none
wssアカウントの問題と、SPDによるdefault.master編集について RRS feed

  • 質問

  • これからwss上でShare Point Designer & vs2005proを利用した開発を行うことになりました。

    versionはShare Point Services3.0(SP1実施済)を使用しております。

     

    非常に初歩的な質問ですが、ご回答お願い致します。

    wssでサイトを作成し、そのサブサイトのみをユーザーに公開したいとします。

     

    画面左に「見出し」と「リンク」を使用してサイドメニューを設定し、

    サブサイト専用のアカウントでログインして、サイドメニューをクリックすると、

    画面左最上部に親サイトへのリンクが表示されます。

    例: 親サイト>小サイト 

     

    ここで問題なのが、親サイトに権限がないユーザーで親サイトのリンクをクリックすると、[

    「エラー:アクセス拒否」とエラーが出て、いかにもアクセス不可能な感じな画面がでるのですが、

    何故かこの時点で「現在のサインイン ユーザー」に管理者の名前が表示されています!

     

    さらにその上の「サイトに戻る」リンクをクリックするとパスワード入力も無しに管理者権限で

    親サイトを表示することができてしまいます。

     

    これは仕様でしょうか? 

     

    対策として、default.masterをSPDで編集してリンク表示を削除したところ、

    サイドメニューの「リンク」をクリックしたページでは表示されなくなりましたが、

    「見出し」をクリックしたページでは前述の親サイト>小サイト が表示されてしまいます。

     

    URLから察するに「リンク」は「default.master」を使用しているため、変更が反映されますが、

    「見出し」は「_layouts」から動的に生成されるような感じで変更する場所もよく分かりません。

     

    長文で分かりにくいと思いますが、質問の要旨は以下の2つです。

    1.親サイトに権限のない子サイトのアカウントで親サイトに管理者権限でアクセスできてしまう。

    2.SPDでサイドメニューの「見出し」をクリックした時に表示されるページのデザインが変更できない。

     

    以上、宜しくお願い致します。

     

     

     

     

     

    2007年11月5日 10:06

回答

  • 私も試してみようとしたのですが、現象が再現できませんでした。

    # 納期ぎりぎりの開発業務を抱えている時ほど、こういう検証をしたくなるのは私だけ?(苦笑)

    # 現実逃避・・・

     

    念のため、試した事を報告します。

    まず、WSS ではなく、MOSS で試しました。これが問題かな?(汗)

    1.MOSS が参加しているドメインに TestUser を作成。

    2.MOSSAdmin (MOSS のサイトコレクションの管理者) でログオンし、Test サイトを作成(当然、親サイトの権限は引き継がない設定です。ただし、サイトの管理者は親サイトと同様 MOSSAdmin を指定)。

    3.Test サイトの閲覧者に TestUser を追加

    4.別ドメインに参加している PC より、Test サイトにアクセス。認証ダイアログが表示されるので、MOSSDomain\TestUser でログイン

    5.トップサイトへのリンクをクリック

    6.[エラー:アクセス拒否] ページが表示され、[現在のサインインユーザー] としてMOSSDomain\TestUser が表示される

     

    これだと問題ない動作ですよね・・・

    すみません。

    2007年11月7日 11:42
  • ご回答ありがとうございます。(当方も別件などで、ひさびさにフォーラムを閲覧できました、、、)

     

    ご指摘の通り、OSユーザが管理者の場合に不用意に切り替わってしまうという点について根本的に解決できると良いのですが、「インターネットゾーン」と「Windows認証」という辺りの動きでいろいろと面倒な動作になっている可能性はありますので、記載されております方法で運用いただき(一般ユーザの方の場合、「管理者」でログインすることがない)回避頂けると幸いです。

     

    尚、インターネット環境で利用される場合ですが、当方が以前記述したサーバの全体管理における[アプリケーション構成の管理]の[認証プロバイダ]の設定で、「既定」が表示されているとのことでしたが、これを「インターネット」の場合にわけて管理・設定することも可能ですので(この場合、この設定欄には、「インターネット」と「既定」の場合の2つが表示されます)、今後、「インターネット」 + 「Windows 認証」のあたりで動作上問題が出るようでしたら、この辺りの設定もお試し頂けると問題の回避につながるかもしれません。

