Active Directoryのグループ設計での問題
- Active Directoryのグループ設計に関する問題の解決方法についてお知らせください。
- Windows Server 2003で1OUに複数のグループを設計する際の注意点を教えてください。
- フォルダのセキュリティ設定やNASのセキュリティ設定が重複している場合の影響について教えてください。
- ベストアンサー
Active Directoryのグループ設計での問題
ご観覧有難うございます。 表題の通り、Active Directoryのグループ設計での質問でございます。 Windows Server 2003 導入いたしまして、1OU複数グループで設計を行いたいと思っております。 クライアントPCのOSはXP Pro/2000 Pro オンリーです。 質問 1.フォルダのSecurity(アクセス権?フルコントロールやリードオンリーの事をお伝えしたいのですが・・・)でDomain Server側のSecurityとNASのSecurityが両方設定されている場合はどうなるのでしょうか。詳細を下図に記載します。 ________ |フルアクセス|リードオンリ|変更| -------|------|-----|--| フォルダ共有______|______ |______ |____ | -------|------|-----|____ | フォルダ Security |______ |_____ |___ | -------|------|-----|____ | (アンダーバーは図を調整するために使用しました無視してください。) これでわかりますでしょうか・・・。 2.あるUserに権限の違う複数グループ所属させ、違うアクセス権を設定したNASのDirectoryに対しアクセスする際、クライアントはSecurityが強い権限が適用されアクセス出来るのでしょうか。それともSecurityが弱い権限が適用適用され、アクセス出来ないのでしょうか。XPと2000では適用され方が違う?? 私に知識がないがため、分かりにくい表現になっていると思いますが、なにとぞ宜しくお願い致します。
- nyobuo
- お礼率93% (96/103)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
A1 フォルダ共有設定画面でのアクセス権設定と、ファイル(フォルダ)セキュリティ画面でのアクセス権設定のことを質問されている、という理解でよいですよね? この場合、双方のアクセス権のAND(積集合)が取られます。 つまり、ファイルにフルアクセスを許可しても、共有設定で「読み込みのみ」になっていたら、書込はできませんし、その逆もしかりです。 A2. こちらは自信ありませんが、双方のアクセス権のOR(和集合)が取られたと記憶してます。 つまり、どこかのグループでアクセスが許可されていれば、アクセスできます。 注意点として、「拒否」の設定も同様に解釈されたはずで、どこかのグループで「拒否」を設定されている場合は他のグループで許可されていても該当するアクセスは行えなかったはずです。 (事前にご確認ください)
その他の回答 (1)
- fallen_angel
- ベストアンサー率12% (287/2339)
参考までに バッファロー社製のNASは、ActiveDirectoryの認証を継承できます。 http://buffalo.jp/products/catalog/storage/ts-tgl_r5/index.html
お礼
fallen_angel様 アドバイス有難うございます。 NASの製品を打ち込むのを忘れていました。 参考で教えて頂いた製品でした・・・。 認証が受けれるということはアクセス権の設定がActive Directoryのグループで出来るという事になると思うのですが、アクセス権の問題がまだ残っております。 もしお分かりになりましたら、ご回答下さい。 宜しくお願い致します。
関連するQ&A
- Active Directory グループ設定
windows server2000のActive Directory(混在モード)で質問があります。 実施したいことは、 フォルダのセキュリティ設定でユーザーやグループ毎に細かく設定し、 フォルダ毎にアクセスの制限をかけようと思っています。 そこでグループの中にグループを入れてセキュリティ設定をすることは可能でしょうか? グループの中にグループを入れられれば、とても設定が簡易的になるなと思いまして、 他に、アドバイスなど頂けたら、よろしくお願い致します。
- ベストアンサー
- Windows系OS
- ワークグループでのアクセス権
