none
ADで、フォルダのアクセス権の追加リストから、特定ユーザを表示させないようにする。 RRS feed

  • 質問

  • こんにちは。


    Windows Serever 2016にてADを構築しています。

    (正確には、発注した業者に構築してもらっています。そのため、自分で環境を触れないのがもどかしく。。。)

    この際、業者から「MAC認証用のユーザアカウント(=MACアドレス名のユーザアカウント)をADに登録すると、

    ユーザが共有フォルダのアクセス権を検索する時に、MACアドレス名のユーザアカウントが検索できてしまう」

    といってきました。


    MACアドレス用のアカウントをひとつのOUに集め、OUのアクセス権から一般ユーザの読み取り権限を削除(拒否)

    すれば、上記のような状況にはならないと考えているのですが、あっているでしょうか。


    このような課題(ACLに不要なユーザは検索対象からはずす)を扱ったナレッジがあれば、教えていただけないでしょうか。
    お手間をおかけいたしますが、御確認を頂ければと思います。


    西川 覚

    2018年11月22日 0:17

回答

  • チャブーンです。

    この件ですが、結論を申し上げると「Active DirectoryオブジェクトのACLで制御する」方向で、正しいといえます。ただOUで制御するより、対象となるユーザーオブジェクトのACLを直接制御したほうが間違いがないのでいいように思います。

    で、ACLについてですが「一般ユーザー権限の削除(拒否)」にしてしまうと、自分で自分が見えなくなり認証ができなくなってしまいます。そこで「SELF」という特殊なアクセス許可を使うといいでしょう。SELFは「自分自身」を示すため、指定してあれば自分だけに該当する操作を許可する、といった設定が可能です。

    以下の「Authenticated Users」に割り当てられた権限を「SELF」に置き換えれば、問題ないと思います。

    • 全般情報の読み取り
    • パブリックインフォメーションの読み取り
    • 個人情報の読み取り
    • Web情報の読み取り

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク DOMYBEST 2018年11月22日 11:06
    2018年11月22日 1:45
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、結論を申し上げると「Active DirectoryオブジェクトのACLで制御する」方向で、正しいといえます。ただOUで制御するより、対象となるユーザーオブジェクトのACLを直接制御したほうが間違いがないのでいいように思います。

    で、ACLについてですが「一般ユーザー権限の削除(拒否)」にしてしまうと、自分で自分が見えなくなり認証ができなくなってしまいます。そこで「SELF」という特殊なアクセス許可を使うといいでしょう。SELFは「自分自身」を示すため、指定してあれば自分だけに該当する操作を許可する、といった設定が可能です。

    以下の「Authenticated Users」に割り当てられた権限を「SELF」に置き換えれば、問題ないと思います。

    • 全般情報の読み取り
    • パブリックインフォメーションの読み取り
    • 個人情報の読み取り
    • Web情報の読み取り

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク DOMYBEST 2018年11月22日 11:06
    2018年11月22日 1:45
    モデレータ
  • チャブーン様

    いつも、ご回答ありがとうございます。

    SELFなるアクセス権限があるのですね。初めて知りました。

    また、ユーザオブジェクトの権限で定義するか、OUの権限で定義するかは、運用性を考慮したうえで

    考えるべきことと思っていますが、あっていますか?

    以下の認識です。

    ユーザオブジェクトで制御 

    → 間違いがないが、ユーザ作成時に一手間(権限変更する)加える必要あり。

    OUで制御 

    → OUで一括制御するので、ユーザ作成自体は一般のユーザと同じにできるが、設定を入れたOU配下にいれた

    ユーザアカウントはすべて検索に引っかからないので、登録間違いが発生する可能性がある。

    見せたくないユーザが少数なら、ユーザオブジェクト個別で制御、大量ならOUで制御、という運用かと考えました。

    ご意見、いただけますと幸いです。


    西川 覚

    2018年11月22日 2:41
  • チャブーンです。

    追加の質問ですが、究極的にはどちらでもよい、ということかと思います。

    ただOUでそれを行う場合、OUオブジェクトではなく「子ユーザーオブジェクト」に対して、上記各アクセス許可を上書き(継承)するようOUのアクセス許可に設定する必要があり、これをGUIで設定するのは、それなりに手間がかかる(調べることも含め)と思います。

    既存のOU構成をふまえ、ご自身や管理者の方がやりやすいかたちで、対応されればいいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年11月22日 4:26
    モデレータ
  • チャブーンさま

    ご回答ありがとうございます。

    実装方法は担当者含め、相談してみたいと思います。

    ご対応、ありがとうございました。


    西川 覚

    2018年11月22日 11:06