Windows 8.1でファイル共有

HTPCでの地デジ録画をやめDIGAで録画することにしました。
これに伴い、HTPCでサービスしていたWindowsファイル共有の機能をメインPCで実施することにしました。

しかし、Windowsファイル共有がうまく機能しません。
これまで、フォルダの共有側(以下サーバ側)にはWindows HomeServer、Windows Vista Ultimate 64bitやWindows 8 pro with Mediacenterを、共有フォルダを利用する側(以下クライアント側)にはWindows XP、Windows Vista Home PremiumやWindows 8を使って問題ありませんでした。

現在、うまく動作しないのは、サーバ側がWindows 8.1 pro with Mediacenterで、クライアント側がWindows 8.1の組み合わせです。
さらに詳細をいうと、今回は、マイクロソフトアカウントを利用しています。

どこかの記事に、共有フォルダにアクセスするユーザにマイクロソフトアカウントを利用すれば、サーバ側の設定時にローカルアカウントを登録する手間が省けて便利であるという説明がありました。
もともとサーバ側はマイクロソフトアカウントを利用していましたので、何ら抵抗なくマイクロソフトアカウントを使ったWindowsファイル共有を試してみることにしました。
 

ファイアーウォールソフトの確認

Windowsファイル共有はネットワークを利用します。
過去にWindowsファイル共有関連のサービスポートを悪用した不正アクセスなどの被害があったため、インターネットを経由したアクセスに関してはルー タやファイアーウォールソフトで制限されているのが一般的ですが、ローカルネットワーク内についてはその限りではありません。
クライアント側からサーバ側へWindowsファイル共有のサービスポートへのアクセスが行われますので、ファイアーウォールなどのセキュリティソフトでもし制限している場合には、そのサービスポートが利用できるようにします。
カスペルスキーインターネットセキュリティのファイアーウォール設定はネットワークグループ(通信機器の場所)によってルールを適用しているようなので、ネットワーク種別が許可するネットワークまたはプライベートネットワークであれば特に変更しなくても利用できる状態にあります。(2012、2013および2014で確認済み)
 

ファイル共有の設定

主にサーバ側で操作します。
Windows8.1のファイル共有の設定はほぼWindows7と同じ操作ですので、わからない方は検索して手順を探してください。
 

不具合

共有フォルダにアクセスするため、サーバ側PCにアクセスするとユーザ名とパスワードを入力する画面が表示され、正しく入力しても認証に失敗します。
以下は、その事象に対していろいろやってみたことを記載してあります。(その1が最初の状態です)
 

その1.マイクロソフトアカウントに共有フォルダへのアクセス権のみ付与した場合

PC1にマイクロソフトアカウントのユーザに共有のアクセス権を付与しました。
共有フォルダーにアクセスするため、PC2からPC1に接続PC1に接続をするとユーザ名とパスワードの入力画面になります。
ユーザ名にマイクロソフトアカウント(メールアドレス)とパスワードにマイクロソフトパスワードを入力しても接続に失敗します。
試しに、ユーザ名に表示名(Usersフォルダーの名前)を入力してみますが、この場合は、アカウントがないといったようなメッセージで接続に失敗します。
 

その2.サーバ側にローカルユーザを登録

次に、PC1にローカルユーザを標準ユーザで作成しました。
このユーザに共有フォルダへのアクセス権を付与しました。
今度は、ユーザ名やパスワードを入力する画面は表示されず、そのユーザにはこのアクセス方法は利用できないといったようなメッセージで接続に失敗します。
エラーメッセージで検索をかけると資格情報がどうのとか・・・
しかし、Windows8(Proではない)のでそんな設定はできないような・・・ユーザとグループの管理メニューもないくらいだし・・・
 

その3.サーバ側に作成したローカルユーザをマイクロソフトアカウントに関連付け

先ほどPC1に作成したローカルユーザをマイクロソフトアカウントに関連付けしました。
しかし、エラーメッセージに変化はなく接続に失敗します。
 

その4.サーバ側PCをマイクロソフトアカウントの信頼済みPCに登録

共有用ユーザのマイクロソフトアカウントにPC1を信頼済みPCとして登録してみました。
すると、うそのようにアクセスできました。

まとめると、私の環境では、以下の3点を実施して改善しました。

対処1.PC1(サーバ側)にローカルユーザ(標準ユーザ)でuser2を作成
対処2.user2でPC1にログオン後、マイクロソフトアカウントへ関連付け
対処3.user2のマイクロソフトアカウントにてPC1を信頼済みPCに登録

※ローカルユーザを作成することで、マイクロソフトアカウントで使用されるユーザ名を任意の名前に指定できます。これはOSインストール時も同様です。
以上により、共有フォルダにアクセスできるようになりました。

結局、マイクロソフトアカウントを使ってもローカルユーザを登録しないといけないようなのでメリットは感じられませんでした。
しかし、これでもまだ、必ずできるわけではなくたまに同じエラーが表示されてアクセスに失敗します。

