- PR -

ADのユーザーID/PASSのみを別グループで使いたい

1
投稿者投稿内容
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-08-03 09:03
新しくwin2003サーバーをたててIISを動かしwindows認証でアクセス制限をかけたい。
その時”DOM−A”のユーザーID/passwordを使いたいがグループは”DOM−A”とは完全に別のグループを使用したい。

メインのドメイン”DOM−A”は ネットワーク認証に使用している為ユーザーをOUの中の複数のグループに登録できない。

*おそらく新しいサーバーを別ドメイン ”DOM−B”として立てて片方向の信頼関係を持てば出来そうなのですがセットアップ手順が判りません

新サーバーは現在workgroupで立てております。


1.DOM−AのDNSへの新サーバーの登録方法
2.DOM−AのADへの信頼の設定手順
3.必要なら新サーバーのADへの移行手順
4.新サーバーとADの信頼関係の設定手順
5.その他注意事項


宜しくご教授願います。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-08-03 09:44
質問内で使ってる用語がずれてたり、5W1Hが肝心なところで抜けてるので、
やりたいことが理解できんです・・・

というわけで確認。
・DOM-AというActiveDirectoryのドメインが存在する
・社内のクライアントはDOM-Aに参加し、社内のユーザはDOM-Aにログオンしている
・新しいサーバ(ServerA)をWindowsServer2003で構築した
・ServerAではIISを構築して、認証機能を設けたい
・その認証で使うユーザとしてはDOM-Aのユーザ認証情報と同じものを使いたい

上記だけなら、
・ServerAをDOM-Aに参加させる
・IISで統合Windows認証を有効にする
・制限したいコンテンツに、DOM-Aのユーザに対するアクセス権を付与する
・アクセス権付与の際、場合によってはローカルグループかグローバルグループを活用する
で実現可能だと思うんですが、何か違う要件でもあるんでしょうか?

懸念材料をいくつか書いてくれてるのはいいのですが、意味が通じてません。
引用:

メインのドメイン”DOM−A”は ネットワーク認証に使用している為ユーザーをOUの中の複数のグループに登録できない。

上記は機能的な制限はないはずですが、組織としての制限か何かあるんですか?
(OU云々はグループのメンバ云々には影響しないし、
 ユーザは複数のグループに登録することは機能としてはなんら問題なく可能です)


引用:

1.DOM−AのDNSへの新サーバーの登録方法
2.DOM−AのADへの信頼の設定手順
3.必要なら新サーバーのADへの移行手順
4.新サーバーとADの信頼関係の設定手順
5.その他注意事項

手順自体に関しては、ドメイン構築関連の資料を見ればたいてい解決はしそうですが、
それ以前にこの手順がやろうとしてることを実現するのにいい手段かどうか、
って点が不明です。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-08-03 10:33
言葉足らずで申し訳有りませんでした。

引用:

Mattunさんの書き込み (2006-08-03 09:44) より:
質問内で使ってる用語がずれてたり、5W1Hが肝心なところで抜けてるので、
やりたいことが理解できんです・・・

というわけで確認。
・DOM-AというActiveDirectoryのドメインが存在する
・社内のクライアントはDOM-Aに参加し、社内のユーザはDOM-Aにログオンしている
・新しいサーバ(ServerA)をWindowsServer2003で構築した
・ServerAではIISを構築して、認証機能を設けたい
・その認証で使うユーザとしてはDOM-Aのユーザ認証情報と同じものを使いたい

上記だけなら、
・ServerAをDOM-Aに参加させる
・IISで統合Windows認証を有効にする
・制限したいコンテンツに、DOM-Aのユーザに対するアクセス権を付与する
・アクセス権付与の際、場合によってはローカルグループかグローバルグループを活用する
で実現可能だと思うんですが、何か違う要件でもあるんでしょうか?

懸念材料をいくつか書いてくれてるのはいいのですが、意味が通じてません。
引用:

メインのドメイン”DOM−A”は ネットワーク認証に使用している為ユーザーをOUの中の複数のグループに登録できない。

上記は機能的な制限はないはずですが、組織としての制限か何かあるんですか?
(OU云々はグループのメンバ云々には影響しないし、
 ユーザは複数のグループに登録することは機能としてはなんら問題なく可能です)

DOM-Aのグループは検疫システムのグループ分けに使っていまして。
検疫システムの制限でユーザーを多重にグループ登録出来ないのです。


引用:

1.DOM−AのDNSへの新サーバーの登録方法
2.DOM−AのADへの信頼の設定手順
3.必要なら新サーバーのADへの移行手順
4.新サーバーとADの信頼関係の設定手順
5.その他注意事項

手順自体に関しては、ドメイン構築関連の資料を見ればたいてい解決はしそうですが、
それ以前にこの手順がやろうとしてることを実現するのにいい手段かどうか、
って点が不明です。

Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-08-03 10:49
どこが引用でどこが加筆分なのか分かりにくいです・・・

引用:

DOM-Aのグループは検疫システムのグループ分けに使っていまして。
検疫システムの制限でユーザーを多重にグループ登録出来ないのです。

IISのサーバのローカルグループにDOM-Aのドメインユーザを登録することすら
NGなんでしょうか?

