none
Active Directoryのアクセス許可について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    最近Active Directoryサーバーの管理を担当することになったのですが、ポリシーなどを確認していたところ、よく分からない設定がありましたのでご質問させていただきます。

    内容としては「Active Directory ユーザーとコンピュータ」内の「ドメイン名のオブジェクト」⇒「プロパティ」画面内にある「セキュリティ」タブに設定されているアクセス許可設定で、
    ドメインで管理している全ユーザーIDが所属しているグループに対して、下記項目で「拒否」の設定が行われていました。

    ・対象項目
     「内容の一覧表示」 ⇒ 「拒否」にチェック ※左記以外の項目には、許可および拒否のチェックは入っていません。

    上記項目の拒否を外そうという話になったのですが、何のために上記の設定がされているかも不明なため、この項目について教えていただければと思います。

    ・教えていただきたい点
      1.上記の項目はどのような権限になるのでしょうか? 
       ※この項目で「許可」及び「拒否」のチェックを入れている場合、ユーザーへどのような「アクセスの許可」または「アクセス制限」が掛かるのでしょうか?

    ヘルプも読んだのですが、よく分からなかったため、このような質問をさせていただいております。

    以上、宜しく御願い致します。

    2013年7月22日 8:24
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    (内容に誤りがあったので修正します。申し訳ありません)

    「内容の一覧表示」は直下のディレクトリ情報一覧表示を行うかどうかの権限で、その意味ではChukiさんのおっしゃる通りの動作が正しいです。ドメインオブジェクト上で内容の一覧表示を禁止した場合、直下のディレクトリ情報だけ見られないため、結果的にLDAP管理・表示ツールでディレクトリ情報の取得ができないが、(孫オブジェクトの)ユーザ類は検索可能という動作になります。

    前任の管理者がどういう意図で行ったのかは存じませんが、一般ユーザにはLDAP管理表示ツールをインストールしてもディレクトリの中身を見られないように、管理者(本当にそうなのでしょうか?)については、AUDC等の管理ツールを起動したときの誤操作防止(このリクツを知っているスーパー管理者だけが変更できるように)の為だったのかもしれないですね。個人的にはこのような設定を意図せず(無意識的に)行うことはあまり奨められません。予期しない問題が発生する可能性は0ではありませんので。



    2013年7月22日 10:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    1.上記の項目はどのような権限になるのでしょうか? 
       ※この項目で「許可」及び「拒否」のチェックを入れている場合、ユーザーへどのような「アクセスの許可」または「アクセス制限」が掛かるのでしょうか?

    OUとかフォルダっぽい形をしたコンテナに対して「内容の一覧表示」を拒否すると、ユーザーの一覧が表示されなくなります。
    管理者にすら見せたくないユーザーの集合を作る場合にこの権限に拒否を入れたのかもしれません。
    ためしにOUを作ってみて、その下にユーザーを追加し、そのOUに対して「内容の一覧表示」の権限を拒否してみてください。最新の情報に更新すると、「このビューに表示する項目はありません」など、OU内の一覧が見れない状態になります。
    また、そのOU内のオブジェクトは検索にも引っかかってこなくなります。

    引っかかってこなくなるだけで、ユーザー自体は存在するため、ログオンできたりは可能です。


    • 編集済み ChukiMVP, Moderator 2013年7月22日 9:36 意味不明な文章の修正
    • 回答としてマーク 佐伯玲 2013年8月6日 8:28
    2013年7月22日 9:35
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる事象を検証環境で確認しました。状況からリモートデスクトップ接続のアクセス許可に関するメンバーシップが取れていないことが原因のような気がしますが、セッションホスト構成の時だけできないというのがちょっとわからないですね。

    理由を確認するには時間がかかると思いますので(できるかどうかもわかりません)、ひとまずこの設定を修正し、セッションホストを利用可能にすることを優先していただく方法もあると思います。

    • 回答の候補に設定 佐伯玲 2013年7月26日 6:38
    • 回答としてマーク 佐伯玲 2013年8月6日 8:28
    2013年7月22日 19:28
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    1.上記の項目はどのような権限になるのでしょうか? 
       ※この項目で「許可」及び「拒否」のチェックを入れている場合、ユーザーへどのような「アクセスの許可」または「アクセス制限」が掛かるのでしょうか?

