• ベストアンサー
  • すぐに回答を!

ドメインでの共有フォルダアクセス制限

ドメインでの共有フォルダアクセス制限 【質問】 現在ドメイン環境の構築を行っています。 その中で共有フォルダについて以下のような機能はできないのでしょうか? 【前提環境】 環境として以下の環境があるとします。 サーバーAの共有フォルダ・・・a アクセス制限としてAdministratorのみ サーバーBの共有フォルダ・・・b アクセス制限としてAdministratorのみ クライアント普段はUsers権限 【やりたいこと】 サーバーAの共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスする そうすることによってサーバーBの共有フォルダbにも認証なしでアクセスできる 【現状】 サーバーA、サーバーBにそれぞれ認証が必要となっている。 どちらか片方認証されればどちらでもアクセスできるようにしたいです。 ケルベロス認証など調査しましたが、いまいちわからなかったのでご存知の方教えてください。 【使用環境】 サーバー:WindowsServer2003 クライアント:WindowsVista

共感・応援の気持ちを伝えよう!

  • 回答数4
  • 閲覧数1350
  • ありがとう数0

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.4

Administratorという言葉が何度か出てきますが、 どのAdministratorですかね? サーバーAのAdministrator? サーバーBのAdministrator? ドメインのAdministrator? そして全てのAdministratorが別物として扱われる、というあたりは認識されていますか? > サーバーAの共有フォルダaにアクセス時に > Administrator権限を持ったユーザでアクセスする > そうすることによってサーバーBの > 共有フォルダbにも認証なしでアクセスできる サーバーAにサーバーAのAdministratorでアクセスする場合、 ユーザー名は「サーバーA\Administrator」。 サーバーBにサーバーBのAdministratorでアクセスする場合、 ユーザー名は「サーバーB\Administrator」。 各々のサーバーにDomainのAdministratorでアクセスする場合、 ユーザー名は「ドメイン名\Administrator」。 ※「」内は他にもパターンがありますが(汗) ↑この辺がわかってくれば、どうすればやりたいことができるのか、ご理解いただけるかと。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • ドメインにログオンしないPCから共有フォルダへアクセス

    以下の構成で共有フォルダへアクセスをしたいのですが、 クライアント Win2000 Pro サーバ Win2003 Server どちらもコンピュータとしてはドメインに登録されてますが、 通常はローカルのadministratorで使用します。 サーバ側で作成した共有フォルダには、「セキュリティ」タブでの設定で、 コンピュータオブジェクトとしてクライアントのコンピュータを追加し、 フルコントロールを与えてます。 追加時には「名前の確認」で確認できることも確認できてます。 また、「共有」タブの「アクセス許可」ではEveryoneにフルアクセスを与えてます。 エクスプローラ上で「\\サーバのホスト名」や「\\サーバのホスト名\共有名」 などを入力し、クライアントからアクセスを試みてもユーザ名とパスワードを問う ウインドウが出てしまいアクセスができません。 アクセスに失敗した際のサーバ上のイベントビューアでは、 セキュリティログに成功の監査として、ログオン/ログオフのログが残っています。 その時のアクセスユーザは共有で追加したコンピュータ名となっています。 これらのログを見ると問題ないようなのですが。。 クライアントにドメインユーザでログオンした場合は、問題なくアクセスできます。 何か他にチェックすべき項目等ありませんでしょうか?

  • 共有フォルダの中身が見えるのに書けない!