本当にこれでいいのだろうか?
なにがなんだかわかりませんが、これだとローカルユーザを利用するより手間がかかります。
これまでこんな簡単なことに躓いたことなかったのですが、何が原因なのだろうか?と考えてしまいます。
共有しているフォルダーのローカルのアクセス権を編集してしまったのが原因なのだろうか?と思ったりしますが、そもそもネットワークに表示されているサー バ側PCのアイコンをクリックしてだけでエラーが発生する時点でフォルダーのアクセス権ではないように思うのですが・・・
マイクロソフトアカウントはすごく後付感のする機能だなぁと思います。

いろいろ考えて、もしかすると対処3のPC1を信頼済みPCに登録するだけでいけるのでは?と思い、ファイル共有用に作成したPC1のローカルユーザuser2(user2_mail@live.jp)を削除し、共有フォルダの共有設定のみuser2_mail@live.jpに再設定してみました。
すると、問題なく(ユーザ名やパスワードを入力する必要なく)ファイル共有できました。
しかし、PC1にマイクロソフトアカウントでログインすると「パスワードが間違っています」と言われ認証に失敗します。
マイクロソフトアカウントはネットワークで認証をしていると思っていましたがローカルにパスワード情報(資格情報)を保持していないとダメなのでしょうか・・・

※PCのログイン画面で、ユーザ名とパスワードを入力する様に設定(ユーザ名を入力できるように)するには、ローカルセキュリティポリシーの「対話型ログオン:最後のユーザ名を表示しない」を有効にすればOKです。ただし、コントロールパネルから設定できるのはPro以上になるので、それ以外はレジストリを直接編集することになります。
※このログイン画面にするとログインオプションでマイクロソフトアカウントのログインメニューが選択できます。

そういえば、マイクロソフトアカウントのサイトでパスワード変更をした後、PCにログインできなくなったという事象(パスワードが間違っていますで認証に失敗する例)では、一旦、ローカルアカウントに戻し、さらに、マイクロソフトアカウントにする際に入力するパスワードを新しいパスワードで入力すれば改善したといった事例がありました。これから判断すると認証はネットワーク(マイクロソフトアカウントのサイト)で行っているというわけではなさそうです。

共有フォルダのアクセス権を設定する際には、ホームグループ(表示)、ホームグループ(表示および編集)や特定ユーザを選択後にアクセス許可を指定したはずが、設定後にフォルダの「プロパティ」⇒「共有」タブの「詳細な共有」の「アクセス許可」で確認すると、すべてのフォルダが「Everyone」と「Administrators」グループがフルコントロールに設定されています。
どうやら、「プロパティ」⇒「セキュリティ」で表示されるアクセス権が、設定時に指定した内容になっているようです。
今後、アクセス権を変更する場合は、フォルダのプロパティからではなくエクスプローラの共有メニューから初期設定時と同じ方法で設定したほうがいいようです。

いろいろ検索していると、アクセス権の管理にはNTFSアクセス権と共有(SMB)アクセス権があり、推奨は、共有アクセス権はEveryoneでフルコントロール、NTFSアクセス権で詳細なアクセス権を設定するべきだそうです。
たしかに、Windows8.1ではそのポリシー通りになっています。


現在の設定を以下にまとめておきます。
 

サーバとクライアント

サーバ側のPC(PC1)とクライアント側のPC(PC2)は以下の通りです。
 

ホスト名 PC1 PC2
OS Windows 8.1 Pro with Media Center
64bit
Windows 8.1
64bit
ログインユーザ種別 マイクロソフトアカウント マイクロソフトアカウント
ホームグループ 参加 参加
ネットワークの場所 プライベート プライベート
所属するグループ WORKGROUP WORKGROUP

 

ユーザとグループ

ユーザ設定
※1:説明用の仮称です。
※2:現在はユーザ名user2(user2_mail@live.jp)は削除してあります。
  PC1 PC2
マイクロソフトアカウント user1_mail@live.jp
user2_mail@live.jp
※1 ※2
user2_mail@live.jp
※1
ログインユーザ名 user1
user2
※1 ※2
user2
※1
所属グループ Administrators
HomeUsers
Administrators
HomeUsers

 

グループ設定
  PC1 PC2
Administrators Administrator
user1
Administrator
user2
Users NT AUTHORITY¥Authenticated Users
NT AUTHORITY¥INTERACTIVE
user2
なし
HomeUsers HomeGroupUser$
NT SERVICE¥WMPNetworkSvc
user1
MicrosoftAccount¥user1_mail@live.jp
user2
MicrosoftAccount¥user2_mail@live.jp
HomeGroupUser$
NT SERVICE¥WMPNetworkSvc

 

共有フォルダとアクセス権

共有フォルダ名 所有者 表示および編集 表示
※パブリックフォルダー(Usersフォルダー)の共有は使用しないので共有を無効にしてあります。
user1 user1 user1 -
User2 user2 user2 -
ビデオ Administrator HomeUsers -
写真 Administrator HomeUsers -
音楽 Administrator HomeUsers -
ドキュメント Administrator HomeUsers -
ソフトウェア Administrator HomeUsers -