このトピックでは、Active Directory (AD) ドメインアカウントを使用して、Windowsクライアントにサーバーメッセージブロック (SMB) ファイルシステムをマウントする方法について説明します。 このトピックでは、ADドメインアカウントを使用して、SMBファイルシステム内のファイルおよびディレクトリのアクセス制御リスト (ACL) を表示および構成する方法についても説明します。
前提条件
SMBファイルシステムのマウントターゲットは、ADドメインに参加しています。 詳細については、「SMBファイルシステムのマウントターゲットをADドメインに追加する」をご参照ください。
背景情報
SMBファイルシステムのマウントターゲットをADドメインに参加させる前に、SMBファイルシステムをマウントして、匿名ユーザーとしてのみ使用できます。 SMBファイルシステムのマウントターゲットをADドメインに結合した後、SMBファイルシステムへの匿名アクセスを許可するかどうかを指定できます。
SMBファイルシステムで匿名アクセスが許可されている場合は、ADドメインアカウントを使用して、Kerberos認証に基づいてSMBファイルシステムにアクセスできます。 Everyoneグループに属するアカウントを使用して、New Technology LAN Manager (NTLM) 認証に基づいてSMBファイルシステムにアクセスすることもできます。
SMBファイルシステムで匿名アクセスが許可されなくなった場合は、ADドメインアカウントを使用して、Kerberosを使用して認証されたWindowsクライアントにSMBファイルシステムをマウントする必要があります。
方法1: WindowsクライアントをADドメインに参加させ、WindowsクライアントにSMBファイルシステムをマウントする
次の手順では、WindowsクライアントをADドメインに参加させ、WindowsクライアントにSMBファイルシステムをマウントする方法について説明します。 この例では、Windows Server 2012が使用されます。
WindowsクライアントのDNSサーバーのIPアドレスを設定します。
Windowsクライアントにログオンします。
デスクトップの左下隅で、開始をクリックします。
では、開始メニューで、コントロールパネルをクリックします。
では、コントロールパネルウィンドウ、を選択します。
では、アクティブなネットワークを表示するのセクションネットワークと共有センターダイアログボックスで、イーサネットをクリックします。
では、イーサネットステータスダイアログボックスで、プロパティをクリックします。
では、この接続は以下のアイテムを使用しますのセクションイーサネットのプロパティダイアログボックスで、インターネットプロトコルバージョン4 (TCP/IPv4)をクリックし、プロパティをクリックします。
[インターネットプロトコルバージョン4 (TCP/IPv4) プロパティ] ダイアログボックスで、[次のDNSサーバーアドレスを使用] を選択し、DNSサーバーアドレスをADドメインサーバーのIPアドレスに設定します。
コマンドプロンプトでpingコマンドを実行します。 IPアドレスをPingして、WindowsクライアントとADドメイン間の接続を確認します。
WindowsクライアントをADドメインに参加させます。
では、コントロールパネルウィンドウ、を選択します。
では、コンピュータ名、ドメイン、ワークグループの設定のセクションシステムダイアログボックスで、設定の変更をクリックします。
[コンピュータ名] タブのシステムのプロパティダイアログボックスで、変更をクリックします。
[コンピューター名 /ドメインの変更] ダイアログボックスの [メンバー] セクションで、ADドメイン名を入力します。 [OK] をクリックして設定を完了します。
変更した設定を有効にするには、Windowsクライアントを再起動します。
SMBファイルシステムをWindowsクライアントにマウントします。
ADドメインユーザーとしてWindowsクライアントにログオンします。 コマンドプロンプトで次のコマンドを実行して、WindowsクライアントにSMBファイルシステムをマウントします。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare
方法2: WindowsクライアントをADサーバーに接続し、SMBファイルシステムをWindowsクライアントにマウントする
次の手順では、Windowsクライアント用にDNSサーバーを構成し、クライアントをADサーバーに接続し、クライアントにSMBファイルシステムをマウントする方法について説明します。 この例では、Windows Server 2012が使用されます。
WindowsクライアントのDNSサーバーのIPアドレスを設定します。
Windowsクライアントにログオンします。
デスクトップの左下隅で、開始をクリックします。
では、開始メニューで、コントロールパネルをクリックします。
では、コントロールパネルウィンドウ、を選択します。
では、アクティブなネットワークを表示するのセクションネットワークと共有センターダイアログボックスで、イーサネットをクリックします。
では、イーサネットステータスダイアログボックスで、プロパティをクリックします。
では、この接続は以下のアイテムを使用しますのセクションイーサネットのプロパティダイアログボックスで、インターネットプロトコルバージョン4 (TCP/IPv4)をクリックし、プロパティをクリックします。
[インターネットプロトコルバージョン4 (TCP/IPv4) プロパティ] ダイアログボックスで、[次のDNSサーバーアドレスを使用] を選択し、DNSサーバーアドレスをADドメインサーバーのIPアドレスに設定します。
コマンドプロンプトでpingコマンドを実行します。 IPアドレスをPingして、WindowsクライアントとADドメイン間の接続を確認します。
SMBファイルシステムをWindowsクライアントにマウントします。
