会議用のPCとして、社員の誰でも使えるPCを用意しています
PCはドメインに所属させず、共有フォルダにログインする際に表示される認証画面で、自分のアカウント情報を入力することで権限のあるファイルを見れるようにする、という運用をしていました
最近サーバー移行などで環境変更をおこなったのですが、その際に認証画面は表示されるものの共有フォルダへアクセスできなくなってしまって沼りかけたので、その時のバトルをここに記録しておきます
原因調査
①ネットワークの問題はないか
こちらはファイルサーバーへpingできることと、認証画面が表示されていることから問題ないことがわかりました
②認証情報は間違っていないか
ドメイン参加していないPC上では、共有フォルダに接続するときに[NETBIOS名]\[ユーザー名]で認証情報を入力する必要があります
例 server01\Mazesoba
今回はちゃんと入れてたので、これも違いそうです
ユーザーIDとパスワードも個人PC(ドメイン参加している)ではログインできたので、打ちミスでもありませんでした
上記いずれかだと思っていたので結構手詰まりしてしまったのですが、しばらく色々やってみるとアクセスできるユーザーもいることに気が付きました
アクセスできるユーザーとアクセスできないユーザーの違いは、
“ADで設定したログオン先に会議室PCが登録されているかどうか”でした
今回のサーバー移行の際に、セキュリティ対策として各ユーザーがログインできるPCを本人に割り当てたPCのみにしよう、と設定したことが思わぬ落とし穴となっていました
対策
ADで各ユーザーのログオン先にコンピューター名を追加します
①ADにログインします
②Active Directoryユーザーとコンピューターを開きます
③対象のユーザーをダブルクリックしてプロパティを開きます
④[アカウント]タブの[ログオン先]を開きます
⑤「次のコンピューター」にコンピューター名を追加入力します
今回の例だと会議室PCのコンピューター名を追加します
※ もしログオン先制限をしないのであれば、すべてのコンピューターに変更してください
※ 認証を通したいユーザーが複数いる場合は、コンピューター名の登録作業がそれぞれで必要です
まとめ
会議室PCは全社員が対象になるので全ユーザーにコンピューター名を入れなければならず、めんどい作業でした
調べた感じコツコツ入力する以外の方法が見つからなかったのでこれから設定される方は根気強く頑張ってください
サーバー移行時にセキュリティ的にログオン先を細かく指定したほうが良いと思い、設定を変更したのですがこんなところに波及するとは思っていませんでした
ログオン先設定は、”アカウントがログインできるPC”の設定だと思っていたので共有フォルダの認証にも影響するとは思っていなかったのです
ログオン先設定の実態は、”このPC上での認証を許可する”設定と考えていたほうが良いと思います
本当はログオン先のデフォルト設定は”すべてのコンピューター”なのでそれが一番楽なんでしょうね
余談ですが、社内webツール等でAD認証の仕組みを使っている場合は共有フォルダと同様の事象が発生するので、ログオン先設定している場合は、AD認証が絡む全てに影響がないか十分注意してください
コメント