- - PR -
NT-AD間で信頼関係構築後のアクセス権について
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2004-05-17 14:04
お世話になります。
現在、社内のOA環境をActiveDirectory化するための検証を進めています。 ActiveDirectoryを導入したあとも、NTドメインとの信頼関係を構築する 必要があったため、その検証を進めたところ、次のような事例が発生しました。 NT環境はNT4.0SP6、AD環境は2003です。 NT環境も、AD環境も、ドメコン兼ファイルサーバが2台ずつという構成です。 下記ページを参照して信頼関係は双方向に信頼、認証はドメイン全体として 構築し、構築後の検証まで確認しました。 http://support.microsoft.com/default.aspx?scid=kb;ja;325874 あとは、AD側の共有フォルダごとにNT側の利用を制限する必要が あったため、フォルダのプロパティから設定をかけようとしたのですが、 AD側からNT側のドメイン名は選択できるものの、ユーザやグループが 全く検索できないのです。 私は、双方向で信頼関係さえ結べば、お互いのグループやユーザを アクセス権として使えるものと認識していたのですが・・・。 わかりにくい文章で申し訳ありません。 何かご存知のことがありましたら、お教えいただけませんでしょうか? 宜しくお願いいたします。 |
|
投稿日時: 2004-05-21 16:16
Windows2003は、触ったことがないので、違うかもしれませんが、Windows2000
だと、このような場合は以下ようにすれば解決できます。 ActiveDirectoryインストール時のウィザードの「アクセス許可」画面で 「Windows2000以前のサーバと互換性があるアクセス許可」(デフォルト)ではなく 「Windows2000サーバとのみ互換性のあるアクセス許可」を選択した場合に 起こります。 「W2Kサーバとのみ互換性〜」を選択すると、NTとADでの認証をしない?出来ない? 相互しない?ようになり、セキュリティが既定のレベルより高くなります。 この「W2Kサーバとのみ互換性〜」を選択すると、「Pre-Windows 2000 Compatible Access」 (読み取り権限を許可する互換性グループ)に[Everuone]が追加されません。 「W2K以前のサーバと互換性のある〜」を選択すると、「Pre-Windows 2000 Compatible Access」 に[Everyone]が追加されます。 基本的に、NTドメインなどW2K以前のサーバが存在する場合は「W2K以前のサーバと互換性〜」 にチェックをした方が良いです。 他のNTドメインと全く関係を持つ必要が無い場合は、「W2Kのみの互換性〜」でOKですが。 但し、これはWindows2003の話なので、グループで「Pre-Windows 2003 Compatible Access」 はあるのでしょうか? もし、あればそのグループに、[Everyone]を追加すれば解決できると思います。 2003を触ったことがないので、、回答になっているか分かりませんが。。。。 |
|
投稿日時: 2004-05-21 17:05
pre-windows 2000というと、まずNTのRASサーバーっていうのが出てきますが、信頼関係
構築にも影響する、ということですね。MSの資料では「NT4はNULL認証というのをさまざま な場面で使用する」とだけあって、具体的にどういう場合、というのがあまり書かれていない ようです。 ちなみに、2003でも、「Pre-Windows 2000 Comaptible Access」のままです。 |
|
投稿日時: 2004-05-21 17:37
そうですね、「Pre-Windows 2000 Compatible Access」だとRASの話が出てくる
事が多いですね。 ここのサイトにもこの件は紹介されています。 http://www.atmarkit.co.jp/fwin2k/operation/adprimer007/adprimer007_02.html 「W2Kサーバのみの互換性〜」を選択すると、セキュリティが高くなるというのは ADへのNULL接続の拒否(NTLMの拒否)をするという事です。 なので、NTのRASがADへ接続する為には、「W2K以前の〜」を選択する必要があります。 >ちなみに、2003でも、「Pre-Windows 2000 Comaptible Access」のままです。 あ、そうなんですね。 であれば、このグループにEveryoneを追加すれば、OKだと思います。 |
|
投稿日時: 2004-05-24 11:25
返答が遅くなってしまい申し訳ございません。
ご回答いただきありがとうございます。 ただ、ActiveDirectoryインストール時の「アクセス許可」で 「W2K以前の〜」を選択していたこともあり、 「Pre-Windows 2000 Comaptible Access」には、 「Everyone」が既に追加されておりました。 そこで、もう少し確認をしたところ、 「ForeignSeccurityPrincipals」内に収められている オブジェクトの名前が、全て「S-X-X-X」というように 表示されていました。(Xは全て数字です) 読み取り可能な名前という項目には、「Everyone」などの 名前が表示されていましたが、これはこれでよいのでしょうか? また、もうひとつ確認したことがあります。 それは、AD側のクライアントへドメイン管理者でログインすると、 そのクライアントからであれば、ファイルサーバ(兼DC)の フォルダへ、NT側のグループを追加することができました。 つまり、AD側のクライアントから設定するのであれば、 「Pre-Windows 2000 Compatible Access」のグループが 正常に機能しているようなのです。 こうなってくると、DCのセキュリティポリシーくらいしか 思いつかなくなってきているのですが、この辺りが影響して アクセス権云々という話になることはあるのでしょうか? |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。