[samba-jp:18903] Re: ローカルマシンに対するAdministrator権限がなくなる

[kazuhiro gejo]

下篠です。
お返事を下さった皆様、有難うございます。

> > > ■移行前の使用状況
> > > DOMEドメインに参加していたクライアントには、
> > > コントロールパネルからユーザの追加でDOMEドメインのユーザを追加し、
> > > ローカルコンピュータのAdministrator権限を与えてありました。
> > 
> > ということは、Sambaサーバ上に hogehoge というユーザがいて、
> > さらに、同名の hogehoge というユーザがクライアントPC上にも
> > 定義されているということですね。
> 
> DOME\usernameさんを、クライアントPC上にAdministratorsのアクセス権レベル
> で設定したと言うことではないでしょうか。


ちょっと私の言い方が正確ではありませんでした。
例として、コンピュータ名がMyPC001とすると
クライアント側には、元々MyPC001\hogehogeが設定してあり
さらに、DOME\hogehogeをAdmin権限付きで設定していました。
※MyPC001\hogehogeの存在は問題の本質とは関係ないか・・・

移行前にコントロールパネルからユーザアカウントを確認すると
下のようになっていました。（他のユーザ、グループは省略）

移行後、あるログオン時を境に
DOME\hogehogeユーザが消えてしまいました。

ユーザー名  |  ドメイン  | グループ
------------+------------+-------------
hogehoge    | DOME       | Administrator
hogehoge    | MyPC001    | Administrator


> 明示的にアクセス権を設定してあるファイルなどがあれば、ドメインからユーザー
> が無くなると、ユーザー名では無く、SIDが表示されるようになるのですが、
> そのようなファイルなどがあれば、SIDを見比べてみてください。
この現象には遭遇しました。
SIDを見比べたいのですが、アクセス権を既に設定したため、もう古いSIDを確認することはできません・・・

ドメインサーバ側はクライアントＰＣを以前のモノと同一とは見なしていない
ということでしょうか？

> 数日間はクライアントにキャッシュされている情報でログインできます。
以降直後にドメイン配下のマシン同士でアクセス可能なことを確認しただけ
だったのですが、それでは全く動作確認になっていなかったのですね。

移行前後に以下のようにSIDを確認すれば、このような事態を防ぐ手立てになるのでしょうか？

１．ドメインサーバのSIDの確認
net getlocalsid

２．ドメインサーバのユーザアカウント、マシンアカウントのSIDの確認
pdbedit -L -v -u hogehoge
pdbedit -L -v -u MyPC001$

３．クライアントPCのユーザのSID、マシンのSID
regeditでレジストリを見て確認？
（まだ余り調べていないので分かりませんが・・・）