none
AD環境でのフォルダアクセス権限が正常に機能しない RRS feed

  • 質問

  • はじめまして。
    これまでのWorkgroup環境からAD環境を新規で構築してクライアントをドメイン参加したのですが、ユーザー専用フォルダの権限が一部のユーザーだけ機能していないという状況になってしまいました。
    調査すべき点などありましたらアドバイスをいただけますでしょうか。

    作業概要:
     ・ADサーバーは1号機、2号機を設置しています。(2003R2 Standard sp2)
      クライアントはXP Pro sp2です。
     ・1号機で「サーバーの役割管理」からAD機能、DNS機能を追加後、設定して名前解決ができることを確認しました。
     ・ユーザーのグループとアカウント登録を行いログイン用アカウント、パスワード、グループ割当を行いました。
     ・2号機を追加ADとして設定してユーザーの環境とDNSの名前解決ができることを確認しました。
     ・1号機に全社共用フォルダと個人専用フォルダを作成するための親フォルダを作成しました。(D:\share)これには共有設定をしておらず、
      プロパティのセキュリティタブでは下記を許可設定しています。
       ・Administrators(INTRA\Administartors) フル 対象:このフォルダ、サブフォルダおよびファイル
       ・Users(INTRA\Users) 読み取りと実行 対象:このフォルダおよびファイル
       ・Users(INTRA\Users) ファイルの作成とデータの書込み、フォルダの作成とデータの追加 対象:このフォルダおよびファイル
     ・個人専用フォルダとしてD:\share配下にpersonalfフォルダを作成してここを共有にしました。フォルダプロパティのアクセス権には、
      AdministratorsとDomainUsersにフル を設定しました。
     ・2号機に対しても同様のフォルダを作成しました。
     ・1号機と2号機でD:\share\personalfを複製させるため1号機から複製機能を設定しました。
       -分散ファイルシステムを使用しました
       -メインを1号機に指定してメッシュ型で複製を有効にしました。(運用上はクライアントは1号機に対してネットワークドライブを割当てます)
       -分散ファイルシステムが有効になっていることを確認しました。
     ・ フォルダpersonalf配下にユーザーの氏名(全角)でフォルダを作成してフォルダプロパティのセキュリティタブにはAdministratorsと
      各ユーザーアカウントにフル を設定しました。
     ・1号機と2号機で複製処理が開始されていることを確認しました。
     ・クライアントを起動してドメインに参加しました。
       -マイコンピュータのプロパティのコンピュータ名タブの変更からドメイン名を指定しこれと同じ値を詳細ボタンを押した先にある
        DNSサフィックスに登録して再起動した後、ドメインログオンできることを確認しました。
       -ユーザープロファイルをコピーする必要があるので、再起動後、ローカルのAdministartorでログインしてシステムのプロパティ内にある
        プロファイルのコピー機能でローカルアカウントからドメインアカウントにコピーしました。
       -しかし、エラーになるユーザーもいたため、エクスプローラーでC:\Documents and Settings\ローカルアカウント配下全て -> 
        C:\Documents and Settings\ドメインアカウント にコピーしたユーザーもいます。
        なお、今回問題になっているユーザーはプロファイルコピー方法に関係なく両方で発生しています。
     ・再起動後、ドメインでログインした後、個人用フォルダの操作を確認しましたが、全員フォルダを開くことはできましたが
      作成は全くできませんでした 。
      なお、中のフォルダやファイルを開くことができるかは確認できておりません。
     ・トラブルが起きている内の1台ですが、クライアント上でgpupdate /force を実行して再起動後確認しましたがだめでした。

    以下、参考情報です。
     ・クライアント上で何かエラーが出ているか確認したところ、アプリケーションイベントにイベントID1058(gtp.iniにアクセスできません。
      アクセスが拒否されました)とイベントID1030(グループポリシーオブジェクトの一覧を照会できませんでした)が出ており、
      ドメインログイン時に必ず出ています。
     ・サーバー上でDFSサービスは起動しています。

    お手数ですがよろしくお願いいたします。

    2009年10月8日 3:03

回答

  • YONB さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少し状況を確認させていただきたいのですが、サーバー上の "D:\share\personalf" フォルダを共有フォルダとして設定し、その配下に各ユーザー毎のフォルダを作成したが、読み込みは OK でも、書き込みが NG という結果になったという事でしょうか?

    もしその認識で間違いなければ、共有フォルダの "共有" アクセス権が "everyone:読み取り" になっている可能性がありそうです。
    (Windows Server 2003 では既定の設定になります)

    - 参考情報
    ネットワーク共有に接続しようとすると、アクセス拒否エラーが発生する
    http://support.microsoft.com/kb/214759/ja

    NTFSアクセス権(NTFS Permissions)
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040324/2/

    2つのアクセス許可
    http://piyopiyoko.hp.infoseek.co.jp/2000Pro/access/kyoyu/kiso.html


    もし上記認識に間違いがありましたら、お気軽にその旨をお知らせいただければと思います。
    (その際には発生したエラーなどもお知らせいただければと)


    それでは、こちらの情報が少しでもお役にたてれば幸いです (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2009年10月28日 4:53
    2009年10月14日 9:34
    モデレータ

すべての返信

  • YONB さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少し状況を確認させていただきたいのですが、サーバー上の "D:\share\personalf" フォルダを共有フォルダとして設定し、その配下に各ユーザー毎のフォルダを作成したが、読み込みは OK でも、書き込みが NG という結果になったという事でしょうか?

    もしその認識で間違いなければ、共有フォルダの "共有" アクセス権が "everyone:読み取り" になっている可能性がありそうです。
    (Windows Server 2003 では既定の設定になります)

    - 参考情報
    ネットワーク共有に接続しようとすると、アクセス拒否エラーが発生する
    http://support.microsoft.com/kb/214759/ja

    NTFSアクセス権(NTFS Permissions)
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040324/2/

    2つのアクセス許可
    http://piyopiyoko.hp.infoseek.co.jp/2000Pro/access/kyoyu/kiso.html


    もし上記認識に間違いがありましたら、お気軽にその旨をお知らせいただければと思います。
    (その際には発生したエラーなどもお知らせいただければと)


    それでは、こちらの情報が少しでもお役にたてれば幸いです (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2009年10月28日 4:53
    2009年10月14日 9:34
    モデレータ
  • YONB さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    YONB さんがこちらの質問を投稿されてから少し時間が経ちましたが、その後の状況はいかがでしょうか?
    弊社の三沢健二が紹介しました情報は、ご確認いただけましたでしょうか?

    YONB さんの現在の状況が気になるところなのですが、、、今回、1つの確認ポイントとして、弊社の三沢の回答が参考になるのではないかと思いましたので、勝手ながら、私の方で [回答としてマーク] のチェックを付けさせていただきました。
    もし YONB さんの方でまだ疑問が残っているようでしたら、遠慮なく [回答としてマーク] のチェックを外して返信してください。 (^^)

    また何か困ったことがありましたら、ぜひ TechNet フォーラムをご利用いただければと思います。
    今後とも、よろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年10月28日 4:57