信頼関係を設定したときのアクセス権設定

過去2回に渡り、ドメイン間に信頼関係を設定する際の手順について解説してきた。

信頼関係を設定すると、信頼元に指定したドメインから、信頼先に指定したドメインのアカウント情報にアクセスできるようになる。それにより、信頼先ドメインのユーザー/グループを対象としたアクセス権設定も可能になる。

信頼先ドメインのユーザーに対するアクセス権の設定

アクセス権の設定を行う場面でもっとも多いのは、共有フォルダのアクセス権と、ファイル/フォルダのアクセス権設定だろう。そのほか、Active Directoryオブジェクトについてもアクセス権設定が可能だ。

いずれの場面でも、プロパティ画面の[セキュリティ]タブでアクセス権の設定対象となるユーザー/グループを選択する際に、検索対象として自ドメインだけでなく信頼先ドメインも選択できる。まず、設定対象となるユーザー/グループがある場所として信頼先ドメインを選択してから、そこに所属するユーザー/グループを選択する、という手順になる。

[認証の選択]を指定していた場合の挙動(W2K3～)

なお、Windows Server 2003以降では、信頼関係を設定する際に[ドメイン全体の認証]と[認証の選択]のいずれを選択していたかで、場所の選択操作を行う際の挙動に違いが生じる。

[ドメイン全体の認証]を選択していた場合、Windows 2000 Server以前と同様、直ちに信頼先ドメインのアカウント情報にアクセスできる。それに対して、[認証の選択]を選択していた場合、信頼先ドメインに対して管理者権限を持つユーザーの資格情報(ユーザー名とパスワード)を指定しなければ、アカウント情報にアクセスできない。

信頼元と信頼先の違い

信頼関係が片方向の場合、場所の選択を行えるのは信頼元ドメイン(出力方向の信頼を設定したドメイン)に限られる。また、選択の対象は自ドメインと信頼先に指定したドメインだけだ。

信頼先(入力方向の信頼を設定したドメイン)でアクセス権の設定を行う場合、自ドメインのユーザー/グループだけが対象になる。これは信頼関係の概念からいって当然の挙動だ。そのため、相互に相手ドメインのアカウント情報にアクセスできるようにするためには、信頼関係を双方向に設定する必要がある。

蛇足をひとつ

最後に、信頼関係の話と直接的な関係はないのだが、ヒントになりそうな話をひとつ書いておこう。

特に信頼関係の設定では、立て続けに異なるドメインのドメインコントローラを行ったり来たりしながら設定することになるため、設定対象を間違えると面倒なことになる。信頼関係を設定した後の、アクセス権の設定でも事情は同じだ。

そこで混乱を避けるためには、事前に「このドメインからこのドメインを信頼する」という信頼関係の構成図を書いておくと、それを参照しながら設定できるため、たとえば方向を間違えるようなミスを減らせると思う。また、Windows 2000 Server以前であれば、信頼パスワードも事前に決めておき、それも構成図に書いておく。

また、設定対象となるドメイン、あるいはコンピュータを間違えないようにする必要もある。既定の状態ではすべてのコンピュータのデスクトップが同一のデザインになってしまい、ログオンしただけでは区別が難しい。

もっとも手軽で便利な方法は、ドメイン名とコンピュータ名を大書した壁紙を「ペイント」か何かで作成して、デスクトップに表示させておく方法だろう。だまされたと思って試してみていただきたい。