    お世話になります。 環境は以下の通りです。 ・サーバ:SV1(Win2003:SV1ドメイン) ・クライアント1:CL1(WinXP:SV1ドメイン参加) ・クライアント2:CL2(WinXP:SV1ドメイン参加) 各マシンは共通のドメインに参加しています。 クライアント1に共有フォルダを作成し、『共有』アクセス権は以下の通りです。 ・Everyone=フルコントロール 上記共有フォルダはクライアント1のドライブルートの直下で、 ドライブには以下の『セキュリティ』アクセス権を設定しています。 ・Administrators (CL1\Administrators)=フルコントロール ・Domain Users (SV1\Domain Users)=フルコントロール ・Everyone=フルコントロール ・SYSTEM=フルコントロール ・User1 (SV1\User1)=フルコントロール ・Users (CL1\Users)=フルコントロール 上記ドライブは、以下が所有権となっています。 ・Administrator (CL1\Administrator) 対象の共有フォルダは上記を全て継承しています。 従って所有者もセキュリティも全て上記と同じです。 ちなみに、簡易ファイルの共有は使用していません。 つまり誰でも読み書きできる環境のはずなのですが、クライアント2へ 『SV1\User1』でログインし、対象のクライアント1の共有フォルダへ アクセスすると、ファイルは全て見える&実行できるのですが、書けません。 新しいフォルダを作ることすら出来ません・・・ つまり『読み書き権』ではなく『読み取り権』しかないようです。 本来やりたかった設定は、SV1\CL1のアクセスしか許可しないというものですが 何故か出来ないため、全てをフルコントロールに変えているだけです。 どこの何の設定が悪いのか、ご教授願えれば幸いです。

  • 共有フォルダへ特定のユーザのみアクセス権を設定したい

    ある共有フォルダのアクセスを特定のアカウントのみに許可したいと思って次のような設定をしました。しかしアクセスできません。どうすればできるかご教授お願いします。 ローカルグループ「Skanri」を新規に作成し、これにローカルアカウントを数個登録しました。この所属させたアカウントはusers権限やadministrator権限を持つものなど違いがあります。次に共有フォルダ「kanri」にSkanriアカウントグループをアクセス権として設定しました。 しかしこのSkanriに所属するアカウントからこのkanri共有フォルダがアクセスできません。 ちなみに、kanriにeveryoneフルコントロールのアクセス権を設定するとアクセスできますので、共有設定は間違いないと思います。 環境はwindows2000serverでドメインは構成しておらずメンバーサーバです。LAN上に複数のxpproクライアントがあり、そこから共有フォルダをアクセスしようとしています。 よろしくお願いします。

その他の回答 (3)

  • 回答No.3
  • maesen
  • ベストアンサー率81% (646/790)

ドメインユーザーとローカルユーザー、ローカルコンピュータの権限とドメインの権限(≒ドメインコントローラの権限)等の認識および知識が不足しているようです。 >【やりたいこと】 >サーバーAの共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスする >そうすることによってサーバーBの共有フォルダbにも認証なしでアクセスできる 認証なしで共有フォルダにアクセス出来るなんてことはありません。 既定では、Windowsがログオンしているユーザーの権限で自動的にアクセスをしているので使用者は意識していなだけです。 権限のない共有フォルダにアクセスすると、上記の認証が失敗するので資格情報入力のダイアログが出たりするわけです。 Active Directoryを構成してようが、ワークグループであろうがこれは変わりありません。 ドメインユーザーであればサーバーBがアクセスしたユーザーの妥当性をドメインコントローラにチェックします。 ローカルユーザーであればサーバーB自身が行います。 普段はUsers権限であると言っていますので、共有フォルダaにアクセス時にAdministrator権限を持ったユーザでアクセスするというのをどのように行っているか、 または、どのように行いたいかで回答が変わると思います。 また、使用しているユーザーがドメインユーザーなのか、ローカルユーザーなのかも確認したいところです。 単純に認証をシームレスに行いたいだけならば、サーバーAおよびBに対するネットワークパスワードを設定すればいいと思います。 そうでなければ、やりたいことを詳しく書く必要があると思います。 ちょっと発想を変える必要があるかもしれません。 >ケルベロス認証など調査しましたが、いまいちわからなかったのでご存知の方教えてください。 今回やりたいことにkerberos認証の知識が必要になることは無いと思います。 なお、No1の方が言っている機能は、分散ファイルシステム(DFS)と言います。

共感・感謝の気持ちを伝えよう!

