Remove From My Forums

資格情報ダイアログを表示させたい

質問
0

サインインして投票

windows server2016でユーザー、および共有フォルダを作成し、共有フォルダにはそのユーザーのみの

アクセス権を設定しました。

クライアント（win10 Home 64bit）側よりアクセスしたときにwindowsｾｷｭﾘﾃｨの

資格情報のダイアログを毎回表示させ、都度ユーザー、パスワードを入力して

アクセスするようにしたいのですが、クライアント側でアクセスしようとすると

アクセス権がありませんと拒否となりダイアログが表示されません。

クライアントの資格情報マネジャーでユーザーとパスを設定してアクセスすると

フォルダにアクセスできます。

経緯として、サーバー側で設定したユーザーのパスワードを変更するのに一度ユーザーを

削除し、同名で再度ユーザーを作成しています。

同じパソコンを複数名で使用しており、特定のフォルダのみパスワードを毎回入れて

開けるようにしたいという状況です。

ご教授宜しくお願い致します。

2019年9月21日 2:29

返信

|

引用

回答

0

サインインして投票
> アクセスさせたいフォルダのアクセス権は、クライアントのサインインアカウント（パスワードなし）とは
> 全く別の名前およびパスワードでwindows serverのuserに登録してます。（属性もUserのみです）

クライアントに登録されているユーザーのサインインパスワードは「パスワード無し」なのでしょうか？であれば「ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」ポリシーを無効にしていないとそのエラーになるはずです。

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/accounts-limit-local-account-use-of-blank-passwords-to-console-logon-only

クライアントのユーザーにサインインパスワードを設定するか（推奨）、上記のポリシーを構成するか（セキュリティ的にお勧めしません）、どちらか試してみると良いでしょう。

※ポリシーを構成するのはクライアントです

Hebikuzure aka Murachi Akira
- 編集済み Hebikuzure aka Murachi AkiraMVP 2019年9月24日 3:21
- 回答としてマークもとやまもと 2019年9月26日 1:59
2019年9月24日 3:20

返信

|

引用
0

サインインして投票
チャブーンです。

この件、運用方法によくわからない点はありますが、

クライアント側でアクセスしようとするとアクセス権がありませんと拒否となりダイアログが表示されません。

これは、以下の過去ログにあるWindows認証の仕様(あるいはパスワードがないこと)が原因の可能性が高いので、過去ログにある仕様にあわせてアカウントを構成する必要があります。

https://social.technet.microsoft.com/Forums/de-DE/1f67219e-5dd3-475e-8c9a-8f2f58103316/

それと、ワークグループ環境で「リモートでユーザパスワードを変更する」ためには、以下の情報をサーバー側で変更する必要があります。詳細については、あわせてしたの過去ログも参照してください。パスワード変更のために「ユーザーを作り替える」という動作は、運用上あまり適切ではないと思います。

----
この件、仕方ないので簡単に検証しました。その結果ですが、

「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR」
「RestrictRemoteSamAuditOnlyMode」レジストリ値を1に設定
Windowsファイアウォールを無効化

の3点をキチンとすれば、できることがわかりました。
----
https://social.technet.microsoft.com/Forums/ja-JP/fd1949be-fb9a-4f64-a03d-26c397d4c9ee/
https://social.technet.microsoft.com/Forums/ja-JP/32fa791f-66ef-4484-a15a-ca20ee2bfecb/

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP 2019年9月24日 5:40
- 回答としてマークもとやまもと 2019年9月26日 1:59
2019年9月24日 5:38

返信

|

引用

すべての返信

0

サインインして投票
アクセスさせたいフォルダーのネットワークアクセス権と NTFS アクセス権は、クライアントで利用するユーザー（クライアントの Windows にサインインする資格情報、共有フォルダーへのアクセスに使用したい資格情報）に対してどのように構成されているのでしょうか?

また「アクセス権がありませんと拒否となり」このエラーの正確な文面は何でしょう?

> サーバー側で設定したユーザーのパスワードを変更するのに一度ユーザーを
> 削除し、同名で再度ユーザーを作成しています。
> 同じパソコンを複数名で使用しており、特定のフォルダのみパスワードを毎回入れて
> 開けるようにしたいという状況です。

どちらもあまり感心できない運用方法ですが、そのようにしなければならない強い理由があるのでしょうか？

また「一度ユーザーを削除し、同名で再度ユーザーを作成」してもそのユーザーは元のユーザーとは別の SID を持つので、フォルダーのアクセス権などは再設定が必要な場合（ユーザー名で ACL に登録していた場合など）がありますが、そこの運用は適切に行われていますか?

