none
信頼関係とアクセス設定について RRS feed

  • 質問

  • どなたかご知見のある方がいらっしゃいましたらご教示ください。

    異なるフォレストにそれぞれ存在するドメインA、Bがございます。
    この度、Bに存在するファイルサーバーに対し、Aの一部のユーザーがアクセスできるようにしたい
    という要件が発生しました。

    逆にBのユーザーからAのリソースへのアクセスは行わせたくないため
    Bから出力方向でAへの信頼設定を行えば良いと理解しています。
    (片方向の信頼)

    ただ、信頼関係を構成する際に[ドメイン全体の信頼]を選択してしまうと
    Bのauthenticated usersにAの全ユーザーが所属することになる認識であり
    こうなると、Aの全ユーザーがBのリソースへアクセスできるようになってしまうと懸念しています。

    しかし[認証の選択]を選ぶと、今度はBのファイルサーバーへAのユーザーに対するACL設定をする際に
    Aの特権を持つユーザーの認証情報を入力しなくてはならなくなってしまうと理解しています。

    まず、前述の理解は正しいでしょうか。
    正しいのであれば、要件を満たしつつBのユーザーが認証情報無しでBのリソースに対し、
    Aの一部のユーザーへのアクセス許可を設定できるように構成するにはどうしたらよろしいでしょうか。

    以上、よろしくお願いします。

    2020年12月18日 5:48

回答

  • チャブーンです。

    ようするに、どちらを選択してもACL(NTFSアクセス許可&共有アクセス許可)の設定は必要であり B→Aの片方向の信頼状態であれば、ACLを設定する際にA側のユーザー情報を参照するときにはどうしても A側ユーザーの認証情報が必要になってくるという理解で相違無いでしょうか。

    上記理解が正しいとして、 ACLの設定(B側で、フォルダを右クリックして、[共有]タブと[セキュリティ]タブへA側のユーザーのアクセス許可を設定) は以下に従い行われるという考え方で誤り無いでしょうか。
     ①フォルダへアクセス許可を付与する → B側ユーザーの権限で行われる
     ②A側ユーザーの一覧を表示する → 認証情報を入力したA側ユーザーの権限で行われる

    はい。そういうことになりますね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク a.y.z 2020年12月24日 22:44
    2020年12月23日 7:25
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、信頼における全体の認証と認証の選択のちがいは、端的にいうと「LDAP情報へのアクセス制限の差」可と思います。

    信頼において、最初にアクセス対象となるのは、信頼先のLDAPオブジェクトとなります。ここで全体になるのか、個別の場合はLDAPアクセス許可を設定するのか、で使い分けているのかと思います。LDAPアクセス許可の設定は「信頼先の管理者アカウント」でしか設定できませんので、そのような挙動になっている(ように見える)のでしょう。NTFSアクセス許可は後工程の話しとなります。

    ちょっと探したところ、よい過去ログがあったので、ご紹介します。うえの話しがとても丁寧に書いてあります。

    Windows 2008 R2での信頼関係について (microsoft.com)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年12月18日 14:15
    モデレータ
  • チャブーン様

    いつもお世話になっております。
    情報連携いただきありがとうございます。
    「ドメイン全体の信頼」と「認証の選択」の違いについては
    ACL以前の「認証の許可」の違いであると理解しました。
    (=後者は明示的にリソースを持つコンピュータに対して許可設定が必要)

    ようするに、どちらを選択してもACL(NTFSアクセス許可&共有アクセス許可)の設定は必要であり
    B→Aの片方向の信頼状態であれば、ACLを設定する際にA側のユーザー情報を参照するときにはどうしても
    A側ユーザーの認証情報が必要になってくるという理解で相違無いでしょうか。

    上記理解が正しいとして、
    ACLの設定(B側で、フォルダを右クリックして、[共有]タブと[セキュリティ]タブへA側のユーザーのアクセス許可を設定)
    は以下に従い行われるという考え方で誤り無いでしょうか。

     ①フォルダへアクセス許可を付与する → B側ユーザーの権限で行われる
     ②A側ユーザーの一覧を表示する → 認証情報を入力したA側ユーザーの権限で行われる

    #一時的にB側ユーザーへ、権限を絞ったA側ユーザーアカウントを貸与して
     権限付与を行わせようと考えており、この前提で問題ないのかを確認したく。

    以上、よろしくお願いします。

    2020年12月21日 2:52
  • こんにちは。フォーラムオペレーターのFanです。
    フォーラムにご投稿くださいましてありがとうございます。

    Aの一部のユーザーへのアクセス許可を設定できるようにチャブーンさんが言った通りで以下の手順をご参考ください。
    1、ファイルリソースをホストするファイルサーバーで「認証を許可する」権限を明示的に付与する。→ B側(trusting)ユーザーの権限で行われる。
    これを行う手順:http://www.steveshoemake.com/tag/selective-authentication/
    2、フォルダへアクセス許可を付与する → B側(trusting)ユーザーの権限で行われる

    どうぞよろしくお願いいたします。
    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年12月23日 7:02
    モデレータ
  • チャブーンです。

    ようするに、どちらを選択してもACL(NTFSアクセス許可&共有アクセス許可)の設定は必要であり B→Aの片方向の信頼状態であれば、ACLを設定する際にA側のユーザー情報を参照するときにはどうしても A側ユーザーの認証情報が必要になってくるという理解で相違無いでしょうか。

    上記理解が正しいとして、 ACLの設定(B側で、フォルダを右クリックして、[共有]タブと[セキュリティ]タブへA側のユーザーのアクセス許可を設定) は以下に従い行われるという考え方で誤り無いでしょうか。
     ①フォルダへアクセス許可を付与する → B側ユーザーの権限で行われる
     ②A側ユーザーの一覧を表示する → 認証情報を入力したA側ユーザーの権限で行われる

    はい。そういうことになりますね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク a.y.z 2020年12月24日 22:44
    2020年12月23日 7:25
    モデレータ
  • ご回答ありがとうございます。ようやく理解できました。
    2020年12月24日 22:46