質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

Q&A

1回答

302閲覧

ActiveDirectoryの設定について

pfclcu

総合スコア0

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

0グッド

0クリップ

投稿2021/06/11 23:43

ActiveDirectoryの管理初心者です。
設定がうまくできません。皆様の、お知恵を拝借したく、よろしくおねがいします。

●フォルダ構成
本社共有ー総務部
ー経理部
ー営業部
共有フォルダの直下にはファイル、
各部フォルダの配下にはサブフォルダとファイルがあります

●やりたいこと
総務部の庶務Aさん、Bさんに全てのフォルダ、ファイルに対して編集権限付与(庶務グループ作成済み)
各部のメンバーは共有フォルダ配下のファイル閲覧権限と各部フォルダの閲覧権限を付与
他部のフォルダの中身は閲覧不可としたい
※総務部は多数メンバーがいるため庶務以外の別グループを作ることはメンテナンスの観点からも現実的でない

●やったことの概要と困っていること
総務部を編集(アクセス)拒否、
総務部に所属している庶務メンバーのみ編集(アクセス)許可
とすると総務部で編集拒否しているため庶務も編集(アクセス)できませんでした。
そこで総務部は編集(アクセス)拒否を明示的に行わず(許可も拒否も行わない)、庶務のみ編集(アクセス)許可としたところ、総務部メンバーが他部門のフォルダにアクセスできてしまいます。編集はできないようでした。

また、権限付与がうまく当たりません。
例えば私に総務部メンバー権限付与してもgpresultで確認すると総務部権限が当たっていないです。
gpupdate/forceをかけて再起動しても変わらず、何十回かやっていると稀に更新される感じです。

●質問
①明示的に拒否設定を入れない場合のアクセス権限はどうなるのか?

②上手く設定するにはどうしたら良いか?

③なぜうまく設定が入らない(各部メンバーになりすましができない)のか?

ーーーーーーーーー
以下詳細
実際の構成
★共有フォルダ
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否

(総務部グループ)
フォルダ、ファイルの閲覧許可
※1

(経理部グループ、営業部グループ)
フォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルの編集拒否

★総務部フォルダ:継承無効化
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否

(総務部グループ)
フォルダ、サブフォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
※2

(経理部グループ、営業部グループ)
フォルダ、サブフォルダ、ファイルのフルアクセル拒否

★経理部フォルダ:継承無効化
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否

(総務部グループ)
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
※3

(経理部グループ)
フォルダ、サブフォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルの編集拒否

(営業部グループ)
フォルダ、サブフォルダ、ファイルのフルアクセル拒否

どなたかアドバイスください。
よろしくおねがいします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

Windowsのアクセス権は、
・何も設定していなければ拒否
・許可だけを設定していれば許可
・拒否を設定していれば(許可を設定していても)拒否
です。

なので

総務部は編集(アクセス)拒否を明示的に行わず(許可も拒否も行わない)、庶務のみ編集(アクセス)許可

こちらが正しい設定のはずですが、

他部門のフォルダにアクセスできてしまいます。編集はできないようでした。

というのであればその「他部門のフォルダ」に何らかの許可設定がされているのでしょう。上からの継承を含め不要なものを探して消してください。

また、権限付与がうまく当たりません。

例えば私に総務部メンバー権限付与してもgpresultで確認すると総務部権限が当たっていないです。

こちら分かりません。ただ「私に総務部メンバー権限付与」という言葉の意味が分かりません。具体的に何を行ったのでしょうか。
できることは
・ActiveDirectoryで「私を総務部のメンバーにする」
・Windowsの特定のフォルダ/ファイルで「総務部のメンバーに対する権限を付与」
です。

投稿2021/06/12 05:52

ikadzuchi

総合スコア3047

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pfclcu

2021/06/12 12:12

回答ありがとうございます! 基本の権限設定を理解しました。 設定を見直したのですが、やはり総務部の庶務以外のメンバーも他の部のフォルダの中身が見えてしまいます… 継承は切ってそのまま権限を残す(権限設定を消さない) そこから総務部に関係するアクセス権限はすべて削除しています。 親フォルダでどんな設定をしていても継承を切ったら見れないはずですよね? >こちら分かりません。ただ「私に総務部メンバー権限付与」という言葉の意味が分かりません。具体的に何を行ったのでしょうか。 私は総務部、経理部、営業部以外の部署なのですが上記のアクセス権限を確認するために、総務部メンバーになりすましたかったです。 そこで総務部グループに私を所属させたのですがフォルダの表示がおかしく、gpresultをかけてると総務部グループが表示されません。gpupdate後パソコンを再起動しても総務部兼務状態になりませんでした…
ikadzuchi

2021/06/13 06:55

> 親フォルダでどんな設定をしていても継承を切ったら見れないはずですよね? はい、そのはずです。不可解ですね。 > 総務部グループに私を所属させた なるほど。グループ所属自体がうまくいっていないのですかね。これはちょっと分かりませんね…。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問