の転記になります。
表題の事象が発生しております。
事象の詳細は以下でございます。
■事象
「test.xlsx」というファイルがあり、参照、編集権限が「Domain Users」のみに割り当てられているとします。
この時、Domain Usersにのみ所属するユーザーはGUI上ではこのファイルを参照、編集できます。
上記ファイルをFessでクロールすると、「Domain Users」のロールがインデックスに付与されます。
その後、このユーザでFessにログインして検索を行うと、「Domain Users」の権限がADから取得できずに、「test.xlsx」のロールとログインユーザの権限が一致しないため、検索結果が0件となります。(取得できない事はaudit.logで確認しました)
GUIで参照できるのであれば、Fessでも検索結果に表示されてほしく、
ログインユーザーの「Domain Users」が取得できれば、それは実現できるのではないかと考えております。
また、以下の設定は行わずに実現したい意向があります。
・新しいグループを作成して、「Domain Users」の所属のユーザーをすべて移行させ、「Domain Users」が持つディレクトリ/ファイルの権限を振る
よろしくお願いします。
デバッグログとかにしてみて、対象のグループがADから返却されているか確認してみるとかかと思います。
Account Filter : (&(objectClass=user)(sAMAccountName=%s))
などでとれないのだと、Fessで対応できる話ではないので、マイクロソフトに聞いていただくのが良いと思います。
回答ありがとうございます。
については試してみましたが、取得できませんでした。
マイクロソフトへの問い合わせも検討したいと思います。
他に検索結果に表示させる方法があるとすれば
・上記の「新しいグループを作成して~」
・ADのアクセス権限設定を見直し、ファイルにログインユーザーの権限を付与
・Fess側でクロールする際に特定のログインユーザーのロールを固定で付与
と想定しておりますが、可能でしょうか。
その他実現可能な方法をもしご存知でしたら教えていただけないでしょうか。
Domain Usersが特殊なだけであって、普通にグループを作って管理するケースでは問題はないと思います。
回答ありがとうございます。
承知しました。こちらの運用が特殊なんですね。
また、根本的な解決になっていないかもしれませんが、
グループフィルタに「(&(objectClass=group)(sAMAccountName=Domain Users))」
と指定することで、Domain Usersが取得できました。
ありがとうございました。
1 Like