お客様にファイルサーバーの共有フォルダアクセス権設定の方法を尋ねられた時に紹介できる適当な記事が見つからなかった為、自分でも記事を書いてみることにしました。
目的
- Windowsで共有フォルダ設定を行ない、同一ネットワーク上にあるクライアントPCから(アクセス権に基づいて正しく)アクセスさせる。
事前知識の整理
- クライアント、(ファイル)サーバー、ユーザー情報、アクセス権など、登場するオブジェクトを下図の通り整理する。
- Windowsの世界ではワークグループ環境、もしくはドメイン環境に大別される。(判断の仕方は後述)
- PCがワークグループ環境、もしくはドメイン環境のどちらに所属しているのか確認するためにはPCのプロパティ画面を確認すると良い。
確認手順:スタートを右クリック > システム > このPCの名前を変更(詳細設定)
→ワークグループ もしくは ドメイン のどちらかが表示される。下図はドメイン参加済みPCの表示例。
前提条件
- 前提1.WindowsServerでActiveDirectory(以下、AD)を構成している事
→前項の通り、ワークグループ環境でも同じような運用はできるが、本記事ではAD環境を例に記載。 - 前提2.AD上にユーザーを登録している事
- 前提3.AD上のファイルサーバーに対してアクセス権の設定権限(フルコントロール権限)がある事
方針
- 方針1.Windowsのフォルダ設定では共有タブ、セキュリティタブのうち厳しい方の設定が優先される仕様を活用し、共有タブではEveryoneフルコントロール、セキュリティタブで実質的なアクセス権を利かせる運用とする。
- 方針2.アクセス権設定にはアクセス”許可”のほかに”拒否”も存在するが、管理をシンプルにするために”許可”のチェックボックスのオン/オフによる管理を原則とする。
計画
設計
- 最上位フォルダの名前、フォルダの数、配下のフォルダ階層、それぞれに割り当てる権限を検討する。
- 誰がフォルダを作成するか、申請、承認フローは必要か等、ルールを設けておくことが望ましい。
事前準備
・管理表(台帳)を作成して、設定変更が発生する度に反映する事が望ましい。
・部署異動を考慮し、ユーザー個別単位よりグループ単位でアクセス権を付与する運用を推奨。
・アクセス権の強いものから順に並べると、フルコントロール権限、変更権限、読み取り権限となることを意識する。
→アクセス権の細かい解説はここでは省略します。
設定手順
ADグループの設定
1.ADサーバーへサインインする。
2.スタートメニュー > サーバーマネージャー > ツール
> 「Active Directory ユーザーとコンピューター」を起動する。
3.[ドメイン名] > 「Users」配下で適当なグループを作成する。
4.作成したグループのプロパティを開き、ユーザーを追加する。
ファイルサーバーボリュームのアクセス権設定(初回のみ)
ファイルサーバーのDドライブ等、ボリュームのアクセス権設定が配下のフォルダへ継承されるため、最初にボリュームのセキュリティ設定を整えておくと良い。
1.ファイルサーバーへサインインする。
2.スタートアイコンを右クリック > 「エクスプローラー」をクリック。
3.共有フォルダを設定したい(共有データの保存先にする)ボリュームを右クリック > プロパティ
4.セキュリティタブ > 「編集」をクリック。
5.SYSTEM、Administrators以外のグループをそれぞれ選択して、「削除」をクリック。
※下図には無いが、「Domain Users」や「Authenticated Users」グループにアクセス許可した場合は、ドメイン認証されたユーザーにアクセス権が割り当たってしまう(意図した通りの動作にならない)ので削除する事を推奨。
Users([サーバー名]\Users)グループについても削除しておくことを推奨。
6.SYSTEM、Administratorsグループにそれぞれフルコントロール権限が許可されている事を確認して、「OK」をクリックして設定を保存する。
共有フォルダの作成
※ ファイルサーバーの最上位フォルダに表示される。多数作成してしまうとユーザーの視認性が下がる為、既に作成してある場合はこの手順は飛ばす。
1.ファイルサーバーへサインインする。
2.前項で設定したボリューム配下へフォルダを作成する。
例)D:\004.広報
3.共有設定をする対象フォルダを右クリック > プロパティ
4.共有タブ > 「詳細な共有」をクリック。
5.「このフォルダーを共有する」にチェックを付けて、「アクセス許可」をクリック。
6.初期値でEveryoneが登録されている事を確認する。アクセス許可欄でフルコントロール行の「許可」をにチェックを付けて「OK」をクリック。(フルコントロールにチェックを付けると連動して変更にもチェックが付く)
7.詳細な共有画面で「OK」をクリックして設定を保存する。
共有フォルダのアクセス権グループ(またはユーザー)の追加
1.アクセス権を設定したいフォルダを右クリック > プロパティ
2.セキュリティタブ > 「編集」をクリック。
3.「追加」をクリック。
4.追加したいグループ(またはユーザー)を入力して「名前の確認」をクリック。下線が入った事を確認し、「OK」をクリック。
5.追加したグループ(またはユーザー)を選択し、設計に合わせてアクセス権を設定して、「OK」をクリック。
通常は「変更」または「読み取りと実行」行の許可にチェックを付ける。他のグループまたはユーザーに対してアクセス権の割当て権限を与えたい場合はフルコントロール権限を付ける。
6.フォルダのプロパティ画面で「OK」をクリック。
共有フォルダのアクセス権グループ(またはユーザー)の削除
1.アクセス権を設定したいフォルダを右クリック > プロパティ
2.セキュリティタブ > 「編集」をクリック。
3.削除したいグループ(またはユーザー)を選択して「削除」、「OK」の順にクリック。
4.フォルダのプロパティ画面で「OK」をクリック。
補足:グループ(またはユーザー)のアクセス権削除時に、親からアクセス許可を継承している旨のメッセージが表示された場合
共有フォルダのアクセス権グループ(またはユーザー)の削除手順3の場面で、下図のメッセージが表示された場合の対処を以下に記します。
※このメッセージは上位のフォルダ(親)の設定と連動しているので、対象のフォルダだけ個別に権限を変更したいなら、連動しないように継承をオフにしてという事を言っています。
1.アクセス権を設定したいフォルダを右クリック > プロパティ
2.セキュリティタブ > 「詳細設定」をクリック。
3.「継承の無効化」をクリック。
4.現在継承されている・・・画面で「継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。」をクリック。
※ この設定により、上位フォルダからのアクセス権継承が解除される。
5.継承元が「なし」になったことを確認し、セキュリティの詳細設定画面で「OK」をクリック。
6.「編集」をクリック。以降は「共有フォルダのアクセス権グループ(またはユーザー)の削除」手順3以降を参照。
動作確認
設定後に意図した通りに動作するかを確認する事は重要です。本運用で使うデータを保存する前に動作テストしましょう。機密情報に対して本来アクセスできないはずのユーザーが、実はアクセスできてしまったという事に後から気付くと悲惨です。
1.変更権限があるユーザーでファイルの書き込みができる事の確認。
↓書き込み権限があるユーザーではファイルを新規に作成したり、コピーによる書き込みができる。
2.読み取り権限があるユーザーでファイルの書き込みはできないが、読み取りができる事を確認。
↓書き込み権限が無いのにファイルを新規作成しようとした時に表示された画面例。
↓読み取り権限があるユーザーではファイルの閲覧はできて、編集(上書き保存)はできない。
3.権限が割り当たっていないユーザーでアクセスが拒否される事の確認。
↓読み取り権限すら無い(何も権限が割り当たっていない)フォルダへアクセスした際に表示される画面例。
まとめ
Windowsファイルサーバーの共有フォルダアクセス権設定について書いてきました。
大事な事なのでもう1度書きますが、設計、設定、動作確認の一連の流れが大事です。特に動作確認は運用開始前に十分に行なってください。
コメント