none
Windows2008R2でビルドイン以外のadministrators所属ユーザで他サーバの管理共有にアクセスしたい RRS feed

  • 質問

  • 2台の同じADドメインに所属しているWin2k8R2サーバにてご質問があります。

    状況は下記の通りです。

    【やりたいこと】

    2台のサーバを仮にサーバA、サーバBとし、それぞれのローカルユーザでそれぞれの管理共有にアクセスを行いたい

    【行った作業】

    ①サーバA、BそれぞれにShare_Userというローカルユーザを作成

    ②Share_UserのパスワードはサーバA,Bとも同じパスワードに設定

    ③Share_UserをそれぞれのAdministratorsに所属させる

    ④サーバAにShare_Userでローカルログイン

    ⑤サーバBの管理共有(\\サーバB\C$やD$)にアクセス

     →アクセスが拒否されたとのメッセージが表示(別の資格情報を入力しろとのメッセージ)

    ※A,Bの作業を入れ替えても同じでした。

    Windows2003R2までは、この方法でうまく管理共有にアクセスできているのですがWindows2008R2ではうまくいきません。

    また、サーバA、Bのadministratorのパスワードを同じ設定し

    サーバAにAdministratorでログインして、サーバBの管理共有にアクセスしたところ、アクセスできました(逆も可)

    【質問】

    administratorsに所属しているビルドイン以外のユーザでは、他サーバの管理共有にアクセスできないのでしょうか?

    また、対応策としてはC$ではなく、Cの別名で共有フォルダを構築しなくてはなりませんでしょうか?

    よろしくお願い致します。

    • 移動 Jundan Wu 2012年10月3日 17:05 (移動元:Windows Server 2008 R2 全般)
    2010年12月14日 10:24

回答

  • すみません、解決しましたので、自己レスなのですが、追加で質問があります。

    とりあえず

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicyを作成し

    1にすることにより解決しました。

    ただ、UACをOFFにすることにより同じ結果が得られますでしょうか??

    今回は運用中のサーバで再起動ができないため、レジストリを修正することにより解決致しました。

     

     

    • 回答としてマーク 山本春海 2010年12月21日 7:23
    2010年12月14日 11:37

すべての返信

  • すみません、解決しましたので、自己レスなのですが、追加で質問があります。

    とりあえず

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicyを作成し

    1にすることにより解決しました。

    ただ、UACをOFFにすることにより同じ結果が得られますでしょうか??

    今回は運用中のサーバで再起動ができないため、レジストリを修正することにより解決致しました。

     

     

    • 回答としてマーク 山本春海 2010年12月21日 7:23
    2010年12月14日 11:37
  • こんにちは、ごじゃ さん。

    TechNet フォーラムのご利用ありがとうございます。オペレーターの山本です。

    手元の環境で試してみたところ、UAC を無効化することで、ローカルのアカウントでリモート上の管理共有にアクセスすることができました。
    ご自身ですでに見つけられた解決策は、他の方にも有効な情報であるかと思いますので、勝手ながら私のほうで回答としてマークをつけさせていただきました。

    すでに確認されているかと思いますが、Windows Vista 以降の UAC 機能、リモート上にある共有へのアクセスについては、以下の技術情報が参考になるかと思います。

     ユーザー アカウント制御と Windows Vista でのリモートの制限の説明
     http://support.microsoft.com/kb/951016/

     Windows Vista ベースのコンピューターにある管理共有に、ワークグループのメンバーである別の Windows Vista ベースのコンピューターからアクセスすると、エラー メッセージ "ログオンに失敗しました: ログオンできません" が表示される
     http://support.microsoft.com/kb/947232

    上記資料によると、ドメイン環境なのであれば、現在されているようにそれぞれのサーバーのローカルに作成しているアカウント (同じ名前とパスワード) を使用する代わりに、ドメインのアカウントを使ってもいいように見えます。
    今後とも、TechNet フォーラムをよろしくお願いいたしますね。それでは。
                                                               
    マイクロソフト株式会社 フォーラム オペレーター 山本 春海

    2010年12月21日 7:23