none
Access-based Enumerationが機能しない RRS feed

  • 質問

  • お世話になります。

    Access-based Enumerationについて質問なんですが、複数のサーバーの中で1台だけABEが機能しないサーバーがあります。インストール方法や共有フォルダの設定方法などは同じなのですが、何か制約事項があるのでしょうか?
    以下、環境と確認した内容です。

    1.OS:Windows Server 2003 R2 SP2
    2.確認した内容
      1)機能しない共有フォルダはルートフォルダではない(以前このフォーラムに出てました)
      2)共有フォルダの状態を、コマンドプロンプトで abecmd で確認すると、ちゃんと有効になっている

    以上、お手数をお掛け致しますが、よろしくお願い致します。
    2010年1月27日 9:20

すべての返信

  • kiki66004 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    Access-based Enumeration(ABE) が有効になっているのに機能していないとの事ですが、どのような状況でしょうか?

    例えば、共有フォルダ内のファイルに対して、あるユーザーのアクセス権を全く与えていないはずなのに表示されてしまう、といった内容になりますか?
    また、DFS などは使用されていないでしょうか?

    もしよろしければ、状況やアクセス権の設定などを可能な限り詳細にお伝えいただければと思います。

    参考までに下記の情報を紹介させていただきますね。

    - 参考情報
    DFS 環境で Windows Server 2003 アクセス ベースの列挙を実装する方法
    http://support.microsoft.com/default.aspx/kb/907458

    Windows Server 2003 Access-based Enumeration
    http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx

    第6回 アクセス・ベースのディレクトリ列挙ABE
    http://www.atmarkit.co.jp/fwin2k/special/2003sp1_06/2003sp1_06_01.html


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年2月4日 7:27
    モデレータ
  • 三沢さん、こんにちは。

    説明不足ですみません。

    以下が確認した内容です。

    1.確認するためにWindows Server 2003 R2 SP2サーバーを3台使用。
    2.3台のサーバーに同じように共有フォルダを作成し、アクセス権の設定も同じように行う。
      (アクセス権を与えたフォルダと与えないフォルダを作成)
    3.WindowsXPのクライアントから、3台に設定した共有フォルダにネットワークドライブを割り当て表示を確認。
    4.結果、2台のサーバーは意図した通りに表示されるも、1台だけすべてのフォルダが表示される。
    5.アケセス権を与えずに表示されていたフォルダにアクセスすると、アクセスは拒否される。

    ちなみに、ABEが機能しないサーバーは、ドメインコントローラー(AD)とDNSが設定されています。
    あと、DFSは使用していません。
    この事が制約事項としてあるのであれば、納得がいくのですが、そういう話も聞かないもので。

    以上、よろしくお願い致します。
    2010年2月4日 10:14
  • kiki66004 さん、こんにちは。

    サーバーがドメインコントローラーの場合にだけ結果が異なるのですね。
    私の方でも、Windows Server 2003 R2 SP2 のドメインコントローラーで色々と検証してみましたが、正常に動作しているように見受けられます。

    - 検証内容
    ドメインコントローラー(Windows Server 2003 R2 SP2) 上に、共有フォルダ "testShare" を作成。
    "testShare" に対して ABE を有効にする。
    "testShare" 内にサブフォルダ "testShareSub" を作成。
    "testShareSub" の NTFS アクセス権は、"Administrators" "CREATOR OWNER" "SYSTEM" に対してフルの許可。

    クライアント(XP SP2) にドメインの一般ユーザーでログオンし、"testShare" にアクセス。
    結果、"testShareSub" は見えない状態です。

    次に、"testShareSub" の NTFS アクセス権に対して、"Users" 読み取り許可を追加します。
    再度クライアントからアクセスすると、"testShareSub" は見える状態になりました。

    ネットワークドライブでも同じような結果です。


    どこか操作手順に異なる点があるのでしょうか。。。
    再度の確認になりますが、ネットワークドライブはどのように接続されていますか?(例えばスタートアップスクリプトなど)
    ネットワークドライブを割り当てない状態で、共有フォルダとしてアクセスした場合はどうでしょうか?

    可能であれば、アクセス権の詳細や、クライアントにログオンしているアカウントの情報などをお知らせいただければと思います。
    (その後気付かれた事なども)


    それでは。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年2月9日 8:27
    モデレータ
  • 三沢さん、こんにちは。

    色々と検証していただき、ありがとうございます。

    検証方法についてですが、私が行なった方法もまったく同じです。
    念のため、再度行ないましたがやっぱりだめでした。

    ネットワークドライブの接続方法ですが、デスクトップのマイコンピュータを右クリしての『ネットワークドライブの割り当て』です。
    それ以外の”コンピュータの検索”や”ファイル名を指定して実行”などでも結果は変わりませんでした。

    アクセス権の詳細ですが、
    共有フォルダ(testShare)の共有アクセス許可は"Everyone フルコントール" で NTFSアクセス権は、"Administrators" "CREATOR OWNER" "SYSTEM" はフルコントロールで、"Users" は "読み取りと実行" "フォルダ内容の一覧表示" "読み取り" です。
    共有フォルダ内サブフォルダ(testShareSub)のNTFSアクセス権は、"Administrators" "CREATOR OWNER" "SYSTEM" のみで権限はフルコントロールです。

    クライアントにログオンしているアカウントについてですが、所属するグループが "Domain Users" でそれ以外特に変わったところは無いように見えます。
    "Domain Users"が所属するグループは Builtin の "PrintOperators" "Users" です。Builtin の "PrintOperators" "Users" はどこにも属していません。
    他にもチェックするポイントはあるでしょうか。

    他に気づいた点と言えば、クライアントPCのローカルユーザーアカウントにドメインのアカウントを Administrator権限を持たせて追加してあります。
    (ただ、念のため外してみましたが結果は変わりませんでした)

    以上、よろしくお願い致します。
    2010年2月10日 5:59