none
異なるドメインのドメインユーザであってもCIFS共有には等しくアクセスが可能でしょうか? RRS feed

  • 質問

  • CIFSアクセス権とNTFSアクセス許可とドメインユーザの関係に関してお尋ねします。

     
    ドメインユーザAで同じドメイン内の共有フォルダにアクセスを行う場合、ドメインユーザAがフルコントロールのアクセス権をもていればCIFSアクセス権を気にすることなくCIFS共有に対して問題なくアクセスできると思っていますが正しいでしょうか?(この場合のフルコントロールとはAdministratorsに所属しているドメインユーザの事だと思っています。)

    もし仮に異なるドメインのドメインユーザが先ほど同じフォルダにアクセスするためにはどのような設定をすればよいのでしょうか?
    たとえば以下の例ではどれが一番近いでしょうか?
    ①異なるドメインであったもフルコントロールのアクセス権をもていれば問題なくアクセスが可能である。
    ②異なるドメインユーザの場合、CIFSアクセス権を与えてもアクセスはできない。
    ③ファイルサーバのローカルにドメイン名¥ユーザIDを登録すれば可能となる。
    ④上記の①~③では無理だが他に方法がある。

    NTFSアクセス権おCIFSアクセス権はとてもややこしく感じますがそれにドメインのしばりが加わるとよく理解できません。

    ご教示いただけたら幸いです。

    2019年9月3日 6:19

回答

  • >別ドメイン(domB)から ドメイン domA 上の共有にアクセスする際の資格情報として「domA\username」という domA の資格情報を利用する

    というのは両ドメインが信頼関係を結んでない場合の話です。

    信頼関係を結んでいるドメインであれば、そのユーザーを NTFS アクセス権の ACL やネットワーク共有アクセス権のリストに直接登録すれば良いのでは。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月4日 4:45
    2019年9月4日 1:41
  • まず CIFSアクセス権とかかれているものは一般的には「ネットワーク アクセス権」と呼びますが、これと NTFS アクセス権は重ね合わせになるので、NTFS アクセス権でフルコントロールの権限を持っているユーザーであってもネットワーク アクセス権がなければその共有にはアクセスできません。

    ドメイン ユーザーの場合はこれらのアクセス権にかかわる認証はドメイン コントローラーで行われますから、異なるドメインのユーザーはそのままでは共有にアクセスできません。書かれている (1) から (3) の方法ではアクセスできないか、そもそもそのような構成ができません。

    別の方法としては

    • ドメイン間で信頼関係を結ぶ
    • 異なるドメインからアクセスする際は別の(共有のあるドメインの)資格情報を使って共有にアクセスする

    などが考えられるでしょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月3日 7:45
    2019年9月3日 6:50
  • はい。資格情報を求めるダイアログや、ネットワーク ドライブ設定の「別の資格情報」で相手先ドメインのユーザーを利用するということです。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月4日 4:45
    2019年9月4日 4:32

すべての返信

  • まず CIFSアクセス権とかかれているものは一般的には「ネットワーク アクセス権」と呼びますが、これと NTFS アクセス権は重ね合わせになるので、NTFS アクセス権でフルコントロールの権限を持っているユーザーであってもネットワーク アクセス権がなければその共有にはアクセスできません。

    ドメイン ユーザーの場合はこれらのアクセス権にかかわる認証はドメイン コントローラーで行われますから、異なるドメインのユーザーはそのままでは共有にアクセスできません。書かれている (1) から (3) の方法ではアクセスできないか、そもそもそのような構成ができません。

    別の方法としては

    • ドメイン間で信頼関係を結ぶ
    • 異なるドメインからアクセスする際は別の(共有のあるドメインの)資格情報を使って共有にアクセスする

    などが考えられるでしょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月3日 7:45
    2019年9月3日 6:50
  • ありがとうございます。

    「異なるドメインからアクセスする際は別の(共有のあるドメインの)資格情報を使って共有にアクセスする」とは簡単な話だとを思いますが、ドメインA,ドメインB,ドメインC,があり、管理者ID:a1234でドメインの異なるCIFS共有にアクセスする場合、結局、管理者ID:a1234をそれぞれのドメインのAD(AD_A),(AD_B),(AD_C)にドメインユーザとして登録すれば良いということですね。

    そう考えると、CIFS共有がネットワーク共有と呼ぶ意味がよく理解できました。

    2019年9月3日 7:45
  • 管理者ID:a1234をそれぞれのドメインのAD(AD_A),(AD_B),(AD_C)にドメインユーザとして登録すれば良いということですね。

    そうではなく、別ドメイン(domB)から ドメイン domA 上の共有にアクセスする際の資格情報として「domA\username」という domA の資格情報を利用するという話です。

    別ドメインのユーザーを NTFS アクセス権やネットワークアクセス権にユーザーとして登録できるのはドメイン間で信頼関係を結んでいる時だけですが、そうなっているドメイン間の話なのでしょうか?


    Hebikuzure aka Murachi Akira

    2019年9月3日 14:00
  • はい、信頼関係を結んでいる異なるドメイン間でフォルダを共有させたいと思っています。

    >別ドメイン(domB)から ドメイン domA 上の共有にアクセスする際の資格情報として「domA\username」という domA の資格情報を利用する

    これを実現させる方法が良く分かっていないのですが、""共有フォルダのプロパティ>共有>詳細な共有>アクセス許可""で、あらかじめ異なるドメインからアクセスさせたいユーザを登録しておけば、「domA\username」という domA の資格情報を利用できようになる。ということで良いでしょうか? (信頼関係を結んでいるドメインであればdomA\username、domB\username、domC\usernameといった別ドメインのユーザが登録可能になる?)

    ごく簡単な手順だとは思いますが、未経験の設計なので理解の乏しい箇所はお許しください。

    2019年9月4日 0:45
  • >別ドメイン(domB)から ドメイン domA 上の共有にアクセスする際の資格情報として「domA\username」という domA の資格情報を利用する

    というのは両ドメインが信頼関係を結んでない場合の話です。

    信頼関係を結んでいるドメインであれば、そのユーザーを NTFS アクセス権の ACL やネットワーク共有アクセス権のリストに直接登録すれば良いのでは。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月4日 4:45
    2019年9月4日 1:41
  • 信頼関係を結んでいるドメインであれば、同じドメイン内の共有のように利用できるということですね。

    信頼関係を結んでいないドメインの場合、

    「別ドメイン(domB)から ドメイン domA 上の共有にアクセスする際の資格情報として「domA\username」という domA の資格情報を利用する」

    ⇒「domA の資格情報を利用する」とは「domAのドメインユーザを利用する」と理解して良いでしょうか?

    2019年9月4日 2:59
  • はい。資格情報を求めるダイアログや、ネットワーク ドライブ設定の「別の資格情報」で相手先ドメインのユーザーを利用するということです。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク Shidox 2019年9月4日 4:45
    2019年9月4日 4:32
  • 理解してしまえばなんら悩むことはないのですが、私が理解できるまで辛抱強く、詳しくご説明頂きありがとうございます。
    2019年9月4日 4:45