    2007年11月26日 13:01

すべての返信


  •  

    本現象ですが、いろいろ試してみましたが再現できませんでした。

     

    サブサイトを作成し、権限の継承をしないで独自に権限設定などをおこない、親サイトには権限がなく、サブサイトに権限を持つユーザを設定してサブサイトにログインし、親サイトをリンクした際に、記載されております通り、権限がなく、「現在のサインインユーザ」が表示されます。ここで、通常は、そのログインしているユーザが表示されるはずですが、そもそもここで管理者が表示されているという動作そのものに問題があると思われます。(これが、その後の現象の要因にもなっていると思われます。よって、リンクの解消のみで対処しても、その後もいろいろと不都合が生じると思われます。)

     

    動作としては、どうも認証関連で、Windows 統合認証など IIS 側の認証と、SharePoint の認証の動作との間で何某かの齟齬が生じているように思われます。

    そこで、いくつか、教えて頂きたいのですが、

    • SharePoint サイトのユーザへの権限設定では、グループへの設定などを実施しておりますでしょうか。(その場合、当然そのグループの権限は親サイトには設定されておりませんね。)
    • このケースでは、OS のログインユーザと SharePoint のユーザは同一のユーザでしょうか (あるいは、[別ユーザとしてログイン] などの方法で、別々のユーザでログインされているでしょうか)
    • お手数ですが、サーバの全体管理で、[アプリケーション構成の管理]の[認証プロバイダ]を選択した際に表示されている各項目と、その中の設定はどのようになっておりますでしょうか。
    • また、SharePoint を使用している場合に、ブラウザの右下にはどのゾーンが表示されていますでしょうか。(例:イントラネット、など)

     

     

    2007年11月6日 13:10
  • 松崎様

     

    回答ありがとうございました。

     

    ご質問にお答えします。

     

    質問:SharePoint サイトのユーザへの権限設定では、グループへの設定などを実施しておりますでしょうか?

    回答:デフォルトグループのxxxサイト のメンバ、xxxサイトの閲覧者、xxxサイトの所有者は各サイト毎に設定しています。

    もちろん親サイトのこれらグループに、子サイトと同一のユーザーは登録しておりません。

     

    質問:このケースでは、OS のログインユーザと SharePoint のユーザは同一のユーザでしょうか (あるいは、[別ユーザとしてログイン] などの方法で、別々のユーザでログインされているでしょうか)

    回答:OSログイン時とは別のアカウントでログインしています。ただし、OSもWSSも特定ドメインに所属するユーザーアカウントでログインします。

     

    質問:サーバの全体管理で、[アプリケーション構成の管理]の[認証プロバイダ]を選択した際に表示されている各項目と、その中の設定はどのようになっておりますでしょうか。

    回答: 領域→既定   メンバシップ プロバイダ名→windows となっています。

     

    質問:SharePoint を使用している場合に、ブラウザの右下にはどのゾーンが表示されていますでしょうか?

    回答:親サイト→ローカルイントラネット  子サイト→不明なゾーン(混在)

       ※子サイトには「ページビューアWebパーツ」でインターネット越しのコンテンツを表示しています。

     

    以上です。

     

     

     

     

     

    2007年11月7日 5:20
  • 私も試してみようとしたのですが、現象が再現できませんでした。

    # 納期ぎりぎりの開発業務を抱えている時ほど、こういう検証をしたくなるのは私だけ?(苦笑)

    # 現実逃避・・・

     

    念のため、試した事を報告します。

    まず、WSS ではなく、MOSS で試しました。これが問題かな?(汗)

    1.MOSS が参加しているドメインに TestUser を作成。

    2.MOSSAdmin (MOSS のサイトコレクションの管理者) でログオンし、Test サイトを作成(当然、親サイトの権限は引き継がない設定です。ただし、サイトの管理者は親サイトと同様 MOSSAdmin を指定)。