    OUとかフォルダっぽい形をしたコンテナに対して「内容の一覧表示」を拒否すると、ユーザーの一覧が表示されなくなります。
    管理者にすら見せたくないユーザーの集合を作る場合にこの権限に拒否を入れたのかもしれません。
    ためしにOUを作ってみて、その下にユーザーを追加し、そのOUに対して「内容の一覧表示」の権限を拒否してみてください。最新の情報に更新すると、「このビューに表示する項目はありません」など、OU内の一覧が見れない状態になります。
    また、そのOU内のオブジェクトは検索にも引っかかってこなくなります。

    引っかかってこなくなるだけで、ユーザー自体は存在するため、ログオンできたりは可能です。


    • 編集済み ChukiMVP, Moderator 2013年7月22日 9:36 意味不明な文章の修正
    • 回答としてマーク 佐伯玲 2013年8月6日 8:28
    2013年7月22日 9:35
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    (内容に誤りがあったので修正します。申し訳ありません)

    「内容の一覧表示」は直下のディレクトリ情報一覧表示を行うかどうかの権限で、その意味ではChukiさんのおっしゃる通りの動作が正しいです。ドメインオブジェクト上で内容の一覧表示を禁止した場合、直下のディレクトリ情報だけ見られないため、結果的にLDAP管理・表示ツールでディレクトリ情報の取得ができないが、(孫オブジェクトの)ユーザ類は検索可能という動作になります。

    前任の管理者がどういう意図で行ったのかは存じませんが、一般ユーザにはLDAP管理表示ツールをインストールしてもディレクトリの中身を見られないように、管理者(本当にそうなのでしょうか?)については、AUDC等の管理ツールを起動したときの誤操作防止(このリクツを知っているスーパー管理者だけが変更できるように)の為だったのかもしれないですね。個人的にはこのような設定を意図せず(無意識的に)行うことはあまり奨められません。予期しない問題が発生する可能性は0ではありませんので。



    2013年7月22日 10:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん
    Chukiさん

    迅速なご回答ありがとうございました。

    よろしければ上記に関連した内容でもう一つ質問がございますので、お分かりになればこちらも教えていただけないでしょうか。

    そもそもこの拒否設定を見つけた経緯ですが、WindowsServer2008R2で作成したリモート デスクトップ サービス(RDS)サーバーに対して、ドメインのユーザーIDでリモートデスクトップ接続でログインを行うと「アクセスが拒否されました」と表示されてアクセスに失敗してしまうという事象が出ていまして、こちらを調査した結果、上記の拒否設定をしているグループに所属している事(拒否設定がされていること)が原因だと当たりをつけました。。

    いろいろと検証を行ったところ以下のような結果を得られました。

    1.サーバーのローカルからのログイン(サーバーにモニターなどを接続してのログイン)で、上記エラーの出たユーザーIDを使いログインを行ったところ、正常にログインができた。

    2.RDS化(RD セッション ホストの導入)する前の、役割・機能をなにも持たせていない状態の時に、エラーの出たユーザーIDを使いリモートデスクトップ接続してもログインできていた(この時、使用したユーザーIDはローカルの「Remote Desktop Users」グループに参加していました)

    3.RDS化した状態では、リモートデスクトップ接続が可能となるグループ(ローカルの「Administrators」、「Remote Desktop Users」および、ドメインの「Domain Admins」、「Remote Desktop Users」など)に所属させた状態でも「アクセスが拒否されました」と表示されアクセスに失敗した。

    4.上記の拒否設定を行っているグループから外した場合、RDS化している状態でもリモートデスクトップ接続できた。

    このような事情があり、    拒否の設定を外そうという話になったのですが、そもそもなぜ「内容の一覧表示」項目を拒否にしている場合、リモート デスクトップ サービス(RDS)サーバーにリモートデスクトップ接続した際に「アクセスが拒否されました」となってしますのでしょうか。

    上記でも記載しましたが、    お分かりになればこちらも教えていただけないでしょうか。

    かなり、ややこしい問題のご質問となりますが、よろしく御願い致します。

    2013年7月22日 13:02
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる事象を検証環境で確認しました。状況からリモートデスクトップ接続のアクセス許可に関するメンバーシップが取れていないことが原因のような気がしますが、セッションホスト構成の時だけできないというのがちょっとわからないですね。

    理由を確認するには時間がかかると思いますので(できるかどうかもわかりません)、ひとまずこの設定を修正し、セッションホストを利用可能にすることを優先していただく方法もあると思います。

    • 回答の候補に設定 佐伯玲 2013年7月26日 6:38
    • 回答としてマーク 佐伯玲 2013年8月6日 8:28
    2013年7月22日 19:28
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、FUKUBARA さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    これまでに寄せられた情報がご参考になると思い私の方で「回答としてマーク」とさせていただきました。

    寄せられている情報に関して引き続き疑問等あればこちらのスレッドをご活用くださいませ。


    宜しくお願い致します。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年8月6日 8:28
    |