  • 回答No.2
  • jjon-com
  • ベストアンサー率61% (1597/2589)

サーバAのAdministrator,サーバBのAdministrator,ともに同じパスワードにしているのに【やりたいこと】ができないということですか?

共感・感謝の気持ちを伝えよう!

  • 回答No.1

ドメインを組んでるなら、ドメインのadministratorでログインし、両方の共有フォルダにdomainのadministratorにフルアクセス権限を与えればいけそうな気がしますが。。 あと、度忘れしましたが、各サーバーの共有フォルダをdomain名¥フォルダ名として割りつける機能があったとはずだと思います。それを利用すれば。。。 *すいません、なんていう機能だったか忘れました。。。会社に行けば本があるのですが。。。 .

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • サーバー共有フォルダへのアクセスについて

    お世話になります。現在、以下の環境で共有フォルダを利用しています。 サーバー:Windows2003standard edition クライアント:Windows XP Home edition サーバに共有フォルダを作成し、クライアントより使用。 問題: 数台のクライアントPCのうち一台が共有フォルダへアクセスできない。 現状: サーバーへのユーザ設定、フォルダ共有設定へのユーザ追加は他の正常にアクセスできるクライアントマシンと同様です。 唯一違う点はアクセスできないクライアントはServicePack1です。 (アクセスできるクライアントはServicePack2) 同じような問題を抱え解決した方、または具体的にアドバイスできる方からの回答をお待ちしております。

  • XP Proでドメインに参加させると共有フォルダにアクセスできない。

    へたぞーといいます。よろしくお願い致します。 サーバーがWin2000or2003でクライアントがXP Proなの ですが、ワークグループの時は問題なくサーバーの 共有フォルダにアクセスできるのですが、ドメインに 参加すると出来なくなりました。時々アクセスできる 時もあるのですが、アクセスするのに非常に時間が かかります。またPCにログインする時やシャットダウン するときもとても時間がかかるようになってしまい ました。クライアントのOSがWin2000の時は問題 なかったのですが。どなたか分かる方がいましたら 対策を教えてもらえますでしょうか? よろしくお願い致します。

  • ActiveDirectryの共有フォルダのアクセス権について

    勉強しながらアクティブデレクトリー運用をしております。共有フォルダのアクセス権に関してお教えください。  今回ローカルPCでログオンする時ドメインでなくローカルPCにログオンしたのですが、それでもアクティブデレクトリーの共有フォルダにアクセス出来たのです。私はドメイン参加したユーザーだけが共有フォルダにアクセス出来るものと思っていたのでどういうことなのかわからず困っております。たとえばアクティブデレクトリーの共有権限はユーザー名もしくはPC名で管理されていてアクセスできるものなのかそれとも私の設定が間違っているのかお教えください。  共有権限については、管理ツールで各ドメインユーザーを作成し、同じユーザーの所で、種類が「セキュリティーグループ-グローバル」の「総務」を作成しそこにメンバーとして各ユーザーを登録しています。そして共有フォルダのアクセス権のところで、総務を登録する形をとっております。ドメインユーザーの権限については、業務ソフトがAdmin権限でないと動作しないため、Administrator権限を与えております。

