- ベストアンサー
アクセス権限が設定できない
AGDLPポリシーに従いActive Directoryでアクセス権限の設定を行っています。 手順4.のドメインローカルグループにアクセス許可を割り当てると、 グローバルグループのメンバに登録されたユーザーからのアクセスが拒否 されてしまうのですが、何か他に設定は必要なのでしょうか? [設定手順] 1.ユーザーアカウント(A)を作成する 2.ユーザーアカウントをグローバル(G)グループのメンバにする 3.グローバルグループをドメインローカル(DL)グループのメンバにする 4.ドメインローカルグループにアクセス許可(Permission: P)を割り当てる 4-1.共有にするフォルダのプロパティにて「共有のアクセス許可」にドメインローカルグループを追加 4-2.共有にするフォルダのプロパティにて「セキュリティ」にドメインローカルグループを追加 OS:Windows Srver 2003 R2
- abcron
- お礼率81% (59/72)
- ハードウェア・サーバー
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
一見すると設定内容は問題無く見えます。 共有フォルダのアクセスに関することだと思いますが、 具体的で詳細なアクセス権とアクセス方法が書かれていませんので判断が難しい部分があります。 ただ、内容を全部書くのは難しいと思いますので、一つずつトラブルシューティングしていくのがいいかと思います。 1.アクセス権の設定をドメインローカルグループではなく、該当ユーザーを直接設定した場合はどうなるか →これでアクセス権の設定の問題か、グループの設定の問題かが切り分けられると思います。 2.アクセス権の設定をグローバルグループにした場合はどうなるか →これで範囲が狭くなります。 また、監査ポリシーでオブジェクトアクセスの監査を設定して拒否されている内容を見るのもいいでしょう。 >4-1.共有にするフォルダのプロパティにて「共有のアクセス許可」にドメインローカルグループを追加 この設定自体は問題無いのですが、一般的には(マイクロソフト推奨でもあります)NTFSファイルシステムを使用している場合は、共有のアクセス許可を使用せずNTFSアクセス権のみで行います。 これは、同じ設定を2箇所で設定することによる設定ミスの防止や管理の煩雑化防止のためです。 セキュリティの強度も2箇所で設定したから高くなるものではありませんので。 この場合は、共有のアクセス許可をEveryoneフルコントロールとします。
お礼
ユーザやグローバルグループを直接設定すると権限設定は可能でした。 アクセス制御もNTFSアクセス権でのみ行うよう変更致しました。 状況は変わらなかったので他原因を調査したところ、 ドメインの機能レベルが「混合モード」だとグループのネストが出来ないことが分かり、 「Windows2003」モードに切り替えたところ、ドメインローカルグループで設定が出来ました。 maesen様のアドバイスが解決の糸口となりました。 ありがとうございました。