったからです。

関連するQ&A

専門家に質問してみよう