答えてねっと for Business MVP自らの質問文（２）

（質問）

Windows Server 2008 (x64)をサーバーとしたファイル共有について

 

社内Windows Server 2008 (x64)をサーバーとしたファイル共有において、Administratorsグループにアクセス権のあるフォルダにAdministratorsに属するユーザーがアクセスできないという現象が発生している。

------------------------------------------------------------
ファイルサーバー(File-Srv)の構成
・Windows Server 2008 Standard (x64)
・共有フォルダ：Public(Administrators:フルコントロール、拒否の設定はありません)
・ユーザーアカウント
　Administrator(ビルトイン管理者、Administratorsに所属)
　Admin(後で作成したユーザー、Administratorsに所属)
・UAC有効
------------------------------------------------------------

具体的には、ネットワーク上のWindows XPやWindows VistaからAdminでFile-Srv\Publicにアクセスすると、「ネットワークリソースを使用するアクセス許可がない可能性があります・・・　アクセスが拒否されました。」になってしまいアクセスできない。

以下のいずれかの対処でアクセスできることは確認済み。
・ビルトインAdministratorでアクセスする
・共有フォルダ(Public)のアクセス権にAdmin：フルコントロールを追加する
・ファイルサーバーのUACを無効にする
・ファイルサーバーのOSをWindows Server 2008 Standard (x86)やWindows Vistaにする(当然UACは有効)

Windows Server 2008 (x64)でUACが有効だと、ビルトインAdministrators以外の管理者がAdministratorsグループに許可されたフォルダにアクセスできないような感じだが、社内にWindows Server 2008 (x64)が１台しかないため、仕様なのか、不具合なのか、サーバーのトラブルなのかが切り分けできていない。
ローカルログオンであれば、UACの関係でビルトインAdministratorが特殊な扱いになるのは理解できるが、ネットワーク経由でなぜこのような動作になるのかが分かりません(単なるサーバーのトラブルならいいのですが・・・)。
何か情報をお持ちの方がいらっしゃれば、ぜひご教示いただきたいと思います。

（訂正）
●●●●さん、回答ありがとうございます。

その後こちらでも確認中なのですが、どうもWindows Server 2008 x86でも同様の現象がでるようです。
前回x86では現象がでないといったのは、どうもアクセス権にAuthenticated Usersか何かのアクセス権がついていたようで、その後Administratorsのみのフルアクセスの共有を作成するとx86でもアクセスが拒否されてしまいました。
以下の３つについては間違いなく、いずれかの方法でアクセス可能になります。
・ビルトインAdministratorでアクセスする
・共有フォルダ(Public)のアクセス権にAdmin：フルコントロールを追加する
・ファイルサーバーのUACを無効にする
もう少し確認を行ってみますが、取り急ぎ回答をいただきましたお礼と、前回の情報に一部誤りがあったお詫びを申し上げます。
 

WEB魚拓
http://s01.megalodon.jp/2009-0719-2228-16/www.biz.kotaete-net.net/Default.aspx?pgid=14&qid=220891529107

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

この質問は回答がついている。Windows Server 2008のＵＡＣの仕様である。
 

（質問）

windows2008ファイルサーバ移行後、administratorsでの既存ファイルの上書きが出来なくなった。

 

初めて質問させて頂きます。

 

社内でファイルサーバとして利用していたWINDOWS2000サーバを

WINDOWS2008server機に更新しました。認証形態はWORKGROUPです。

クライアントPCはwindows-XP SP3です。

サーバ更新後、ユーザのクライアントPCからネットワークドライブ接続で従来実行できていた下記の操作ができなくなりました。

 

＊ 毎月administratorsグループユーザを使ってのネットワークドライブ接続後、エクスプローラから

のファイルの上書きコピーができなくなりました。

 

サーバ側のUAC設定が関係しているようで、設定offで運用すれば、従来の操作状況に出来そうですが、昨今のセキュリティ事情ではあまり好ましく有りません。

UAC設定ONの状態を維持したまま、何とか従来の操作状況と同レベルに出来ないでしょうか？

 

