- - PR -
ActiveDirectoryを外した場合の不具合
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-10-18 19:03
Windows2003サーバーで、ドメイン化の調査のため、ActiveDirectoryサーバーを起動するようにしたのですが、ディスク容量とサーバーの負荷の問題から、元に戻しました。
結果的にドメインが無くなり、単純なメンバーサーバーになったのですが、それまで登録してあったユーザーとグループが消えてなくなってしまいました。 消えたというよりもグループは残骸として暗号のようなコードで残っていますが、識別は出来ないために削除して作り直さざるを得ない状態です。 幸いなことに、ユーザー登録してあるのはファイルサーバーを開放している一部ユーザーだけなので、手作業で入力して事足りますが、それ以外にも困った問題が発生しています。 IISを起動して社内ユーザー向けにWebアプリケーションを起動しているのですが、今まで匿名認証していたWebページに対して常に認証を求めるようになってしまいました。 ちなみに、各ユーザーは同一IDでローカルログオンし、そのIDはサーバー上にユーザーとしてアカウントを作成しています。ファイルサーバーを公開しているユーザーのみ個別アカウントを登録してローカルログオン時に認証させています。 IISの設定は特に変更はしていないですが、対象のアプリケーションに対してのアクセス権をUsersグループ(共通ユーザーが含まれる)に対してフルコントロールで設定しています。匿名アクセスはデフォルト値のIUSR_XXXXXというアカウントで許可しています。 このアカウントは抹消されていないのでそのまま使っています。 バックアップテープで戻せばよいのでしょうが、Windowsの不具合なのか、Webアプリケーションに対する認証のさせ方がそもそもおかしいのか判断が付きかねています。 アプリのメーカーに問合せましたが、上記の条件であれば問題ないと言われてしまい、為す術が無い状態です。 Webアプリに対しての認証はどのようにして決まるのでしょうか? 詳しい方のアドバイスが頂ければ幸いです。 | ||||
|
投稿日時: 2006-10-19 16:03
長々と書きすぎて状況の掴みにくい文書になってしまいましたので、再度質問を変えさせて頂きたいと思います。
調査の結果、状況は下記のように把握しました。 環境:サーバー側のアカウント/パスワード usr1/usr1 cmn/- ローカル側のアカウント/パスワード→ローカルログオン→http認証 usr1/usr1のPC→usr1/usr1でログオン→OK(認証要求無し) cmn/-のPC→cmn/-でログオン→NG(認証要求)→cmn/-で認証不可 今までは両方のケースで認証要求無しで認証できていました。 ここで、 サーバー側のアカウント/パスワード cmn/- を cmn/cmn としてみました。 すると、 cmn/-のPC→cmn/-でログオン→NG(認証要求)→cmn/cmnで認証できました。 IEを閉じると再度認証要求が出ます。 ここで、usr1とcmnがどう違うのか調べてみましたが、さっぱり判りません。 呼出そうとしているWebページのアクセス権限もusr1とcmnの属しているUsersグループに対して与えてあります。 うすぼんやりと判り始めてきたかに思えたWindowsの認証がますます判らなくなってきました。 アドバイスいただけたら幸いです。 | ||||
|
投稿日時: 2006-10-19 23:40
こんばんは。
Windows XP 以降のバージョンでは「空白パスワードの制限」という機能がデフォルトで有効になっています。 パスワードがブランクのユーザが認証されないのはそれが原因だと思います。 詳しくは TechNet の アカウント : ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する をご参照ください。 併せてサポート技術情報の Windows Server 2003 で IIS の Web サイト認証を構成する方法 を参考に IIS の設定をご確認ください。 _________________ 上本亮介 (ue) @ わんくま同盟 Microsoft MVP for VSTO (Jul 2008 - Jun 2009) Hello Another World! .NET 勉強会 / ヒーロー島 | ||||
|
投稿日時: 2006-10-20 08:48
ueさん。どうもアドバイス有難うございました。感謝いたします。
やはりそれが影響するのでしょうか。 パスワード ブランクとかのキーワードで検索してみたところ、ご指摘のキーワードが出てきてはいたのですが、クライアント側の設定を見ると、 ローカルセキュリティポリシーの「ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」が有効にはなっています。 この設定自体は何も変更しておらず、PC側もWindowsUpdateの適用に関わらず現象が発生していることから、 Windows2003サーバーがUpdateを適用したこと、もしくはActiveDirectoryを外して何らかのコンポーネントが新たに適用された?ことによってセキュリティが強化されたということなのでしょうか? いずれにしてもセキュリティの見直し=アカウントの考え方の見直しはする必要があるのかなとは思っていますが、小手先の対応策はないものかと考えています。 [ メッセージ編集済み 編集者: relaxmax 編集日時 2006-10-20 11:31 ] | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。