- - PR -
移行したユーザが移行元ドメインで従来の権限を持つには
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2005-11-27 01:44
現在、NTドメインから2003のADドメインへの移行を検証しておりますが、独力で解決ができない問題が一つ発生しております。
大まかに状況を説明させていただきますと、 @既存のNTドメインとは別にADドメインを構築 AADMTを使用し、グループとユーザを移行(この時sIDHistoryは使用せず) B移行したADユーザが引き続きNTドメイン内のファイルサーバにアクセスする必要が あるため、ADMTの「セキュリティ変換」機能を使い、NTFSと共有アクセス権に 「追加」を実施 CNTファイルサーバのアクセス権リストには同一名、同一権限のエントリが2つ登録される (NTドメインとADドメインのユーザまたはグループアカウント) DADドメインに一般ユーザとしてログインし、NTファイルサーバにアクセスすると、 移行前と同じ権限でアクセス可能 と、ここまでは予定していた動作だったのですが、発生した問題としては、 ・NTドメインのAdministrator個人に直接権限が設定されている場合 ・DomainAdminsやDomainUsersなどビルトイングループに権限が設定されている場合 においては、ADMTではそれらのアカウントを移行することができないため、セキュリティ変換機能を使用しても、権限が追加されることはありません。つまり、ひとつの例としては ・ADドメインのAdministratorとしてログオンしても、NTファイルサーバに アクセスすると、アクセスが拒否されてしまう ・ビルトイングループにしかアクセス権が設定されていないファイルには ADドメイン側からアクセスができない といった状況が発生しています。 移行先Administratorが移行元Administratorの権限もつためには、また移行先のユーザが移行元のドメインにおいて移行前と同等の権限を持つためにはどのような方法を取れば良いのでしょうか? (もっと基本的な質問をさせて頂くと、移行先ドメインにユーザがログインし、移行元ドメインにアクセスした場合、ユーザはどのようなグループのメンバとして扱われるのでしょうか?) もしご存知の方がいらっしゃいましたら、ご教授ください。よろしくお願いいたします。 |
|
投稿日時: 2005-11-28 21:18
すみません。ひとつ質問を追記させてください。
前記環境において、ドメインコントローラ上にある共有フォルダにて移動ユーザプロファイルを格納していたのですが、移行完了後にNTドメインユーザがログオンすると、「プロファイルのセキュリティ設定が正しくないため、ローカルプロファイルを使用する」というようなエラーメッセージが表示されるようになりました。 よくよく調査をしてみると、どうやらADMTのセキュリティ変換機能を使ったことによってプロファイルの所有権が、移行元ドメインユーザから移行先ドメインユーザに自動的に書き換えられてしまったことに原因があるようです。 各ユーザでログインして所有権を元に戻して行くことでも対応ができることは確認したのですが、ユーザが1000名ほど登録されている環境のため、他に良い方法はないか思案しております。 どなたが良い知恵をお貸し願えないでしょうか?よろしくお願い致します。 |
|
投稿日時: 2005-12-05 18:37
自己解決しました(部分的にですが・・・)。
所有権の問題については、subinaclコマンドを使って、アクセス権を変更せずに所有権だけをAdministratorsに一括変更しました。NTのsubinaclは入手ができなかったので、2003にインストールし、リモートから変更を行いました。 (アクセス権の問題については、苦しいですがcaclsコマンドを使って必要に応じて追加していきたいと思います) お騒がせしました。 もし調査をしていただいている方がおられたらと思い、取り急ぎご報告します。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。