none
Win2012管理共有アクセスについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    WindowsServer2012の管理共有について教えてください

    現在、WindowsServer2008R2が稼働しており、WindowsServer2012に更改を予定しております。

    現状ドメインユーザから管理共有へアクセスさせる処理がありますが、WindowsServer2012で試験した場合アクセスできません。

    これは、WindowsServer2012の仕様でしょうか?それとも2012にするとドメインユーザの権限を上げる必要があるのでしょうか?

    ◇現象

    接続ユーザー:Domain\test

    ①Win2008R2→Win2008R2 管理共有 OK

    ②Win2008R2→Win2012 管理共有 NG(更改後)

    ※ローカル管理者権限を使用するとOK(ドメインユーザでの通信は不可です)

    管理共有名:C:\Windows\System32\winevt\Logs

    ※Win2008R2およびWin2012共にUACは無効設定済みです。

    2015年3月14日 2:16
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず管理共有(ここではC$という前提にしますが)ですが、仕様上かならず「そのコンピューターの管理者権限」を持っている必要があります。

    Server 2008ではドメインユーザーでできた、とのことですが、質問者さんの知らないところで、その2008コンピュータ上で「ローカルAdministrators」グループのユーザになっている可能性があります。

    ドメインユーザがローカルAdministratorsグループのメンバーの場合、ローカル管理者と同じ権限をそのドメインユーザだけ振る舞うことができます。一例として「Domain Admins」ユーザ(グループですが)はすべてのドメイン参加したコンピュータのローカルAdministratorsグループのメンバのため、ローカル管理者と同じ振る舞いができます。

    念のため2008コンピュータの[ローカルユーザーとグループ]でAdministratorsグループのメンバに該当するドメインユーザがいるかどうかを確かめ、それと同じような設定(つまり該当ドメインユーザーを2012コンピュータのローカルAdministratorsグループのメンバとする)を行ってみてください。

    2015年3月16日 2:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    LocalAccountTokenFilterPolicy  のレジストリ値を設定する必要があるかもしれません。

    サーバー マネージャーでのリモート管理の構成

    リモート管理が有効になっている場合でも、ビルトイン Administrator アカウント以外のローカル管理者アカウントには、サーバーをリモートで管理するための権限がないことがあります。ビルトイン Administrator アカウント以外のローカル Administrator グループのアカウントでサーバーをリモートで管理できるようにするには、リモート ユーザー アカウント制御 (UAC) の LocalAccountTokenFilterPolicy レジストリ設定を構成する必要があります。

    リモート UAC LocalAccountTokenFilterPolicy レジストリ設定は、Windows Vista のイメージを変更する方法

    2015年3月16日 2:38
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず管理共有(ここではC$という前提にしますが)ですが、仕様上かならず「そのコンピューターの管理者権限」を持っている必要があります。

    Server 2008ではドメインユーザーでできた、とのことですが、質問者さんの知らないところで、その2008コンピュータ上で「ローカルAdministrators」グループのユーザになっている可能性があります。

    ドメインユーザがローカルAdministratorsグループのメンバーの場合、ローカル管理者と同じ権限をそのドメインユーザだけ振る舞うことができます。一例として「Domain Admins」ユーザ(グループですが)はすべてのドメイン参加したコンピュータのローカルAdministratorsグループのメンバのため、ローカル管理者と同じ振る舞いができます。

    念のため2008コンピュータの[ローカルユーザーとグループ]でAdministratorsグループのメンバに該当するドメインユーザがいるかどうかを確かめ、それと同じような設定(つまり該当ドメインユーザーを2012コンピュータのローカルAdministratorsグループのメンバとする)を行ってみてください。

    2015年3月16日 2:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    LocalAccountTokenFilterPolicy  のレジストリ値を設定する必要があるかもしれません。

    サーバー マネージャーでのリモート管理の構成

    リモート管理が有効になっている場合でも、ビルトイン Administrator アカウント以外のローカル管理者アカウントには、サーバーをリモートで管理するための権限がないことがあります。ビルトイン Administrator アカウント以外のローカル Administrator グループのアカウントでサーバーをリモートで管理できるようにするには、リモート ユーザー アカウント制御 (UAC) の LocalAccountTokenFilterPolicy レジストリ設定を構成する必要があります。

    リモート UAC LocalAccountTokenFilterPolicy レジストリ設定は、Windows Vista のイメージを変更する方法

    2015年3月16日 2:38
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、Y_yasu さん
    フォーラムオペレータの佐伯 玲 です。

    その後お二方からお寄せいただけているアドバイスはご確認いただけましたでしょうか?
    ご参考になる情報かと思いますのでお試しいただきその結果をこちらのスレッドへお寄せ下さいね。

    今回は私のほうから「回答としてマーク」とさせていただきましたが
    ご質問後にご参考になりそうな情報が寄せられていた場合には「回答としてマーク」をお願い致しますね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年3月24日 2:40
    |