  • 共有フォルダへアクセス時にエラー

    お世話になります。 <環境>  ・ドメイン  ・クライアントA(XP Pro)   クライアントB(XP Pro)   クライアントC(Win7 Pro) ドメイン内にあるクライアントAに共有フォルダを作成し、アクセス権を設定しました。 作成当初はクライアントBより問題なく共有フォルダへアクセスでき、フォルダの内容も参照できておりましたが、急にエラーが出るようになりました。 『\\クライアントAにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせて下さい。 ログオンエラー:対象のアカウント名が間違ってます。』 という内容です。 で、しばらくすると何も設定変えておりませんが、またアクセスできるようになったり出来なくなったり・・・って感じです。 ちなみに、クライアントBよりクライアントAのIPアドレスでPC検索すると、問題なくアクセス出来るので名前解決の問題で当該事象が発生しているかと思われます。 クライアントBよりPing クライアントA とすると、本来設定しているIPアドレスとは違うIPアドレス(クライアントCのアドレス)が返ってきます。 各クライアントはDNSサーバー及びWINSサーバーを設定しておりますので、ホスト名とIPアドレスが誤って登録されている為、上記事象が発生しているのかと思われます。 ※クライアントBにてipconfig /displaydnsでみてみるとクライアントBのIPアドレスがクライアントCのアドレスと同じものが表示されます。ipconfig /flushdnsにてキャッシュクリアしてみましたが、状況変わらず。また、クライアントAをいったんドメインからWORKGROUPにし、その後、ADツールよりクライアントAを削除後、再度クライアントAをドメインに戻してみましたが、これも状況変わらず。 どのようにすれば、ホスト名でアクセスできるようになるのでしょうか(=DNSに誤って登録されている紐付けを本来の紐付けにしたい)。 恐らくhostsやlmhostsに明示的に記載しておけばよいのでしょうが、それ以外のやり方をご教授頂けたらと思います。 宜しくお願い致します。

  • TigerのみAD環境の共有フォルダにアクセス不可

    TigerのみActiveDirectory環境で共有フォルダにアクセスできない状況です。 原因及び対処方法がわからず、困っております。 ご教示頂けますようお願い致します。 【事象の状況】 1.Lion、Snow Leopard、Leopard、TigerでWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。(環境はワークグループ環境) 2.Lion、Snow Leopard、LeopardからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスは問題なくできる。 ただし、TigerからはWindowsServer2003R2及びWindowsServer2008R2の共有フォルダにアクセスできない。(環境はActiveDirectory環境) 共有フォルダはActiveDirectoryサーバーに作成してあり、アクセス権の設定は問題ない。Lion、Snow Leopard、Leopardでは同じユーザーアカウントを使用して 共有フォルダにアクセスできているため。 3.ActiveDirectoryサーバーにTigerのコンピュータアカウントは追加できるが、コンピュータアカウント作成で使用したアカウントを使用してもアクセスできず。 4."Finder"より"サーバー接続"を選択して、サーバーアドレスにsmb://ActiveDirectoryサーバーのIPアドレスを入力すると"SMB/CIFSファイルシステムの認証"が表示され、ユーザアカウントを入力すると"名前またはパスワードが正しくないため、サーバに接続できませんでした。"が表示される。サーバーアドレスにsmb://ActiveDirectoryサーバーのコンピュータ名を入力しても状況には変わりがない。  

  • 共有フォルダにアクセスできない

    以下環境を作成しております。 <環境> [testドメイン] Windows2008Server(AD)←WindowsXP(クライアント、ドメイン参加) [ワークグループ環境] Windows7 Ultimate 64bit 以上3台が同じルーター(NEC)に繋がっております。 今回、「XPをドメインからぬきました。」 その後、XP端末をワークグループでログインし、7の共有フォルダ(=\\192.168.11.200)にアクセスしにいくと 「\\192.168.11.200にアクセスできません。このネットワークリソースを使用するアクセス強化がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。指定されたサーバーは、要求された操作を実行できません。」 とエラーが出るのです。 [わかっていること] 1.XPを再びドメインに参加させて、\\192.168.11.200 を実行するとなぜか、ユーザー/パスワード入力ダイアログが出てきて、正しい情報を入れると共有フォルダが見える。 2.Windows7(=192.168.11.200)に、別のVista端末(ドメイン未参加)から、\\192.168.11.200 を実行すると、これも7の共有フォルダが表示される。 3.別のXP端末を用意(ドメイン未参加)し、7端末(\\192.168.11.200)にアクセスしに行こうとすると、これも同じエラーが表示される。 4.XP端末は、ドメイン参加前は、普通に\\192.168.11.200 と実行すれば、7の共有フォルダを見ることが出来た。 ドメインに加入した端末から、ワークグループの7端末にアクセスすることで、 ワークグループの7の設定が変わったりするのでしょうか? 上のわかった点から考えるとそれしか思いつかないのですが・・・。 どなたか、 「XPをワークグループに降格させた状態で、7の共有フォルダを見る方法」 または、「なぜこうなっているのかの原因を知っている方」がおられましたら ご教授のほうよろしくお願いします。