Hebikuzure aka Murachi Akira
- 編集済み Hebikuzure aka Murachi AkiraMVP 2019年9月22日 9:11
2019年9月22日 9:08

返信

|

引用
0

サインインして投票

ご返信ありがとうございます。

アクセスさせたいフォルダのアクセス権は、クライアントのサインインアカウント（パスワードなし）とは

全く別の名前およびパスワードでwindows serverのuserに登録してます。（属性もUserのみです）

エラー時の文面は、「\\192.168.1.150にアクセスできません。このネットワークリソースを使用する

アクセス許可がない可能性があります。アクセス許可があるかどうかサーバーの管理者に問い合わせてください」

です。

＞＞そのようにしなければならない強い理由があるのでしょうか？

特殊なソフトウェアがそのPCに入っておりまして、メインの使用者以外の者が触ることも

あるので、メイン使用者の個人フォルダをパスワード記憶をさせられないために

都度でユーザー・パスを入力してアクセスしたいという状況です。

＞＞また「一度ユーザーを削除し、同名で再度ユーザーを作成」してもそのユーザーは元のユーザーとは別の SID を持つ

⇒こちらは存じておりましたが、

＞＞フォルダーのアクセス権などは再設定が必要な場合（ユーザー名で ACL に登録していた場合など）がありますが、そこの運用は適切に行われていますか?

⇒こちらはどのようなことを指すかわからない程度の者です。フォルダのアクセス権では削除前のユーザーの

SIDは削除し、新たに再作成したユーザーでのアクセス権はフォルダに設定しております。

（なので、クライアントの資格情報を設定するとアクセスできると思っております）

クライアント側に最初に作ったユーザーの情報がどこかに残ってたりするものでしょうか？？

宜しくお願い致します。

2019年9月23日 10:03

返信

|

引用
0

サインインして投票
> アクセスさせたいフォルダのアクセス権は、クライアントのサインインアカウント（パスワードなし）とは
> 全く別の名前およびパスワードでwindows serverのuserに登録してます。（属性もUserのみです）

クライアントに登録されているユーザーのサインインパスワードは「パスワード無し」なのでしょうか？であれば「ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」ポリシーを無効にしていないとそのエラーになるはずです。

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/accounts-limit-local-account-use-of-blank-passwords-to-console-logon-only

クライアントのユーザーにサインインパスワードを設定するか（推奨）、上記のポリシーを構成するか（セキュリティ的にお勧めしません）、どちらか試してみると良いでしょう。

※ポリシーを構成するのはクライアントです

Hebikuzure aka Murachi Akira
- 編集済み Hebikuzure aka Murachi AkiraMVP 2019年9月24日 3:21
- 回答としてマークもとやまもと 2019年9月26日 1:59
2019年9月24日 3:20

返信

|

引用
0

サインインして投票
チャブーンです。

この件、運用方法によくわからない点はありますが、

クライアント側でアクセスしようとするとアクセス権がありませんと拒否となりダイアログが表示されません。

これは、以下の過去ログにあるWindows認証の仕様(あるいはパスワードがないこと)が原因の可能性が高いので、過去ログにある仕様にあわせてアカウントを構成する必要があります。

https://social.technet.microsoft.com/Forums/de-DE/1f67219e-5dd3-475e-8c9a-8f2f58103316/

それと、ワークグループ環境で「リモートでユーザパスワードを変更する」ためには、以下の情報をサーバー側で変更する必要があります。詳細については、あわせてしたの過去ログも参照してください。パスワード変更のために「ユーザーを作り替える」という動作は、運用上あまり適切ではないと思います。

----
この件、仕方ないので簡単に検証しました。その結果ですが、

「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR」
「RestrictRemoteSamAuditOnlyMode」レジストリ値を1に設定
Windowsファイアウォールを無効化

の3点をキチンとすれば、できることがわかりました。
----
https://social.technet.microsoft.com/Forums/ja-JP/fd1949be-fb9a-4f64-a03d-26c397d4c9ee/
https://social.technet.microsoft.com/Forums/ja-JP/32fa791f-66ef-4484-a15a-ca20ee2bfecb/

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP 2019年9月24日 5:40
- 回答としてマークもとやまもと 2019年9月26日 1:59
2019年9月24日 5:38

返信

|

引用
0

サインインして投票

Hebikuzure aka Murachi Akira様

チャブーン様

ご教授ありがとうございました。

・「ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」

⇒無効

・チャブーン様のご指摘のとおり、クライアントのユーザーアカウントと、サーバーの

ユーザー名が同名であったため、サーバー側の変更を試してみました。

クライアント：ユーザーアカウント＝tarou、フルコンピュータ名＝tarou2

サーバー側ユーザー：tarou＝NG、tarou3=NG、tarou2=OK

と、何故かはわからないのですが、フルコンピュータ名と同じユーザーを設定したところ

望んでいた動作を得ることができました。

お二人には感謝致します。

どうもありがとうございました。

2019年9月26日 2:07

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

資格情報ダイアログを表示させたい

質問

回答

すべての返信