none
Windows Storage Server 2012のドメイン環境ではNTFSアクセス権が無視されるのでしょうか? RRS feed

  • 問題

  • 初めての質問です。よろしくお願いいたします。

    今まではワークグループ環境でしたが、アクティブディレクトリ環境への移行を進めてます。
    ドメインコントローラはsamba4で立ち上げて、クライアントPC・Windows Storage Server 2012機(以降ファイルサーバ)からドメイン環境のアカウントからのサインインは確認できております。

    ファイルサーバのフォルダ共有ですが、ワークグループ環境では以下の様に設定してアクセス制御を行っており、意図しているアクセス制御ができております。

    • フォルダ共有→everyoneフルコントロール
    • NTFSアクセス権→必要なアカウントに対してフルコントロール、システムで付加されているものもあります。icaclsの結果は以下となっています。
    • DOMAINはドメイン名、FSはファイルサーバ名です。

    C:\>icacls e:\0_folder_sec
    e:\0_folder_sec NT AUTHORITY\SYSTEM:(OI)(CI)(F)
                    BUILTIN\Administrators:(OI)(CI)(F)
                    DOMAIN\administrator:(OI)(CI)(F)
                    FS\user1:(OI)(CI)(F)
                    FS\user2:(OI)(CI)(F)
                    FS\user3:(OI)(CI)(F)
                    FS\Administrator:(OI)(CI)(F)


    1 個のファイルが正常に処理されました。0 個のファイルを処理できませんでした

    ドメイン環境でサインインして上記の0_folder_secにアクセスできてしまいました。ディレクトリ移動・ファイルの閲覧は可能を確認、書き込みは未実施です。NTFSアクセス権が付与されていないので、0_folder_sec以下にはアクセスできないと想定していたのですが、実際の挙動が違っており適切なアクセス権が振れていない状態となっております。

    提示している情報が少なくて申し訳ございませんが、何か手掛かりをご教示いただけないでしょうか。

    よろしくお願いします。


    2019年12月19日 上午 11:26

解答

  • ドメイン環境でサインインして

    ドメイン ユーザーでサインインしているということでしょうか? そのドメインユーザーはどんなドメイン グループに属しているのでしょう?

    Domain Admins のユーザーであれば、そのフォルダーにアクセスできるのは正しい動作ですが。


    Hebikuzure aka Murachi Akira

    2019年12月19日 下午 12:37

所有回覆

  • ドメイン環境でサインインして

    ドメイン ユーザーでサインインしているということでしょうか? そのドメインユーザーはどんなドメイン グループに属しているのでしょう?

    Domain Admins のユーザーであれば、そのフォルダーにアクセスできるのは正しい動作ですが。


    Hebikuzure aka Murachi Akira

    2019年12月19日 下午 12:37
  • お返信ありがとうございます。Domain Adminsの事をご教示いただいて、アクティブディレクトリで設定した内容を見直しました。

    PC貸与者が多数なので、グループポリシーで一時的にローカル管理者権限を持たせる様に設定したのを失念しておりました。おそらくこの設定を権限を持たせない様に設定すれば、今回の問題は解決すると思います。

    アクセスが少ないタイミングで試行しようと思います。

    お忙しいところありがとうございました。

    2019年12月20日 上午 08:02
  • 上記のGPOを修正し、アクセスが少ない状態で確認しました。意図しているアクセスになっていることが確認できました。

    ありがとうございます。

    2019年12月22日 下午 11:48