お世話になります。 クライアントPC:Windows7/8 ※Proではない サーバー:Windows Server2012 Standard 既存のワークグループ環境にファイルサーバーを設置する予定です。 ドメイン環境であれば、ファイルサーバー上の共有フォルダに対して ドメインユーザーやグループ単位で権限付けしますが、ワークグループ の場合はどのように権限付けするのでしょうか。 例えば、 ユーザー名:ユーザーA パスワード:password のユーザーがいた場合。 うろ覚えですが、大昔(NTとか2000サーバーの頃)はファイルサーバーの ローカルアカウントとして、ユーザーA/passwordを作成し、それを 共有フォルダのアクセス権に追加してやれば、クライアントPCにログオンした ユーザーAから共有フォルダにアクセスした際、認証画面は表示されず 普通にアクセスできた・・・という記憶があるのですが。。 なお、ファイルサーバーのOSとしてサーバーOSを検討しているのですが アクセス権限付けはクライアントOSであっても変わりないものでしょうか。 ※要するに、ファイルサーバーとはいっても単純にフォルダ共有できれば よいだけなので、別にサーバーOSでなくてもいいのかなと。 ご教示の程、宜しくお願い致します。
- ベストアンサー
- Windows系OS
- 共有フォルダに対して、あるセキュリティグループに属しているユーザが
共有フォルダに対して、あるセキュリティグループに属しているユーザが フォルダの中身(ファイルやサブフォルダ)を見せないようにしつつ、 中にあるファイルを直リンクすれば読み取り専用で開けるようにすることは可能でしょうか? 使用可能サーバ環境 windowsServer ならバージョン問わず。 クライアント windows2000 SP3,4 WindowsXP sp2,sp3 『前提条件』 セキュリティグループのアクセス権限は変更可だが、そこに属しているユーザ(複数)は固定。 『目的』 ユーザ毎に1つだけ読めるファイルがあるが、お互いどんなファイルがあるか、わからなくしたい。 ※本人のみにファイル名を教えるのはOKとします。 ちなみに書き込み権限だけを持つアクセス設定にした場合は、似たようなことが出来ましたが、 今回、ファイルは読み取り専用にしたいのです。。。 どなたか、どんなことでも構いませんのでアドバイス宜しくお願い致します。
- ベストアンサー
- Windows系OS
- windows2000serverのユーザグループが適用されません
windows2000server(SP4)をファイルサーバとして使用しております。 ファイルサーバ内の共有フォルダに部門ごとにアクセス権を設定しておりますが、一部で設定が適用されずに困っております。 クライアントPCはXP-pro&XP-homeです。 ・ActiveDirectoryを運用する。 ・管理ツールの「ActiveDirectoryのユーザとコンピュータ」を操作し、ユーザAと、ユーザグループ【経理】を作成。 ・フォルダ「経理部」にはユーザグループ【経理】の人がフルアクセス出来るように設定。 ・ユーザAの人をユーザグループ【経理】に所属させる。 上記のように設定させ、ユーザAはフォルダ「経理部」にアクセス出来るはずですね。実際、ファイルサーバの運用開始から昨年くらいまではこの設定で問題なく運用が出来ておりました。 しかし昨年のいつからか、上記設定を行ってもユーザAがフォルダ「経理部」にアクセス出来なくなってしまいました。 その為、フォルダ「経理部」のアクセス権に直接ユーザAを個別に指定して運用しております。 現在はグループ一括でアクセス権設定が出来ず、管理が非常に煩雑になっております。 きっかけは不明ですが、データが入っているHDDを交換&データ移動した履歴があります。これは影響無いでしょうか。 よろしくお願い致します。
- 締切済み
- Windows系OS
- サーバー上の共有フォルダについて
サーバー上の共有フォルダについて質問させてください。 「group1」というグループがあり、「\\サーバー\aaa\bbb\」という サーバー上の共有フォルダがあります。 group1はaaaのフォルダのアクセス権限を持っていません。 しかしこのgroup1はbbbのフォルダのフルアクセス権を 与えたいと思っています。 そのためbbbというフォルダのプロパティを開き、 「共有フォルダ」と「セキュリティ」のタブを開き、 「Administratorのアクセス許可」でgroup1を追加し、 フルアクセス権を与えたのですが、そのフォルダ内を 観ることは出来ても更新することが出来ません。 (新規ファイルなどを作成できません) bbbというフォルダのみアクセス権限を与えたいと思っているのですが aaaという上層のフォルダの更新権限を持っていないとbbbという 下層のフォルダの更新権限というのは持てないのでしょうか? bbbというフォルダのみ更新権限を与えられる方法を 教えていただきたいです。 なお、サーバーはWindows2003サーバー、クライアントはWinXpProです。 よろしくお願いいたします。
- 締切済み
- ネットワーク
- Active Directory環境で共有に接続できない