  • 共有フォルダへのアクセスが遅い

    社内でサーバーを立てて小規模なネットワークを構成しています。 サーバーの共有フォルダにクライアントからアクセスするのですが、クライアントPCを起動直後はサクサクアクセスできます。しかし ちょっと時間がたつとアクセスするとフリーズしたみたいに動かずに 1~2分たってアクセスできるようになります。 しかもフォルダ階層を降りる度にフリーズがあり、だんだんフリーズ時間が長くなります。 同様の現象を知ってる方解決策を教えてください。

  • caclsでドメインのadministratorを追加するには

    クライアントPCからcaclsを使用してサーバー上のフォルダに、ドメインのadministratorを追加したいのでが、下記のように実行するとクライアントPCのadministratorが追加されているようでうまくいきません。 何か良い方法はありませんか? cacls \\サーバー名\共有フォルダ名 /T /C /G "administrator":F

  • ワークグループでのアクセス権

    お世話になります。 クライアントPC:Windows7/8 ※Proではない サーバー:Windows Server2012 Standard 既存のワークグループ環境にファイルサーバーを設置する予定です。 ドメイン環境であれば、ファイルサーバー上の共有フォルダに対して ドメインユーザーやグループ単位で権限付けしますが、ワークグループ の場合はどのように権限付けするのでしょうか。 例えば、  ユーザー名:ユーザーA  パスワード:password のユーザーがいた場合。 うろ覚えですが、大昔(NTとか2000サーバーの頃)はファイルサーバーの ローカルアカウントとして、ユーザーA/passwordを作成し、それを 共有フォルダのアクセス権に追加してやれば、クライアントPCにログオンした ユーザーAから共有フォルダにアクセスした際、認証画面は表示されず 普通にアクセスできた・・・という記憶があるのですが。。 なお、ファイルサーバーのOSとしてサーバーOSを検討しているのですが アクセス権限付けはクライアントOSであっても変わりないものでしょうか。 ※要するに、ファイルサーバーとはいっても単純にフォルダ共有できれば  よいだけなので、別にサーバーOSでなくてもいいのかなと。 ご教示の程、宜しくお願い致します。

  • 共有フォルダにアクセスできないため移動プロファイルが使えません

    サーバ WindowsServer2003R2 クライアント WindowsXP ActiveDirectoryを構築し移動プロファイルを設定したユーザでログオンしようとした所、 『移動プロファイルが読み込まれなかったため、ローカル プロファイルでログオンしようとしています~』 とのエラーが出てしまい、移動プロファイルが使用できません。 調べてみると、サーバー側に設定した移動プロファイル用の共有フォルダ『profile』に\\サーバ名¥profile\ならばアクセスできるのですが、 \\ドメイン名\profile\とするとアクセス拒否されます。共有アクセス、ファイルアクセス全てEveryoneフルコントロールになっているのですが、ダメです。 その他、データ保存用に作った共有フォルダも同様にアクセスできません。 グループポリシーは読み込まれているようなので確認してみたら、『SYSVOL』『NETLOGON』フォルダにはドメイン名、サーバ名ともにアクセスできています。 共有フォルダの設定として何が足りていないのでしょうか?