    3.Test サイトの閲覧者に TestUser を追加

    4.別ドメインに参加している PC より、Test サイトにアクセス。認証ダイアログが表示されるので、MOSSDomain\TestUser でログイン

    5.トップサイトへのリンクをクリック

    6.[エラー:アクセス拒否] ページが表示され、[現在のサインインユーザー] としてMOSSDomain\TestUser が表示される

     

    これだと問題ない動作ですよね・・・

    すみません。

    2007年11月7日 11:42
  •  

    フレックスP さん

     

    回答遅れすみません。(私事ですが、昨日、今日(夕方)、明日と出張のため、回答が遅れてしまうかもしれませんが、ご容赦ください)

     

    ご回答ありがとうございます。(お手数おかけしました。)

    同じ環境を作ってこちらで試してみても良いのですが、すみません、ちょっとそこまでの時間が今とれないので、「なんとなくここでは?」というところを以下に記載します。

     

    結論から言いますと、質問4で、親サイト→ローカルイントラネット、子サイト→不明なゾーン(混在) と異なっているところが最も怪しいように思われます。

     

    上記の質問3で、『[既定] と表示されている』とお答えになっているリンクをクリックして頂くと、[統合 Windows 認証] にチェックが付いているという設定で良いでしょうか。もしそうであれば、ドメインなどに参加していれば、おそらく、親サイトに接続した際にログイン画面も表示されず、自動的にOSのログインユーザでサインインされるのではないかと思われます。

    つまり、ご報告されている動きから予測すると、子サイトにログインしている際には、ちゃんと別のユーザでログインがされていますが、layout フォルダから表示しているエラー画面はおそらく親サイトですから(すみません、動作を確認せずに書いていますので、間違っていたらご指摘ください)、その時点で別のユーザ、すなわち、OSのログインユーザである管理者でログインが自動でしなおされているようなそんな動きのように思われます。

    ですから、「現在のユーザ」もログインしたはずのない管理者(OSユーザ)が表示され、さらに、「サイトに戻る」リンクを押すと、その管理者ユーザでトップのサイト(トップサイトに戻ってしまうというのは、すみません、そういった仕様であったと思います)に戻ってしまい、本来ログインされないはずの管理者でそのトップサイトが表示されてしまっているような、そんな動きではないかと予想されます。

     

    是非お試しいただきたいのは、ブラウザ(IE)のセキュリティ設定などを調整し、子サイトが親サイトと同じ「イントラネット」になるように設定してご確認頂けますでしょうか。

     

    何度もお手数ですが、よろしくお願い致します。

     

    尚、もう1つ気になったのは、ここは、今回のご質問の答えとは関係ないと思いますが、質問1で、「xxxサイト のメンバ、xxxサイトの閲覧者、xxxサイトの所有者」などのデフォルトのグループに設定されていると記載されておりますが、確か、親サイトからの継承関係を切って子サイトで独自に権限を設定しても、このグループは親と共用していた(つまり、子サイトでこれらのグループにユーザを入れてしまうと、親サイト側でみてもそのグループに入っていた)と記憶しています。(ただし、子サイトで独自のユーザやグループを作ってはじめて別の権限になります。) これは、SharePoint上から子サイトを作成しようと、SharePoint Designer 上からチームサイトの子サイトを作成しようと同様であったと記憶していますが、当方の認識が違っていましたらご回答ください。(たぶんここは、今回のトラブルの要因とはなっていないと思われますが)

     

    ※ 溝端さん >> フォローアップありがとうございます!

