none
共有ファイルにアクセスできない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows2003ServerSP1のADサーバ上に新規の共有ファイルを作成し、
    当該ファイルアクセス用グループを作成し、許可するユーザーを当該グループに
    登録しました。

    クライアントはWindowsXPSP2とSP3です。

    アクセス権を許可したユーザーの中でこの共有フォルダにアクセスできず、
    アクセス権がないといった旨のエラーメッセージが表示される端末が何台か発生しています。

    アクセスできない端末のうち1台は再起動するとアクセスできるようになりましたので、
    現在アクセスできない他の端末も再起動するとアクセス可能になるかもしれませんが、
    何故再起動しないと設定が有効にならないのでしょうか。

    ADのポリシーの更新間隔のデフォルト値90分が最大でかかりますが、
    弊社の場合、ADのポリシーの更新間隔は未構成となっており、
    確認した時間も設定変更後90分以上経過しております。

    よろしくお願い致します。



    2010年3月1日 9:53
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    ざっくり 外れていたら申し訳ないのですが、

    1. PC01 に User1 がログインした時、 この User1は Group1, Group2 に所属していた。
    → ログイン資格情報としてキャッシュ

    2. 新しくGroup3 を作成し、このGroup3に対するアクセス許可を与えた 共有フォルダを作成した。

    3. Group3に、User1を加えた。

    4. User1が、手順2で作ったフォルダにアクセスできない(権限がないと言われる)


    この流れからしまして、キャッシュされた資格情報には Group3メンバであることが含まれていないからじゃないですかね?
    多分、再起動ではなくて、 ログオフ→ログイン でログインし直せば、ユーザ資格情報が更新されて
    上手く行くようになると思います。
     
    • 回答としてマーク 小台 2010年3月1日 10:31
    2010年3月1日 10:09
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    ざっくり 外れていたら申し訳ないのですが、

    1. PC01 に User1 がログインした時、 この User1は Group1, Group2 に所属していた。
    → ログイン資格情報としてキャッシュ

    2. 新しくGroup3 を作成し、このGroup3に対するアクセス許可を与えた 共有フォルダを作成した。

    3. Group3に、User1を加えた。

    4. User1が、手順2で作ったフォルダにアクセスできない(権限がないと言われる)


    この流れからしまして、キャッシュされた資格情報には Group3メンバであることが含まれていないからじゃないですかね?
    多分、再起動ではなくて、 ログオフ→ログイン でログインし直せば、ユーザ資格情報が更新されて
    上手く行くようになると思います。
     
    • 回答としてマーク 小台 2010年3月1日 10:31
    2010年3月1日 10:09
    |
  • Question
    サインインして投票
    0
    サインインして投票
    SHIMSOFT様

    早速のご回答ありがとうございます。

    その通りかもしれません。

    >1. PC01 に User1 がログインした時、 この User1は Group1, Group2 に所属していた。
    >→ ログイン資格情報としてキャッシュ

    確かに別のGroup1に所属しておりました。

    しかし、正常に接続できたPC02もGroup3,Group4に所属しておりました。

    >この流れからしまして、キャッシュされた資格情報には Group3メンバであることが含まれていないからじゃないですかね?

    このキャッシュされた資格情報は再起動(再ログイン)しないと更新されないのでしょうか。
    再起動(再ログイン)せずに更新する方法はないのでしょうか。

    度々の質問になってしまい恐縮ですが、お分かりでしたら、
    再度ご回答いただけましたら有り難く存じます。

    よろしくお願い致します。
    2010年3月1日 10:39
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    SHIMSOFT さん、アドバイスありがとうございます。

    小台 さん、フォーラムのご利用ありがとうございます。
    少しだけ私の方でフォローさせていただきますね。

    小台 さんが疑問に思われている点ですが、ユーザーが共有フォルダにアクセスした際に、kerberos と NTLM のどちらで認証されたかによって異なります。

    認証が行われたドメインコントローラーに変更内容が複製されている事と、ファイル共有へのセッション情報が残っていない事などが前提となりますが、NTLM 認証であれば再ログオンしなくても大丈夫なはずです。

    kerberos 認証だと、TGT などのキャッシュが更新されないといけないので、基本的には再ログオンが必要になります。
    (コマンドでキャッシュをクリアする事も出来ますが、、、)

    Active Directory では kerberos 認証が優先されますので、ユーザーがログオン中の状況で所属グループを変更された場合には、やはり再ログオンされた方が良いですね。
    可能であれば、ユーザーがログオンしていない時間帯に作業を行われる事をお勧めします。

    詳細については省略させていただきますので(かなり長くなると思いますので、、、)、興味があれば実際に検証など行って確認していただければと思います。

    - 参考情報
    Active Directory と Windows NT での認証の違い


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年3月4日 2:57
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    三沢様

     ご回答ありがとうございます。

     他の業務で多忙であり、参照情報として紹介して頂いたページを
     詳しく見れない状況で大変申し訳ないのですが、更に確認させて
     頂きたいです。

      kerberos 認証と NTLM認証との2種類の認証があるとのことですが、
      サーバ側かクライアント側かはどちらでも良いですが、操作方法又は
      設定でどちらか一方しかできなくすることはできないのでしょうか。
      また、サーバ側でログなどどちらの認証でログインされたか確認する方法は
      ないのでしょうか。

      また、別に新たに質問させて頂いた方が良いのかもしれませんが
      関連してますので、もう1点質問させて頂きます。

      このファイル共有の件で、ActiveDirecrtoryサーバではなく、クライアントPC(WinXP)で
      共有フォルダを作成し、アクセスを許可する別のクライアントのユーザーを作成し、
      アクセス権限を設定した場合も、同じようにアクセスできない現象が発生しています。
      この場合、再起動してもログインできないクライアントもあるのですが、
      どうしてでしょうか。
      最初に質問させて頂いたActiveDirecrtoryサーバの件としくみが同じなのでしょうか。
      仕組みが違い、別カテゴリで新しく質問させて頂いた方がよろしいのであれば、
      そのように致します。

      よろしくお願い致します。

    2010年3月5日 10:12
    |