- ベストアンサー
ActiveDirectryの共有フォルダのアクセス権について
勉強しながらアクティブデレクトリー運用をしております。共有フォルダのアクセス権に関してお教えください。 今回ローカルPCでログオンする時ドメインでなくローカルPCにログオンしたのですが、それでもアクティブデレクトリーの共有フォルダにアクセス出来たのです。私はドメイン参加したユーザーだけが共有フォルダにアクセス出来るものと思っていたのでどういうことなのかわからず困っております。たとえばアクティブデレクトリーの共有権限はユーザー名もしくはPC名で管理されていてアクセスできるものなのかそれとも私の設定が間違っているのかお教えください。 共有権限については、管理ツールで各ドメインユーザーを作成し、同じユーザーの所で、種類が「セキュリティーグループ-グローバル」の「総務」を作成しそこにメンバーとして各ユーザーを登録しています。そして共有フォルダのアクセス権のところで、総務を登録する形をとっております。ドメインユーザーの権限については、業務ソフトがAdmin権限でないと動作しないため、Administrator権限を与えております。
- snobman3
- お礼率56% (9/16)
- ハードウェア・サーバー
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
いくつか確認してほしいことがあります。 ローカルログオンしたユーザー権限はAdministratorですか?それとも他のユーザーですか?もしAdministratorだと、ActiveDirectryのPCのAdministratorと同じパスワードを設定している場合などは、ローカルでログインしてもアクセスできると思います。もしくは共有フォルダのアクセス権にEveryoneなどが入っていませんか?もしくは共有フォルダの上の階層でEveryoneのアクセス権限が設定されていませんか? ドメインユーザーの権限はPower Users 権限にして、業務ソフトを動かすソフトの入っているパソコンにユーザー追加で、ログオンするユーザー、ドメイン名を指定して、Administrator権限を付与するほうが、ポリシーで制限しやすくなると思います。全端末が業務端末だとあまり意味はないかもしれませんが。 具体的には、ユーザーが所属するグループではPower Users は付与できないので、Domain Userにして、グループポリシーのほうで、コンピュータの構成、Windowsの構成、セキュリティの構成、制限されたグループにPower Usersを入れます。 話がそれてしまってすみませんが、すべての状況がよくわかっていないため、アドバイスになっていなかったらすみません。
その他の回答 (1)
- CMLT
- ベストアンサー率40% (143/357)
共有フォルダはアクセス権にeveryoneが入っていればアクセスできます。入っていなくても、許可されたドメインアカウントを使ってアクセスすることはできます。この場合、ローカルログオン時のみならず、ドメイン参加の設定をしていないPCからでも同様です。PC名を追加できるアカウントなら尚更で、こういった事が出来ないと、ドメイン参加できないOSからアクセスできなくなってしまいます。 また、ローカルのAdmin権限は共有へのアクセスには関係有りません。もし影響を及ぼすとしたら、ローカルユーザー側からAD管理まで乗っ取られかねません。
お礼
共有フォルダアクセス権のeveryone設定に関して、社員のアクセスを前提として設定していましたが、ご指摘のとおりドメイン参加の設定をしていないPCからのアクセスを防ぐためeveryoneを外しユーザーグループを登録するようにしました。ご指導ありがとうございました。
お礼
お礼が遅れて申し訳ありませんでした。 ご指摘のとおりパスワードが同じでした。パスワードを変えてみたらアクセス権が意図するとおりとなりました。 実運用により気付く事が多くマニュアルでは分からない事もあり苦労しております。今回のご指導本当にありがとうございました。 またドメインユーザーの権限に関しても御礼申し上げます。これから調べてどのように再構成するか考えてみる事とします。