 ＜補足＞

(1)administratorsグループのユーザでネットワークドライブ接続し、ファイルを直接開くと該当ファイルは読み取り専用モードで開きます。

(2)同じ操作をファイルサーバにadministratorユーザでネットワークドライブ接続し、行った場合は問題なく上書き、削除など出来ます。

(3)該当フォルダにはntfsアクセス権でadministratorsに対してフルコントロール権限が設定されています。(上位フォルダからの継承)共有アクセス権はeveryone フルコントロール設定です。

(4)試しに上書きできないファイルをadministratorで一旦削除して、その後、administratorsユーザで新しく(新規)コピーする事は出来ます。

(5)新サーバ環境への既存データをコピーした際はadministratorで実行しています。

(6)UAC設定をoffにして再起動するとadministratorと同じ操作が出来ました。

 

以上

 

（回答）

Windows Server 2008でUACが有効であれば、ネットワーク経由でAdministratorsグループのユーザーがアクセスしても標準ユーザーの権限でしかアクセスできませんのでAdministratorsのアクセス権ではなくUsersなどのアクセス権が適用されます。

アクセスするAdministratorsグループのユーザーが決まっているのであれば、そのユーザーに直接フルコントロールのアクセス権を設定するか、専用の管理者用グループを作成しそのグループに対象フォルダのフルコントロールや変更のアクセス権を設定すれば可能だと思います。

 

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/ec14f8ed-028b-4a6b-8c7f-3c7e9b790762

（関連投稿）

http://b.hatena.ne.jp/entry/social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/7e0033fc-40bb-4342-baf4-742d6f8cfd17
Administratorsに属するユーザーがアクセスできない－「ブラント野菜　鬼ヶ島」のIT息子
IT Portal: Windows Server 2008 R2でAdministratorsグループに所属するユーザーをAdministratorユーザーと同じ権限にする

（質問）
Administratorの有効無効の意味

どなたか教えてください。
環境）Win7 Home Premium 64bit版、富士通ESPRIMOデスクトップPC利用
ビルトインAdministratorアカウントを、コマンドで有効・無効化（net user Administrator/active:yes|no )することは、以下の「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する」に記載のUAC機能の有効・無効と同じでしょうか？
また、以下のUAC操作は、具体的にどのように行いますか？
http://windows.microsoft.com/ja-JP/windows7/User-Account-Control-Use-Admin-Approval-Mode-for-the-built-in-Administrator-account
蛇足ながら、素人なので、次のように推測してますが正しいでしょうか？
（１）コマンドによる有効化は、ビルトインAdminを使う必要あるときに設定するもの
（起動画面に表示させ、そのアカウントでWin7内をいじるためのモード）
（２）上記URLの有効化は、ビルトインAdminを使用するときに、通常の標準ユーザーのように管理者承認ステップを踏ませるモード
しかし、だとすると、「ユーザアカウント制御の設定」　との関係がわかりません。
 
（回答）
Windows VistaやWindows 7はUAC機能による安全対策として、管理者としてログインしていても通常は標準ユーザーとして動作し、管理者権限が必要になったときに「管理者への昇格」プロンプトを表示します。
但しビルトインAdministratorだけは、デフォルト設定の状態では常に管理者権限で動作しますので「管理者への昇格」プロンプトが表示されません。
このビルトインAdministratorの動作は示されているURLにある方法で変更することが出来ますが、Home系のエディションではポリシーが使えませんので、行うとすればレジストリの変更になります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemキーの、FilterAdministratorTokenエントリ
また、以下のレジストリでビルトインAdministrator以外の管理者の「管理者への昇格」プロンプトの表示を変更することも可能です。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemキーの、ConsentPromptBehaviorAdminエントリ
ビルトインAdministratorアカウントをコマンドで有効・無効化するのは、認識されているように単純にそのユーザーを有効にしログオン可能な状態にするかどうかだけのことです。
他の管理者アカウントでも「管理者への昇格」プロンプトが表示されるだけでビルトインAdministratorと同じ操作は可能なので、デフォルトで無効に設定されているビルトインAdministratorをわざわざ有効にして使用する必要は通常ないと思いますが、理解した上で使い分けられるのであれば特に問題はないと思います。

http://answers.microsoft.com/ja-jp/windows/forum/windows_7-security/administrator%E3%81%AE%E6%9C%89%E5%8A%B9%E7%84%A1/7999be15-d020-49ad-904b-e84958074f59?msgId=3287aad0-cd25-43d3-93c2-7fd35d148ace