     

    2007年11月8日 4:56
  • 溝端さん 、松崎剛さん、お返事遅れてしまって大変申し訳ありません。
    ここ2W程、別件での対応に追われてしまっておりました。

     

    今回の現象は、まさに松崎さんが以下で指摘された動きそのものです。


    >ですから、「現在のユーザ」もログインしたはずのない管理者(OSユーザ)が表示され、さらに、「サイトに戻る」リンクを押すと、
    >その管理者ユーザでトップのサイト(トップサイトに戻ってしまうというのは、すみません、そういった仕様であったと思います)に
    >戻ってしまい、本来ログインされないはずの管理者でそのトップサイトが表示されてしまっているような、そんな動きではないかと
    >予想されます。

     

    また、

    >親サイト→ローカルイントラネット、子サイト→不明なゾーン(混在) と異なっている

    の部分ですが、sharepoint3.0のサーバー全体管理→アプリケーションの構成管理では
    アプリケーション名は http://hoge となっており(デフォルトで作成したらこうなりました)
    イントラ使用では自動的にhttp://hoge/default.aspxとなるようですが、
    現在はhttp://hoge.domain.co.jp/default.aspxで接続するようにしています。
    そのため、親・子サイトどちらも「インターネット」「保護モード:無効」となっています。

     

    認証は[統合 Windows 認証] で行っています。
    ただ、ユーザー(社内の特定の利用者)はセキュリティのため、Windowsのログイン時の
    Windowsログオン認証とは別のドメインユーザ名によるWindowsログオン認証でG/Wを利用する
    ようにしています。(社外の人間が利用する可能性もあるため)
    また、将来的にインターネットからも参照できるようにしたいというのもあります。

     

    また、説明不足でしたが、今回の現象は一度管理者でログオンした場合でのみ発生します。
    つまり、sharepointの管理者権限でサイトの各種設定を行い、
    管理者をサインアウトして、ブラウザを閉じ、新しくブラウザを開いて親ページにアクセス権限のないユーザーアカウントで
    入りなおした場合に件名の現象が発生するものです。

    この際、「ようこそxxxxさん」のxxxxいきなり管理者名が表示される場合と、一般利用者名が表示され、

    親サイトへのリンクをクリックすると件名の現象が発生する場合がありますが、どのようなオペレーションで

    おきるかの切り分けはできておりません。

     

    とりあえず一般ユーザは管理者権限でG/Wにログオンすることは無く、今のところ害はなさそう(?)ですので、
    しばらく様子を見てみたいと思います。

     

    私の理解不足による間違い等ありましたら何なりとご指摘ください。

     


     

    2007年11月26日 1:38
  • ご回答ありがとうございます。(当方も別件などで、ひさびさにフォーラムを閲覧できました、、、)

     

    ご指摘の通り、OSユーザが管理者の場合に不用意に切り替わってしまうという点について根本的に解決できると良いのですが、「インターネットゾーン」と「Windows認証」という辺りの動きでいろいろと面倒な動作になっている可能性はありますので、記載されております方法で運用いただき(一般ユーザの方の場合、「管理者」でログインすることがない)回避頂けると幸いです。

     

    尚、インターネット環境で利用される場合ですが、当方が以前記述したサーバの全体管理における[アプリケーション構成の管理]の[認証プロバイダ]の設定で、「既定」が表示されているとのことでしたが、これを「インターネット」の場合にわけて管理・設定することも可能ですので(この場合、この設定欄には、「インターネット」と「既定」の場合の2つが表示されます)、今後、「インターネット」 + 「Windows 認証」のあたりで動作上問題が出るようでしたら、この辺りの設定もお試し頂けると問題の回避につながるかもしれません。

    2007年11月26日 13:01
  • こんにちは。

    フォーラムオペレーターの鈴木裕子です

     

    フレックスP さん、その後いかがですか?

    こちらの情報を他の皆様にも活用していただきたく、

    勝手ながら私のほうで回答チェックをつけさせていただきました。

    フレックスP さんはチェックの解除ができますので、もし不適切でしたら修正をお願いします。

     

    回答チェックはスレッドの終了を意味するものではありませんので、

    引き続きの情報がありましたら、ぜひ投稿してくださいね。

     

    これからもForumをご活用ください!

    それでは。

    2008年9月10日 5:43
    モデレータ