Windowsクライアントのコマンドプロンプトで次のコマンドを実行して、SMBファイルシステムをADドメインユーザーとしてマウントします。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD上記のコマンドでは、
EXAMPLE.comは構築したADドメインの名前です。
SMBファイルシステムのACLの管理
ACL機能を有効にし、SMBファイルシステムをADドメインユーザーとしてマウントした後、次の方法を使用して、ファイルとディレクトリのACLを表示および編集できます。
mklinkコマンドを実行してSMBファイルシステムをマウントします
mklinkコマンドを実行して、SMBファイルシステムのマウント対象のシンボリックリンクをWindowsクライアントのローカルディスクに作成できます。 ファイルとディレクトリのACLを表示および編集することもできます。
コマンドプロンプトを使用して、ファイルシステムのマッピングを作成します。
mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare上記のコマンドでは、
\myshareはシンボリックリンクが指すファイルシステムパスであり、nas-mount-target.nas.aliyuncs.com\myshareはSMBファイルシステムのマウントターゲットです。共通ユーザーにシンボリックリンクの使用権限を付与します。
管理者アカウントを使用する場合は、この手順をスキップします。
システム管理者としてsecpol.mscを検索して実行します。
[ローカルセキュリティポリシー] ウィンドウで、[ローカルポリシー] > [ユーザー権利の割り当て] を選択します。 プロンプトに従って、指定したユーザーを [シンボリックリンクの作成] 権限グループに追加します。
共通ユーザーとしてWindowsクライアントに再度ログオンします。
SMBファイルシステムにアクセスし、ファイルとディレクトリのACLを表示します。
シンボリックリンクが作成されると、Windowsのローカルディスクのサブディレクトリにアクセスするのと同じ方法でSMBファイルシステムにアクセスできます。 ファイルとディレクトリのACLを表示および編集することもできます。
Windowsファイルエクスプローラーを使用して、ファイルとディレクトリのACLを表示および編集します
SMBファイルシステムのマウントターゲットのシンボリックリンクをWindowsクライアントのローカルディスクに作成した後、Windowsファイルエクスプローラーを使用してファイルとディレクトリのACLを表示および編集できます。
ファイルまたはディレクトリを右クリックし、[プロパティ] を選択します。
[プロパティ] ダイアログボックスで、[セキュリティ] タブをクリックし、[編集] をクリックします。
[シンボリックリンク権限の作成] ダイアログボックスで、[ユーザーまたはグループの追加] をクリックし、プロンプトに従って情報を指定します。
ローカルディスクのディレクトリに戻る必要がある場合は、戻るアイコン (図の1) または上アイコン (図の2) をクリックします。 パスバーのパスのセクションをクリックしないでください (図の3) 。
ファイルエクスプローラーを使用してSMBファイルシステムにアクセスする場合、SMBファイルシステムはADドメインに参加していません。 ローカルディスクのパス (C:\myshareなど) の代わりにネットワークパス (\nas-mount-point.nas.aliyuncs.com\myshareなど) を使用してSMBファイルシステムにアクセスすると、エラーが発生します。 ACLを設定すると、クライアントはマウントターゲットがADドメインに参加しているかどうかを判断できません。 このエラーは、リモートプロシージャコール (RPC) サーバーが使用できないために発生します。
Windowsファイルエクスプローラーを使用してC:\myshareのアクセス許可を変更した場合、新しいアクセス許可はファイルシステムのルートディレクトリに適用されません。 ルートディレクトリの権限を変更するには、PowershellでSet-Acl PowerShellまたはicaclsコマンドを実行する必要があります。
PowerShellコマンド
PowerShellでGet-AclおよびSet-Aclコマンドを実行して、SMBファイルシステム内のファイルおよびディレクトリのAclを表示および編集できます。
$value = Get-Acl -Path "Z:"# Set properties $value.Access
Set properties $identity = "Administrator" $fileSystemRights = "FullControl" $type = "Allow" # Create new rule $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList # Apply new rule $value.SetAccessRule($fileSystemAccessRule) $value.Access
icaclsコマンド
コマンドプロンプトでicaclsコマンドを実行して、ACLを管理できます。 icaclsコマンドを実行して、ファイルとディレクトリのACLを表示および編集できます。
例:
icacls z:
#Grant full control permissions to a user.
icacls z: /grant <username>:(F)
#Grant full control permissions to the administrator.
icacls z: /grant administrator:(F)
icacls z:
#Revoke all permissions from a user.
icacls z: /remove <username>
#Revoke all permissions from all users.
icacls z: /remove <username>
icacls z:
