概要
この記事は、ワークグループ環境で共有フォルダーにアクセスした際、Windows 資格情報が表示されなかったので、なぜか調査してみました。
共有フォルダー作成はこちらをご参照ください。
実際の事象
アクセス元 PC にて、共有フォルダーにネットワークアクセスを行った際、Windows 資格情報が出ませんでした。
ワークグループ環境の場合、Windows 資格情報をコントロールパネルにて登録しなければ、資格情報画面が出るはずです。
おかしいと思ったので、[コンピューターの管理] から [開いているファイル] にて、どのようなユーザーでアクセスしているか調べてみました。
すると Administrator である admin でアクセスしています。
確かにアクセスする PC でも admin ユーザーはおり、それか?と思い、イベントビューアーでの [セキュリティ] でも調べてみました。
すると、やはり admin でアクセスしています。
では、admin ユーザーがない PC でアクセスしてみます。
すると、[Windows 資格情報] 画面が表示されました。
share ユーザーでアクセスしてみると、しっかりと share ユーザーが表示されました。
原因
これは Windows のネットワークアクセスにおけるアルゴリズムが原因でした。
(ワークグループ環境で色々いじるのは久しぶり過ぎて、こんなこととうの昔に忘れてました。)
何が起きていたかというと、ワークグループ環境にて admin ユーザーのパススルー認証が行われてました。
もちろんユーザー名、パスワードを同じにしていたことが原因です。
SMB プロトコルを介したアクセス (共有フォルダーアクセス) では、以下アルゴリズムを対象 PC (サーバー) へ送信します。
It checks its own domain database or computer database for
Windows のネットワーク アクセス検証アルゴリズムと例 – Windows Server | Microsoft Learn
a matching account.
If it finds a matching account then
The SMB password is compared to the domain database password or the computer database password.
If the password matches then
The command completed successfully.
If the password does NOT match then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure: unknown
user name or bad password.
End
If it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
Guest permissions are tested.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
(* See Note a).
The user is prompted for a password.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
これはコンピューター上にあるアカウントがアクセス元のユーザーと一致するかどうかを検証します。つまりアクセス元の admin ユーザーが、共有フォルダーのアクセス先のユーザーと一するかどうかを検証します。
ユーザーが一致した場合、パスワードを次は検証します。これで一致する場合は、アクセスを許可するんですね。
ですので、これは正しい動作でした。
そして逆にアクセスするユーザーと、共有フォルダーの PC に存在するユーザーが一致しない場合、パスワードの入力を求めます。
以上の原理から、本件の事象は正しい動作だったんですね。
