今週は先週に引き続き、ファイルサーバの設置について解説していこう。
フォルダを共有するだけなら簡単だが、企業で業務用に使うファイルサーバでは、アクセス権の管理が欠かせない。"need to know"、つまり情報を知るべき人だけが情報にアクセスできるようにしなければ、情報の保全管理が怪しくなってしまう。
アクセス権設定の必要性
ある程度の規模を持つ組織であれば、単にWindowsサーバを導入するだけでなく、Active Directoryを導入してドメインベースのユーザーアカウント集中管理体制を敷く方が、メリットが大きいと考えられる。その場合、ドメインコントローラ以外のサーバは一般サーバとしてActive Directoryに参加させた上で、しかるべきドメイン上のユーザーアカウント、あるいはグループに対してアクセス権を設定すればよい。
しかし、Active Directoryを導入していない、規模が小さい組織もあることだろう。個人商店やSOHOのレベルでは、Active Directoryのメリットである「ユーザーアカウントの集中管理」について、それほどメリットを実感できない可能性がある。その場合にはワークグループ環境として、ユーザーアカウントの名前とパスワードをすべてのコンピュータで揃える必要があるのだが、コンピュータの台数やユーザーの数が少なければ、大した手間にならない。
そういった、所帯が小さい組織であればアクセス権の管理も何もあったものではないかもしれない。その場合、最初は細かい設定を行わずに全員が読み書き可能な状態からスタートして、必要に応じて設定を強化していく方法も考えられる。ただし、後になってアクセス権の管理を強化する際に、何らかの手戻りが発生する可能性は覚悟しておく必要がある。
共有アクセス権とNTFSアクセス権の関係
フォルダを共有する際に関わってくるアクセス権として、「共有アクセス権」と「ファイル/フォルダのアクセス権」の2種類がある。
共有アクセス権とは、ネットワーク経由で他のコンピュータから、共有フォルダや共有プリンタにアクセスする際に適用するアクセス権を意味している。したがって、同じユーザーによるものであっても、ネットワーク経由でアクセスする際には共有アクセス権の設定が適用されるが、共有資源があるコンピュータそのものにローカルログオンすると、共有アクセス権の設定は意味を持たない。
それに対してファイル/フォルダのアクセス権は、ファイルシステムにNTFSを使用している場合にのみ設定するもので、ネットワーク経由でもローカルログオンでも同じように適用される。そのため、これをNTFSアクセス権ともいう。
ファイルシステムにFATやFAT32を使用しているときには、当然ながらNTFSアクセス権は設定できない。しかし、現時点ではNTFSを使用しないケースの方が少なくなってきているはずだから、必ずNTFSアクセス権が存在するものと考えてかかる必要がある。
そこで注意しなければならないのが、共有アクセス権と、NTFSアクセス権の関係だ。ファイルシステムにNTFSを使用しているドライブで共有フォルダを作成すると、そこに置かれたファイルにネットワーク経由でアクセスする場合、これら2種類のアクセス権の両方とも関わってくる。そして、NTFSアクセス権の方が優先度が高い。
すると問題になるのは、共有アクセス権よりもNTFSアクセス権の方が設定が厳しいケースだ。たとえば、共有アクセス権では書き込み可能になっているユーザーでも、NTFSアクセス権で読み取りしか認められていなければ、そのユーザーは読み取りしか行えないことになる。逆の場合、共有アクセス権の段階で実行可能な権限が絞られてしまうので、問題にはならない。
このことが原因で、「書き込みができるはずのファイルに書き込めない」といった混乱が生じる可能性がある。それを避けるには、NTFSアクセス権の設定でユーザーからのアクセスを制御するのは止めて、共有アクセス権だけでコントロールする方がスッキリする。
その場合、サーバにローカルログオンしたときにアクセス権の制御が効かなくなる問題があるのだが、それは管理者以外はサーバにログオンできないようにすることで解決できる。それには、[ローカルセキュリティポリシー]管理ツールの[ローカルポリシー]-[ユーザー権利の割り当て]以下にある[ローカルログオン]を使えばよい。これを含めて、ローカルセキュリティポリシーについてはいずれ、本連載で取り上げてみたい。
共有アクセス権の種類
では、その共有アクセス権にはどういった種類があり、どういった設定が可能なのだろうか。
共有アクセス権の設定は、前回の本連載で解説したように、共有設定を行う際に使用するダイアログで[アクセス許可]をクリックすると表示するダイアログで行う。表示するダイアログのデザインは、NTFSアクセス権設定を行うときに使用するものと同一のデザインだ。このダイアログの使い方について、簡単に解説しておこう。
このダイアログでは、上下に合計2種類の一覧を表示している。上の一覧では、アクセス権の設定対象になるユーザーアカウント、あるいはグループの一覧を表示している。そこでクリックして選択したユーザー、あるいはグループに適用するアクセス権の内容が、下の一覧に現れる仕組みだ。従って、上の一覧で何をクリックするかで、下の一覧に表示する内容が変化する。
そして、下の一覧では共有アクセス権として設定可能なアクセス権の種類として、[フルコントロール][変更][読み取り]の3種類を表示しており、チェックボックスのオン/オフによって設定内容を変更する。
 |
|
共有設定のダイアログで[アクセス許可]をクリックすると表示するダイアログで、共有アクセス権の設定が可能だ |
それぞれで利用可能な機能について比較表をまとめると、以下のようになる。
共有アクセス権の種類ごとの、実行可能な機能
| アクセス権の種類 | フルコントロール | 変更 | 読み取り |
|---|---|---|---|
| ファイルの読み取り | ○ | ○ | ○ |
| ファイルの作成と上書き | ○ | ○ | × |
| ファイルの削除 | ○ | ○ | × |
| ファイルやフォルダの一覧表示 | ○ | ○ | ○ |
| フォルダの作成と削除 | ○ | ○ | × |
| ファイル/フォルダに対するアクセス権設定 | ○ | × | × |
つまり、共有フォルダに対して書き込みを行えるようにするには、[フルコントロール]あるいは[変更]を選択すればよいことになる。その点だけならどちらも同じだ。
ただし、ネットワーク越しに接続してきたユーザーが、共有フォルダ上のファイルやフォルダに対してNTFSアクセス権を設定できるかどうかで違いが分かれる。[フルコントロール]では共有フォルダ上のファイル/フォルダに対して個別にNTFSアクセス権を設定できるが、[変更]ではNTFSアクセス権はいじれない。
こうした事情から、[フルコントロール]のチェックをオンにすると、自動的に[変更]のチェックもオンになる。[フルコントロール]で利用可能な機能は、[変更]で利用可能な機能をすべて包含しているからだ。逆に、[変更]のチェックボックスをオフにすると、自動的に[フルコントロール]もオフになるが、その理由も同じ。
ユーザーにアクセス権を設定させるとトラブルの原因になる可能性があるので、[フルコントロール]は使わず、書き込みを認めるときには[変更]を使用するのが正しいやり方だろう。そして、読み取り専用にしたいときには[読み取り]を使う。
なお、このダイアログでは[許可]と[拒否]という列がある。通常は[許可]側でチェックボックスをオン/オフするだけで用が足りるが、明示的にアクセスを拒否したい場面では、[拒否]の列でチェックボックスをオン/オフすることになる。もっとも、そうした操作を行う必要性は低い場合が大半を占めるだろう。
航空機の技術とメカニズムの裏側 第464回 最近の時事ネタ(17)Open Fanとデジタル・エンジニアリング
