- ベストアンサー
Windowsドメイン環境でのドメインサーバへのアクセスについての課題
- Windowsドメイン環境で社内ネットワークを構築している際に、ドメインサーバへのアクセスでid/domainname/usernameおよびpwの入力が求められる課題が発生しています。
- 旧ドメインと新ドメインの変更を行っており、各ドメインには異なるファイルサーバが存在しています。旧ドメインのファイルサーバにはid/pwの入力が不要でアクセスできますが、新ドメインのファイルサーバにはドメイン名とユーザ名の入力が必要です。
- 問題の原因は、新ドメインのファイルサーバのセキュリティ設定にあると考えられます。解決策として、ポリシー編集画面の設定変更を行うことで、新ドメインのファイルサーバにもid/pwの入力なしでアクセスできるようにすることが望まれています。
- htc1014331
- お礼率35% (213/595)
- Windows系OS
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
信頼関係が存在する=ドメイン単位でのアカウント認証で他ドメインにはそのままでは許可がおりない。 これはよいですか?それができているならドメインというものがそもそも無意味になってしまう。 それからそのパソコンはドメインに参加している、これもokですね。 NT当時のことを知っているMCSEということなので、windowsドメインができたばかりの時のことを思い出してください。 (2000serverも2003serverも資格取るときにこれらはやったはずだと思いますが) 昔NT当時はアカウントに権限が無かった場合、再度Gestアカウントで再度アクセスを試みる仕組みが取れました。everyoneフルコントロールの共有にはアクセスできました。 2000サーバは手元にないのでわかりませんが、2003サーバのローカルセキュリティポリシーの中の ネットワークアクセス:everyoneのアクセス許可を匿名ユーザーに適用する という場所、2003では規定値は無効になっていますが、これを有効にしてみてどうか試してみてください。おそらく2000も同様のセキュリティポリシーあったと思いますが。 ただ、MCSEとのことなのでわかっていることとは思いますが、元々2000→2003とあがるにしたがってセキュリティが強化され、今までは何のチェックもされていないようながら空きのセキュリティが多少なりとも強化されている、というのが今の流れです。 今回のような内容はセキュリティの観点からはわざわざ穴を作る行為であり本筋は2003に移行するようなのでそこで整理するのでしょうが、そこできっちりと統合、管理すべき内容です。 要するに2003移行を前提とするなら今回の内容は覚えても無駄な話ということです。
その他の回答 (2)
- bonnumaman
- ベストアンサー率49% (82/166)
その内容でいくならドメインに信頼関係というものはなくてよいし、あるはずがないですよね。 なんで信頼関係という機能があるのでしょうね。 たぶん >通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。 これが勘違いの元かと。今回のケースはそのクライアントはsrv1のドメインに参加してるのではないですか?ネットワークとしてはsrv1ドメインにログインしてるのではないかということ。 ドメインに所属している場合にはdomainname\usernameで判断されるのですよ。 たぶん言ってる内容はワークグループ接続の場合。ワークグループの場合は元々ドメインに参加してるわけじゃないのでドメインを含む認証にはならないです。 ドメイン参加のサーバ資源などは権限を普通そのドメインのアカウントに与える形式とるので、ワークグループは不都合。かといってドメインが2つ以上存在するのも本来は無駄。 でも信頼しないと権限与えられないのでドメインが複数ある場合には信頼関係を結ぶのです。 ワークグループはそれぞれのサーバが認証を行っていく方式。 windowsドメインはネットワーク上の通行手形を貰ってそのドメイン配下の資源にはそのユーザに応じたアクセス権限をもらえる機能。 セキュリティポリシィの前の接続形態の問題だと思いますが。
- Microstar
- ベストアンサー率21% (289/1367)
そちらの環境を実際見ないとわかりませんが、仮定の話で回答します。そちらの書かれている現象が出ているのは、おそらく下記の原因ではないかと思います。 ドメインコントローラ同士の信頼関係を結んでいないのではないでしょうか? ドメインコントローラを結べば、両方のドメインネットワークへ行き来できるようになるのですが。
補足
ありがとうございます 説明が不十分ですみません。 信頼関係については言及しておくべきでした。 信頼関係は結んでおりません。 また、Windows2000をWindows2003SBSにアップグレード予定なので 信頼関係を結ぶ予定もありません。 どちらかというと、現象の回避のための質問ではなく srv1と同じセキュリティ設定をsrv2でも行いたい、 今後のためにこれらのセキュリティ設定方法を正しく 理解しておきたいというのが質問の意図です。 よろしくお願いします。
補足
補足させていただきます。 >通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証されると思います。 こちらを勘違いという指摘を受けましたが、 この件に関しては他の環境でも確認しているので おそらく出来ると思います。 もちろん、私の勘違いかも知れませんし 私の関わってきたいくつかのネットワーク構成が全て 例外的な設定をしていた可能性もあります。 bonnumamanさんが上記と同じ構成を実際に組んだ上で やはり2つのドメインで同一id/pwでも、他方のドメインに アクセスする際、常にdomainname\usernameでなければアクセス 出来ない、というのであればこの質問自体、私の 勘違いですので、無視してもらって構いません。 信頼関係に関して詳しく教えていただきありがとうございます。 教えてもらう立場で僭越なのですが、 当方もNT4、2000、2003トラックでのMCSEなのでその辺りは すこしは認識しているつもりです。 信頼関係の存在意義とかMS推奨構成という話は分かるのですが、 作業するネットワーク構成において常に作業者の権限が 優先されるわけではなく、お客様であったり現場の要望を 優先させざる終えないケースがあることは実務で構築をされている 方であれば理解していただけると思います。 >通常、ドメインが違っていてもユーザのid/pwが同じであればそのまま認証される として、引き続きsrv2に接続できる設定がありましたら アドバイスいただけると助かります。