none
ドメイン移行中のアクセス権について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADMTを使用してドメイン移行実施中です。移行中は新旧ドメインはともに稼働中です。
    この場合のファイルサーバへのアクセス認証の流れを教えてください。

    旧ドメインのADはWin2k3環境です。新ドメインのADはWindows2008となります。
    また、移行に際し、両ドメインは双方向での信頼関係を設定しています。
    ユーザ及びグループはSID履歴を残す形でADMTにて移行しました。

    ファイルサーバはまだ旧ドメインに所属しており、既存のアクセス権に変更は加えておりません。

    (平行運用中の為)

    上記環境にて
    移行した新ADのドメインアカウントで、ファイルサーバへアクセスする際の認証等の流れを教えていただけますか。
    例:新ADドメインアカウント→旧ドメインアカウントアクセス権があるフォルダへのアクセス

    新ADドメインアカウントは旧ドメインアカウントのSIDを履歴として持つ為

    旧ADへの認証は発生せず、ファイルサーバへアクセスが可能

    ※新ADへの認証は発生するのでしょうか。

    勉強不足、説明不足な点があるかと思いますが、宜しくお願いします

    • 移動 星 睦美 2011年3月8日 4:02 ADに関する内容 (移動元:Exchange Server 2007)
    2011年3月7日 9:06
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    話を分かりやすくするために、必ずしも正確ではありませんが次のように理解していただければと思います。

    ADMTを使用して旧ドメイン(A)のユーザーBobを、新ドメイン(B)に移行します。

    BobのSIDはドメインが変わったため当然新規作成されます。

    その際に、Bobには新しい属性項目である、SID Historyが付与され、前SIDが値として入ります。

    BobはBドメインアカウントでドメインBにログオンします。

    A→Bで信頼関係を結んでいます。

    BobはAドメインにある資源にアクセスする際にセキュリティトークン(実際にはPAC)を渡しますが、その中にSID History情報を含んでいるためアクセス可能になります。(ただし、SIDフィルタは無効にしておく必要がありますね)

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年3月9日 1:00
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    話を分かりやすくするために、必ずしも正確ではありませんが次のように理解していただければと思います。

    ADMTを使用して旧ドメイン(A)のユーザーBobを、新ドメイン(B)に移行します。

    BobのSIDはドメインが変わったため当然新規作成されます。

    その際に、Bobには新しい属性項目である、SID Historyが付与され、前SIDが値として入ります。

    BobはBドメインアカウントでドメインBにログオンします。

    A→Bで信頼関係を結んでいます。

    BobはAドメインにある資源にアクセスする際にセキュリティトークン(実際にはPAC)を渡しますが、その中にSID History情報を含んでいるためアクセス可能になります。(ただし、SIDフィルタは無効にしておく必要がありますね)

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年3月9日 1:00
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、いつもアドバイスありがとうございます。

    リソースへのアクセスを行う際には認証も含めて様々なやり取りが行われます、また、その時の条件によっても動作が異なってくるため、簡単にお答えできる内容ではなかったと思いますが、案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    下記の情報なども参考にしていただければと思います。

    - 参考情報
    Windows 2000 ドメイン移行ガイド
    http://technet.microsoft.com/ja-jp/library/bb727125.aspx

    --- 抜粋 ---
    認証とアクセス トークン

    Windows NT セキュリティ モデルの重要な要素の 1 つに認証があります。ユーザーは、通常、ユーザー名とパスワードという形で資格情報を提示することにより、ドメインに対して識別されます。
    この資格情報が受け入れられると、システムは、そのユーザーに対するアクセス トークンを作成します。アクセス トークンには、ユーザーの SID (プライマリ SID) と、ユーザーが所属するすべてのドメイン グループの SID が含まれます。
    たとえば、アプリケーションを実行するなどしてユーザーが作成したすべてのプロセスは、そのユーザーのアクセス トークンを持ちます。

    システムは、ユーザーにシステム リソースへのアクセスを承認するかどうかをアクセス トークンを使って決定します。
    ------------

    Windows 2000 フォレスト間のリソース共有
    http://technet.microsoft.com/ja-jp/library/dd125281.aspx

    異なるフォレストのリソースにアクセスする
    http://technet.microsoft.com/ja-jp/library/cc772808(WS.10).aspx


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年3月17日 2:16
    |
    モデレータ