locked
ファイルサーバに共有フォルダを作成。ACLはネスとされているグループを使っています。その直後にパソコンから共有フォルダにアクセスできない。ログオフしログオンしなおすことでアクセスできるのですが、これは仕様なのでしょうか? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    どなたか教えてください。

    ファイルサーバにproject共有フォルダを作成。アクセス権の設定でMS_projectグループを指定。

    そのMS_projectグループには、salesグループが登録されている。salesグループにaokiユーザが登録されている。

    グループの登録とファイルサーバへのアクセス権設定直後に、aokiユーザがパソコンから作成し共有フォルダprojectにアクセスできない。

    ログオフしログオンしなおすことでアクセスできるのですが、これは仕様なのでしょうか?

    ログオフ、ログオンという行為で時間をかけたくないため、パソコン側でActiveDirectryグループ情報をリフレッシュ?するようなコマンド(マイコンピュータの表示更新はF5)は無いのでしょうか?

    そうすることでおそらく、ログオフ、ログオンしなくても作成したフォルダにアクセスできるのではないかと思います。

     

    ■環境

    ファイルサーバ:Windows2003R2(ActiveDirectryのメンバーとして参加)

    ActiveDirectry ネイティブモード

     

    ■ファイルサーバへの設定

    共有フォルダ名 : project

    アクセス権(ACL): MS_projectグループ 指定(グローバルグループ)

     

    MS_projectグループメンバー:salesグループが登録(グローバルグループ)

    salesグループメンバー:aokiユーザ

     

    以上どなかた回答のほどお願いします。

    2011年7月13日 4:51

回答

  • Question
    サインインして投票
    0
    サインインして投票

    uiisu さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    ご質問の件について私の方で調べてみましたところ、海外の Q&A サイトでも、uiisu さんと同じ疑問を持たれた方が質問を投稿
    されていました。

    ● "Active Directory Group Membership Sync":
       http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/Q_25275162.html (英語)

    上記のページで mkline71 さんが 02/03/10 10:56 AM に返信されている内容によると、uiisu さんが疑問を持たれている動作は
    想定された動作のようです。
    参考までに、mkline71 さんの返信内容の一部を和訳して紹介させていただきますね。

    「なぜログオフとログオンが必要かと言いますと、このときに特権属性証明書 (PAC) が更新されるためです。 PAC には、ユーザー
     がメンバーとなっているグループ情報などが含まれています。
     http://technet.microsoft.com/en-us/library/cc757478(WS.10).aspx

     キー配布センター (KDC) は、ユーザーが Kerberos 認証でログオンした後に適切な認証情報を提供するために、チケット保証
     チケット (TGT) の中に PAC データを含めます。 PAC には、ユーザーがメンバーであるグループ、ユーザーが持つ権限、ユーザー
     に適用されるポリシーなど様々な種類の認証データが含まれます。 クライアントがチケットを受け取る際、PAC に含まれる情報が
     ユーザーのアクセス トークンを生成するために使用されます」


    <参考情報>
    ● "Chapter 1: Overview of Authentication and Authorization Technologies and Solution End States":
       http://technet.microsoft.com/en-us/library/bb463152.aspx (英語)
      
    (こちらの情報は英語のみでの公開となっていますが、”Figure 1.2. Interactive logon followed by authenticating to a network
    resource” という図が分かりやすいかと思います。)

    なお、もし uiisu さんが詳細をご希望の場合は、弊社の有償サポート窓口へのお問い合わせもご検討いただければと思います。
    http://www.microsoft.com/ja-jp/services/support.aspx

    こちらの情報がお役に立てることを願っています。
    それでは、また。


    _______________________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次



    • 回答としてマーク 星 睦美 2011年8月1日 5:17
    2011年7月15日 7:35
  • Question
    サインインして投票
    0
    サインインして投票

    ログオフとログオンと同じような動作ですがコマンドプロンプトで

    net stop netlogon
    ネットロゴオンサービスを止め、
    net start netlogon
    ネットログオンサービスを開始させてはどうでしょうか。

    • 回答としてマーク 星 睦美 2011年8月1日 5:17
    2011年7月19日 4:27

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    uiisu さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    ご質問の件について私の方で調べてみましたところ、海外の Q&A サイトでも、uiisu さんと同じ疑問を持たれた方が質問を投稿
    されていました。

    ● "Active Directory Group Membership Sync":
       http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/Q_25275162.html (英語)

    上記のページで mkline71 さんが 02/03/10 10:56 AM に返信されている内容によると、uiisu さんが疑問を持たれている動作は
    想定された動作のようです。
    参考までに、mkline71 さんの返信内容の一部を和訳して紹介させていただきますね。

    「なぜログオフとログオンが必要かと言いますと、このときに特権属性証明書 (PAC) が更新されるためです。 PAC には、ユーザー
     がメンバーとなっているグループ情報などが含まれています。
     http://technet.microsoft.com/en-us/library/cc757478(WS.10).aspx

     キー配布センター (KDC) は、ユーザーが Kerberos 認証でログオンした後に適切な認証情報を提供するために、チケット保証
     チケット (TGT) の中に PAC データを含めます。 PAC には、ユーザーがメンバーであるグループ、ユーザーが持つ権限、ユーザー
     に適用されるポリシーなど様々な種類の認証データが含まれます。 クライアントがチケットを受け取る際、PAC に含まれる情報が
     ユーザーのアクセス トークンを生成するために使用されます」


    <参考情報>
    ● "Chapter 1: Overview of Authentication and Authorization Technologies and Solution End States":
       http://technet.microsoft.com/en-us/library/bb463152.aspx (英語)
      
    (こちらの情報は英語のみでの公開となっていますが、”Figure 1.2. Interactive logon followed by authenticating to a network
    resource” という図が分かりやすいかと思います。)

    なお、もし uiisu さんが詳細をご希望の場合は、弊社の有償サポート窓口へのお問い合わせもご検討いただければと思います。
    http://www.microsoft.com/ja-jp/services/support.aspx

    こちらの情報がお役に立てることを願っています。
    それでは、また。


    _______________________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次



    • 回答としてマーク 星 睦美 2011年8月1日 5:17
    2011年7月15日 7:35
  • Question
    サインインして投票
    0
    サインインして投票

    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次様

    連絡ありがとうございます。

    回答内容が難しいため理解できないのですが、Windowsをログオフ、ログオンするという行為以外に、何かのコマンドでPAC?情報を収集することはできないのでしょうか?

    回答のほどよろしくお願いします。

    以上

     

    2011年7月19日 3:59
  • Question
    サインインして投票
    0
    サインインして投票

    ログオフとログオンと同じような動作ですがコマンドプロンプトで

    net stop netlogon
    ネットロゴオンサービスを止め、
    net start netlogon
    ネットログオンサービスを開始させてはどうでしょうか。

    • 回答としてマーク 星 睦美 2011年8月1日 5:17
    2011年7月19日 4:27
  • Question
    サインインして投票
    0
    サインインして投票

    uiisu さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    弊社の服部とみゃう さんの返信が参考になったのではと思います。
    今回は私から[回答としてマーク] をさせていただきました。

    今後ともTechNet フォーラムをよろしくお願いします。

    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2011年8月1日 5:19