web-dev-qa-db-ja.com

新しく承認されたサーバーフォルダーにアクセスするために必要な最小限のアクションは何ですか

私は正しい場所(正しいスタック交換ウェブサイト)にいることを願っています。そうでない場合は、正しいものを教えてください。

アクセス権のないActiveDirectoryグループに追加することで、Windowsサーバー上のフォルダーに対する新しい権限を取得しました。

しかし、私には権限がありましたが、フォルダにアクセスできませんでした。アクセスするには、ログアウト/ログインする必要がありました。

なぜそうなのか?私が誰であるかに従って私を承認するのがサーバーである場合、なぜそのフォルダーにアクセスするためにマシンの再起動(またはログオフ/ログイン)が必要なのですか?

そのフォルダにアクセスするために行う必要のある最小限のアクションは何ですか?絶対にログオフ/ログインする必要がありますか?

3
Eric Ouellet

古いテキストですが、プロセスを説明しているので、 アクセス制御でのセキュリティグループの使用方法 を参照してください。ログオフ/ログインが発生すると、トークンが更新されます

ユーザーまたはグループにプリンターやファイル共有などのリソースへのアクセス許可が与えられると、ユーザーまたはグループのSIDがアクセス制御エントリ(ACE)に追加され、リソースの随意アクセス制御リストで許可された許可が定義されます。 (DACL)。 Active Directoryドメインサービスでは、各オブジェクトには、その特定のオブジェクトまたはそのオブジェクトの属性へのアクセスを定義するDACLを格納するnTSecurityDescriptor属性があります。 Active Directoryドメインサービスのオブジェクトへのアクセス制御の設定の詳細については、「ActiveDirectoryドメインサービスのオブジェクトへのアクセスの制御」を参照してください。

ユーザーがWindows 2000ドメインにログオンすると、オペレーティングシステムはアクセストークンを生成します。このアクセストークンは、ユーザーがアクセスできるリソースを決定するために使用されます。ユーザーアクセストークンには、次のデータが含まれています:

ユーザーSID。

ユーザーがメンバーになっているすべてのグローバルおよびユニバーサルセキュリティグループのSID。

ネストされたすべてのグローバルおよびユニバーサルセキュリティグループのSID。

このユーザーに代わって実行されるすべてのプロセスには、このアクセストークンのコピーがあります。

ユーザーがコンピューター上のリソースにアクセスしようとすると、ユーザーがリソースにアクセスするためのサービスは、ユーザーのログオン時に作成されたアクセストークンに基づいて新しいアクセストークンを作成することにより、ユーザーになりすます。この新しいアクセストークンには、次のSIDも含まれます。

ユーザーがメンバーになっているターゲットドメイン内のすべてのドメインローカルグループのSID。ユーザーがメンバーになっているターゲットコンピューター上のすべてのマシンローカルグループのSID。サービスはこの新しいアクセストークンを使用して、リソースへのアクセスを評価します。アクセストークンのSIDがDACLのいずれかのACEに表示される場合、サービスはユーザーにそれらのACEで指定されたアクセス許可を付与します。

5
yagmoth555

しかし、私には権限がありましたが、フォルダにアクセスできませんでした。アクセスするには、ログアウト/ログインする必要がありました。

これが予想される動作です。

そのフォルダにアクセスするために行う必要のある最小限のアクションは何ですか?絶対にログオフ/ログインする必要がありますか?

AFAIK、はい。

4
joeqwerty

追加情報と同じように...

ペルフェナジンから ars technica

「許可」の意味によって異なります。 NTFSアクセス許可を意味しますか?もしそうなら、それらはすぐに有効になります。 ADオブジェクトに対するアクセス許可を意味しますか?これには、レプリケーション間隔(数分)が必要です。グループメンバーシップを変更したということですか?認証時に受信したKerberosチケットにグループメンバーシップが追加されるため、これには常にログオフ/ログオンが必要です。

2
Eric Ouellet