Windows 2000 ServerでActive Directory環境を構築しております。サーバーは1台です。 クライアントはWindows 98が40台、Windows 2000 Professionalが5台あります。前者はドメインに参加させ、後者はワークグループ環境よりドメインコントローラの共有を利用しております。 当初誤ってCALを40で設定していたのですが、45に変更いたしました。 構築後、共有フォルダにアクセスできないという現象が起きております。 今のところWindows 98クライアントでこの現象が起きているので、WINSサーバーを導入していないせいではないか、と考えているのですが、ほかに考えられる理由はあるでしょうか。 というのは、上司から明確にそれが理由と考えられない場合、新しいサーバー機能を導入するな、と言われておりまして・・。
- ベストアンサー
- Windows NT・2000
- Active Directory のログについて
Active Directory のログについて Windows Server 2008 環境にてADを構築中です。 所持している参考書に記載がなかった為、質問させて下さい。 クライアントが実施した以下のアクションをサーバ上でログとして記録する事は可能ですか? (1) ADへのログオン/ログアウト (2) ファイルサーバ上の共有フォルダ内にファイルやフォルダを作成、または削除 どのクライアントがどういう操作をしたかログに記録をとりたいです。
- ベストアンサー
- ハードウェア・サーバー
- ActiveDirectory グループポリシー
クライアントへActiveDirectoryとは別のサーバ上にあるフォルダをショートカットとしてデスクトップへ配布したいと考えております。 設定内容は画像の通りです。 グループポリシーを設定後にクライアントを再起動しましたが適用されておりませんでした。 クライアントからフルパスを指定するとアクセスは可能です。 何かわかる方がいらっしゃればご教授頂けますと幸いです。
- 締切済み
- その他(ITシステム運用・管理)
- アクセス権が反映されない
お世話になります。 ファイルサーバー:WindowsServer2012 クライアント:Windows7Pro ※ドメイン環境 今回、ファイルサーバー上の共有フォルダのアクセス権を変更し、以下のようにしました。 グループ1 変更 ⇒ 読取 グループ2 変更 ⇒ 読取 グループ3 変更 ⇒ 変更(権限の変更無し) グループ1にはユーザーAが含まれております。 クライアントPCにユーザーAがログオンし、共有フォルダへアクセスしました。 そこで、新規にファイルが作れてしまいました。 今回、ユーザーAの所属するグループ1は「読取」に変更したため、当該フォルダ内に新規にファイルを作成できないという認識なのですが。。当該フォルダにて右クリック⇒プロパティ⇒セキュリティを見てみると、上記の権限にはなっております。 クライアントPCにてログオンし直してみたり、PC再起動してみるも状況変わらずです。 ※本来ならファイルサーバーも再起動したいところですが、多数のユーザーがアクセスしているためすぐに出来ない状況です。 どのようなことが考えられますでしょうか。 反映されるまで時間がかかるのでしょうか(権限変更して既に4時間は経過してます。。) なお、当該フォルダに対してはグループ1~3及びファイルサーバーのローカルAdminしか設定されておりません(ユーザーAを個別に権限を与えている訳ではありません)。 ご教授の程、宜しくお願い致します。
- 締切済み
- Windows系OS
- Windows2000サーバの共有フォルダのセキュリティについて
学校でWindows2000サーバ、クライアントはXPプロです。 ドメインをたてて、共有フォルダを設定してます。 アクセス権は共有アクセスはフルアクセス、NTFSアクセスで設定してます。 使用するソフトがローカルのアドミ権限が必要なので、サーバでのユーザ管理でDomainAdmin権限を与えてます。(これでローカルのアドミ権限が得られます。) 問題は学生がマイネットワークから他人のフォルダを右クリックしてセキュリティタブでアクセス権の設定を変更して見えるように出来てしまったことです。共有アクセスで設定すれば、セキュリティタブは出ないということは分かっているのですが、学生数が多く1つ1つ設定するのは手間がかかりすぎます。(NTFSセキュリティは一括で変更できるツールは多く出てますので)何かよい解決策はありませんか。共有名に$をつけて隠しても推測されてしまってだめです。 ローカルにアドミ権限をつける別の方法、または共有フォルダの一括設定方法があればよいのですが。 長くなりましたがよろしくお願いします。
- 締切済み
- Windows系OS
お礼
Toshi0230様 ご回答有難う御座います。 >フォルダ共有設定画面でのアクセス権設定と、ファイル(フォルダ)セキュリティ画面でのアクセス権設定のことを質問されている、という理解でよいですよね? まったくその通りで御座います。AND(積集合)で考えられているのですね。有難う御座います! >双方のアクセス権のOR(和集合)が取られたと記憶してます。 OR(和集合)の考え方ですね。そうですよね。それでないとグループを数限りなく作らなければならなく柔軟な設計は難しいと思っておりました。テストケースもこの結果を裏づけできるよう考えてまいります。 本当に有難う御座いました。