none
ファイルサーバの引越しをFSMTで実行時、アクセス権の移動について RRS feed

  • 質問

  • お世話になります、吉川と申します。

    ファイルサーバの引越しをFSMTで行うことを検討しています。

    現環境:windows2003
    新環境:windows2008 R2
    ActiveDirectory:windows2003

    やりたいこと
    1.アクセス権も移動したい
    2.事前にある程度データをコピーしておき、後は差分を取得、当日切り替え時間短縮したい


    先日一つの部署フォルダを試しにやってみたところ、アクセス権で気になることがありました。

    新サーバに直接Domain Adminsアカウントでログインし、セキュリティ制限フォルダにアクセス時、
    「このフォルダーにアクセスする許可がありません」というダイアログが表示され、
    「続行」をクリックするとアクセスすることが出来るようになりました。
    「Administrator」で制限フォルダにアクセスした場合、ダイアログは表示されませんでした。

    同じDomain Adminsアカウントで別PCよりエクスプローラでアクセスした場合、
    ダイアログが表示されることなくアクセスできました。
    したがって運用開始しても問題はないと思うのですが、
    この現象が気にしなくてもよいのか、
    FSMTの設定上の問題なのか気になってしまいました。
    新サーバのUACの問題ですかね。

    何かご存知でしたら教えてください。

    よろしくお願いします。

     

    • 移動 Robin_Ren 2012年10月3日 17:50 merge forum (移動元:Windows Server 2008 R2 全般)
    2011年1月31日 2:11

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    表示されたダイアログについてですが、断言は出来ませんが、推測されているように UAC の影響ではと思われます。
    (一度 UAC を無効にして試してみてください)


    フォルダのアクセス権に "Administrators" と "SYSTEM" にのみアクセス許可を与えられていると、"Administrators" のメンバーであっても("Administrator" はちょっと特殊です) 記載されたダイアログが表示されるはずです。
    ("Users" などが許可されているとダイアログは表示されないはずです)


    - 参考情報
    Windows Server 2008 のアクセス制御の新機能
    http://technet.microsoft.com/ja-jp/library/cc731677(WS.10).aspx

    --- 抜粋 ---
    トークンの変更

    WindowsR XP または Windows Server 2003 の Administrators グループのメンバであるユーザーがコンピュータにログオンすると、そのユーザーのトークンには Administrators グループの SID が含まれるため、このユーザーのアクセス許可は Administrators グループと同じになります。
    Windows Server 2008 および Windows Vista では、UAC が有効な場合、Administrators SID は引き続きトークン内に存在しますが、拒否のみに設定されています。アクセス制御を実行すると、トークン内のこのようなエントリはアクセスの拒否、つまり拒否の ACE の照合のみに使用されます。この SID の許可の ACE は無視されます。つまり、管理者としてコンピュータにログオンした場合であっても、常に本当の意味での管理者であるとは限りません

    UAC が無効な場合は、Administrators グループのメンバであるユーザーに、Administrators グループの SID を含むトークンがあります。
    -----------


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

    • 回答としてマーク cosmehanako 2011年2月4日 0:16
    2011年2月2日 8:42
    モデレータ

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    表示されたダイアログについてですが、断言は出来ませんが、推測されているように UAC の影響ではと思われます。
    (一度 UAC を無効にして試してみてください)


    フォルダのアクセス権に "Administrators" と "SYSTEM" にのみアクセス許可を与えられていると、"Administrators" のメンバーであっても("Administrator" はちょっと特殊です) 記載されたダイアログが表示されるはずです。
    ("Users" などが許可されているとダイアログは表示されないはずです)


    - 参考情報
    Windows Server 2008 のアクセス制御の新機能
    http://technet.microsoft.com/ja-jp/library/cc731677(WS.10).aspx

    --- 抜粋 ---
    トークンの変更

    WindowsR XP または Windows Server 2003 の Administrators グループのメンバであるユーザーがコンピュータにログオンすると、そのユーザーのトークンには Administrators グループの SID が含まれるため、このユーザーのアクセス許可は Administrators グループと同じになります。
    Windows Server 2008 および Windows Vista では、UAC が有効な場合、Administrators SID は引き続きトークン内に存在しますが、拒否のみに設定されています。アクセス制御を実行すると、トークン内のこのようなエントリはアクセスの拒否、つまり拒否の ACE の照合のみに使用されます。この SID の許可の ACE は無視されます。つまり、管理者としてコンピュータにログオンした場合であっても、常に本当の意味での管理者であるとは限りません

    UAC が無効な場合は、Administrators グループのメンバであるユーザーに、Administrators グループの SID を含むトークンがあります。
    -----------


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

    • 回答としてマーク cosmehanako 2011年2月4日 0:16
    2011年2月2日 8:42
    モデレータ
  • 三沢さん 

    問題なしという判断ができました。大変助かりました。

    また何かありましたらよろしくお願いします。

     

    2011年2月4日 0:16