また、既存のグローバルグループの組み合わせで実現不可能な制限を
IIS側でかけたいんでしょうか?
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-08-03 13:07
大変失礼いたしました

ご指摘の通りです。

短くいうと”既存のグローバルグループの組み合わせで実現不可能な制限をIIS側でかけたい”パスワードはDOM-Aのドメインアカウントのパスワードを使いたいです。

また”[IISのサーバのローカルグループにDOM-Aのドメインユーザを登録することすら
NGなんでしょうか?”なのですが

DOM-Aのドメインアカウントを取り出してIISサーバーに入れなおすことは出来ますがパスワードをDOM-Aと同期させられないので一律のパスワード設定になりユーザーが自由に変更することが出来ません。
アカウントは800ほどになります。

以上で事情をお分かりいただけたでしょうか。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-08-03 13:30
引用:

また”[IISのサーバのローカルグループにDOM-Aのドメインユーザを登録することすら
NGなんでしょうか?”なのですが

DOM-Aのドメインアカウントを取り出してIISサーバーに入れなおすことは出来ますが

ドメインユーザをIISサーバのローカルグループに入れる、って話をしてます。
ドメインユーザをIISサーバのローカルユーザとして取り出す、という話ではないです。
ドメイングループにドメインユーザを入れられるのと同様に、
ローカルグループにドメインユーザも入れられるんです。

とりあえず、そのIISサーバをDOM-Aに参加させてください。
そして、IISサーバのローカルグループの設定画面で
ローカルグループを作ってメンバの登録をしてみてください。
そうすればたぶん分かると思います。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-08-03 14:05
引用:

Mattunさんの書き込み (2006-08-03 13:30) より:
引用:

また”[IISのサーバのローカルグループにDOM-Aのドメインユーザを登録することすら
NGなんでしょうか?”なのですが

DOM-Aのドメインアカウントを取り出してIISサーバーに入れなおすことは出来ますが

ドメインユーザをIISサーバのローカルグループに入れる、って話をしてます。
ドメインユーザをIISサーバのローカルユーザとして取り出す、という話ではないです。
ドメイングループにドメインユーザを入れられるのと同様に、
ローカルグループにドメインユーザも入れられるんです。

とりあえず、そのIISサーバをDOM-Aに参加させてください。
そして、IISサーバのローカルグループの設定画面で
ローカルグループを作ってメンバの登録をしてみてください。
そうすればたぶん分かると思います。



わかりました、早速やってみます。

ご丁寧に有難うございました。

結果は後日また書き込みます。
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-08-07 16:31
Mattunさん 有り難うございました。

無事希望のセキュリティー(イントラweb)を設定できました

1.アクセスす時”ユーザー名/パスワード”を要求する。
2.ユーザー名/パスワードはイントラWEBサーバーとは別のADの”ユーザー名/パスワード”で行う。
が実現できました。

サーバーでの設定
1.イントラwebサーバーにローカルグループ”kyokasuru"グループを作成。
2.”kyokasuru"グループにアクセスを許可するADドメインユーザを登録。 
3.IISの方の設定は「匿名アクセスを有効にする」のチェックをはずす。
4.認証済みアクセスの設定は「統合 Windows 認証」のみ。
5.NTFSセキュリティー設定で該当するフォルダー(web)のトップに”kyokasuru"グループを”読みとり/読みとりと実行/フォルダー内容の閲覧表示で設定。
6.グループUSERの許可をすべてはずす。
7.クライアントのIEへイントラwebのURLをイントラネットのサイトに登録する。
8.クライアントのIE設定はセキュリティー設定/ユーザー認証/ログオンを「ユーザー名とパスワードを入力してログオン」に設定。

以上の設定をしてIISを停止/開始させて確認できました。

*ローカルグループにADのグループを入れても同じ結果になりますね。
1

スキルアップ/キャリアアップ(JOB@IT)