ActiveDirectory NTFSアクセス権

スポンサーリンク

ActiveDirectoryに共有フォルダを登録し、各ユーザに公開することができます。各ユーザからはキーワードを入力して共有フォルダを検索することが可能となります。まず共有フォルダ用のOUを作成します。そこに共有フォルダを登録します。

名前とUNC名を入力します。



OKボタンを押せば作成されます。

作成された共有フォルダアイコンを右クリックでプロパティを選択すると下記画面が表示されます。



下記画面が表示されますので新しい値にキーワードを入力して追加ボタンを押し、キーワードを追加します。



これでクライアントからキーワードを指定して検索した際に、これとマッチすれば表示されます。


■NTFSファイルシステム


NTFSでフォーマットされたドライブであれば、すべてのフォルダ、ファイルが持っています。FATでフォーマットされている場合にはファイルシステムとしてのアクセス権は設定できません。なので、この点だけをみてもNTFSアクセス権を採用すべきなわけです。
適当にファイルやフォルダのプロパティを開くと、「セキュリティ」タブがあります。 


ここで、誰がどのような権限を持つかということを詳細に設定できます。エントリを追加するには[追加]を押してエントリを追加し、アクセス権を設定することができます。

■NTFSアクセス権の継承

新しいエントリは追加できますが、すでに登録されているエントリ(上記の例だとAdministratorsの権限)に関してはグレーアウトされていて編集できません。これはNTFSアクセス権が”継承”されているためです。継承の様子は[詳細設定]の中で確認できます。

つまり、上の階層で設定されたセキュリティの設定は基本的に子供は受け継ぐようにできているのです。自由に編集できるようにするためには明示的に継承をしないようにさせる必要があります。

この操作は[詳細設定]の中の[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める]という長ったらしいチェックボックスを外すことで実現できます。




チェックボックスを外そうとすると上記のように説明がなされて、現在の設定をコピーするのか、一度すべて削除するのかを選択することができます。どちらを選んでも最終的に設定したいことに変化があるわけではないので、都度、効率の良い方を選べばよいです。





上記の画像は[コピー]を選んだ場合ですが、継承元がすべて[継承なし]になり今まで編集できなかったエントリも編集できるようになっていることがわかります。
 自由にアクセス権をつけるためにはバンバン継承を切る必要があり、そうすればいくらでも自由に設定できるのですが、はたしてそれで管理上良いのか?という問題が残ります。場合にもよりますが、たいていの場合はあまり良いことではないでしょう。

■共有のアクセス権

共有のアクセス権はフォルダのプロパティの[共有]タブ内の[アクセス許可]から設定できます。








NTFSのアクセス権と比べるとはるかにシンプルです。権限も3種類しかありませんし、継承という概念もありません。

■共有とNTFSの適用のタイミング

それぞれの設定がどのように適用されるのか、というと、以下のようなルールになっています。 

  1. ファイル共有を経由したアクセスの時にのみ共有のアクセス権が適用される
  2. 同じファイル、フォルダへのアクセスであっても、別のファイル共有を経由してアクセスした場合には、異なる共有アクセス権が適用される
  3. NTFSのアクセス権は常に適用される(「別経路」が存在しないから)
  4. 共有のアクセス件とNTFSのアクセス権で異なるアクセス権の場合には、両方で許可されていることのみが行える


一番気をつけなくてはいけないのは、「共有のアクセス権でアクセス制限しているのでNTFSのアクセス権は制限していない」場合に、
「直接コンソールでログインされるとアクセスできてしまう」ということです。気をつけましょう。 また、それぞれの特徴として以下のようなものがあります。
 

  1. NTFSのアクセス権はファイル、フォルダ単位の設定であるため、半永久的に残る。場所を移動した場合でも残る。
  2. 共有のアクセス権は共有を解除するときれいに無くなる。


共有のアクセス権に細かくエントリを追加していると、それを意図せず解除してしまった場合には、同じ設定を再度行うことが困難になりますので、気をつけましょう。

■どのようにアクセスすべきか

「で、結局どうしたらいいの?」という問いに関しては色々な答えが考えられるでしょうが、私の方針は以下のようなものです。

  1. 共有のアクセス権は常にEveryoneフルコントロール
  2. NTFSのアクセス権でのみ制御する


共有のアクセス権とNTFSアクセス権の2重管理は嫌ですし、共有のアクセス権だけでコントロールしようとするのは抜け道があるので嫌です。そうすると必然的にこのような方針になると思います。 「いや、それだとこういった問題がある」「もっとこうしたほうがいい」などコメントありましたら、是非いただければと思います。 

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする