共有フォルダのアクセス権を調整する際の注意
SERVER
アクセス権の設定にて
Windows 2000 共有ファイル のアクセス権を調整していたときのお話しなのですけど、いつもどおりに設定しているはずなのが、何故だかいくらやっても思うように調整することができなくなってしまいました。
環境は Windows 2000 Server で稼動している PC に Windows 共有フォルダを設定して、その PC が所属している Windows ドメイン (Windows NT 互換) の認証を用いてアクセス制限をかけるという感じの、それといって特別なものは介入しない感じです。それなのにいざ設定を行ってみると、何故か上手く読めなかったり何故だか読めてしまったりして、どうにもならなくなってしまって。
そんな感じで四苦八苦していたなかで分かったことがあったので、あえてここへ記しておこうと思います。
アクセス権を調整する際の注意
共有フォルダのアクセス権
共有フォルダのアクセス権では、その共有フォルダを誰がどのような権限で開くことができるかを設定することができます。
これはハードディスクに保存されている物理的なフォルダのアクセス権とは別で、ネットワーク (SMB) 経由でそのフォルダへアクセスした場合の、その入り口の段階で篩いにかけるような感じの存在になります。
ここで許可されたアクセス権限は、その先のフォルダにおける最大のアクセス権限となり、最終的にはさらにそこから物理的に存在しているフォルダのアクセス制限に応じて、権限が削られて行きます。ですので、たとえば Windows 2000 Server などでは共有フォルダを作成した段階では、共有フォルダのアクセス制限は "Everyone" に対してフルコントロール権限が与えられるようですので、そのまま調整しなければ、実際の物理フォルダに設定されているアクセス制限で操作することになるといった感じです。
物理フォルダのアクセス権
Windows 共有フォルダとして設定されているフォルダへネットワーク (SMB) 経由でアクセスする場合であっても、物理的なフォルダとして設定されている権限はちゃんと生きてきます。
実際にそのフォルダやその中のファイル類が読み書きできるかどうかについては、それらに設定されているアクセス権限によって判断されます。共有フォルダに設定されているアクセス権限は、あくまでもその共有フォルダを利用する上での最大限の権限を明示しているだけのような感じです。
たとえば共有フォルダで "フルコントロール" の権限が与えられていたとしても、そのアカウントが物理フォルダのアクセス制限では "読み取り" の権限しか与えられていなかったとしたら、そのフォルダでは読み取りのみしか出来なくなります。
逆に、共有フォルダで "読み取り" の権限のみが与えられていた場合は、もしも物理フォルダでそのアカウントが読み書きできる権限設定になっていたとしても、ネットワーク (SMB) 経由でそのフォルダを利用する限りでは、共有フォルダで許可された "読み取り" 以上の操作を行うことはできません。
共有フォルダと物理フォルダのアクセス権の使い分け
共有フォルダのアクセス権限はネットワーク (SMB) 経由でアクセスした段階での篩い分けを、物理フォルダのアクセス権は実際にファイル操作を行う際の制限を、それぞれ決定している感じです。
ですのでこれを使い分けるとしたら、たとえば入り口では篩い分けを行わない ( Everyone: フルコントロール ) の設定にしておいて、物理フォルダのアクセス制限の方でアクセス権を設定するという方法があります。
この場合、ネットワーク経由でのアクセスと、ローカルログオンしてのアクセスとで制限が同じになりますので、ネットワークだけではなくて、そのコンピュータ自体へもログオンして利用するような場合に向いているような気がします。または、通常のフォルダと同じやり方で共有フォルダの制限をかけることができるので、操作の統一感やわかりやすさといった面でもいいかもしれません。
または、それほど細かく制限をかける必要がない場合や、通常はその PC へ直接ログオンするようなことがない場合は、物理フォルダには "Domain Users: フルコントロール" とか "Everyone: フルコントロール" でもいいですし、それぞれのシステム環境において支障のない程度の大まかな権限をせっていしておくだけにして、共有フォルダのところで一括して制限してしまうのも良さそうです。
この場合は共有フォルダごとに対するアクセス権の設定になるので、共有フォルダを管理するという意味合いにおいては、逆にとても把握しやすくなるんじゃないかと思います。
また、これをもう少し複雑に活用すれば、ネットワーク経由 (共有フォルダ) の利用者の制限と、ローカルログオン (物理フォルダ) してファイル管理を行う利用者との間でアクセス権を分離することも可能です。
たとえば通常は参照さえできればいいファイルを置く共有サーバがあったとして、物理フォルダには読み書き可能の制限をしておきつつ、ネットワーク経由では読み取りなどの最小限の権限のみにしておけば、別の PC からアクセスして作業をしているときは何かの手違いでファイルを削除してしまうこともなくなりますし、サーバへログオンすれば自由に読み書きできるのでそのまま整理を行うこともできます。
アカウントグループで制限を行う場合
Windows のアクセス制限には "グループ" という考え方があります。それはアクセス制限をかけたいときに、個別のアカウントそれぞれではなくグループ単位で扱えるものです。
アカウントを作成するのと同じようにグループを作成して、それをひとつの集合としてアカウントと同じように利用することができるので、たくさんのユーザに権限を与えたい場合などに重宝します。フォルダ等のアクセス制限ではグループ名で管理されるので把握しやすいというのもありますけど、ユーザーアカウントの管理作業としてグループへの追加や削除を行うことが可能になるというところが特に大きいです。
アカウント管理とフォルダ管理とは基本的に独立した管理体制なので、アカウントの追加や削除が激しいような場合など、削除したはずのアカウントがフォルダの権限設定にまだ残っていたり、フォルダそれぞれへアカウントを登録していると、規模が大きくなるにつれて誰にどの権限が与えられているのかを把握するのが難しくなってしまったりします。
そういうときに、あらかじめ役割ごとにアカウントグループを作成して、フォルダへそれでアクセス制限をかけておけば、あとはアカウント管理に一任できるので把握が非常に簡単になります。ユーザアカウント作成の際にどのグループへ所属させるかもついでに行うことが出来ますし、グループを見れば所属しているアカウントを確認することもできますしね。
また、アカウントを削除するような場合でも、削除すれば自動的にグループから除外されるのもさりげなく嬉しいところです。
そんなグループではありますけど、これを利用して共有フォルダの権限を調整する際には少し注意しておきたいところがあります。
グループへアカウントを追加したり削除したりした場合、そのアカウントがログインして作業している最中だったりすると、グループの変更がまだ反映されていない場合があるようです。なのでもし、所属グループを変更してもアクセス制限が設定どおりに働いてくれない場合には、いったんログオフしてから改めてログオンしなおすなどの手続きが必要になることがありますので、試しながら設定している場合には、その辺りにも気を配っておくとよさそうでした。