今回は、前回に紹介した共有アクセス権を実際に設定する際の操作手順と、NTFSアクセス権について解説しよう。

共有アクセス権の設定

実際に共有アクセス権を操作する場合、前回に解説したように、共有設定を行う際に[アクセス権]をクリックして設定を変更する必要がある。具体的な操作手順は、以下のようになる。

 1. アクセス権設定ダイアログで、設定対象になるユーザー/グループを一覧に並べる。不要なものは選択して[削除]をクリックすると一覧から消える。

アクセス権設定ダイアログのデザインは、共有アクセス権でもNTFSアクセス権でも同じで、設定できる権利の種類が異なるだけ

 2. 逆に、追加したい場合には[追加]をクリックして、ユーザー検索画面で追加を指示する。ユーザー/グループの名前が分かっていれば、[選択するオブジェクト名を入力してください]に、ユーザーアカウントやグループの名前を入力して[OK]をクリックすればよい。

 3. 名前をきちんと覚えていなくても、名前の一部分を入力して[名前の確認]をクリックすると、該当する名前を表示するようになっている。ただし、該当するものがなければエラー画面を表示する。この機能は、入力した名前が正しいかどうかの確認にも使用できる。存在していれば、下線をつけた状態になるからだ

[追加]をクリックすると表示されるダイアログで、アクセス権の設定対象となるグループ、あるいはユーザーを指定する。ユーザー/グループの名前を覚えていれば、それをそのまま入力すればよい。名前の一部を入力して[名前の確認]をクリックすると、該当するユーザー/グループを捜して表示する

該当するユーザーアカウントやグループがないと、エラー画面を表示する

該当するユーザー/グループが複数存在すると、候補を列挙して選択を求めてくる

 4. 名前をちゃんと覚えていない場合には、[詳細設定]をクリックして検索を行う方法を使う。[詳細設定]をクリックするとダイアログが拡張するので、その状態で名前の全体、あるいは一部を指定して検索する仕組みだ。また、何も条件を指定しないで[今すぐ検索]をクリックすると、すべてのユーザー/グループを表示するので、そこから目で追って捜しても良い。ユーザー/グループの数が少なければ、これでも十分に使い物になる。

[詳細設定]をクリックすると、この状態になる。ここで条件を指定して検索したり、何も条件を指定せずに[今すぐ検索]をクリックして全部を表示させたりできる

 5. 「2.」~「4.」の操作を繰り返して、ユーザー/グループの一覧を適正な内容にする。

 6. 続いて、アクセス権を設定する対象をクリックして選択する。すると、選択対象に対して設定してある共有アクセス権の内容を、下の一覧に表示する。それぞれの項目についてチェックボックスのオン/オフを変更すると、共有アクセス権の内容が変わる。

上の一覧で選択したグループやユーザーについて、下の一覧でチェックボックスのオン/オフを切り替えて、アクセス権を設定する

 7. すべてのユーザー/グループについて設定が終わったら、[OK]をクリックして元のダイアログに戻る。そして共有設定を確定すればよい。

なお、共有設定を行う場面で共有アクセス権を設定する場合、アクセス権設定の対象になるユーザー/グループは、設定操作を行う時点ですでに存在している必要がある。

NTFSアクセス権の設定

ファイルサーバのアクセス権管理で使用することは推奨できないが、その他の場面で設定を確認、あるいは変更しなければならない可能性が考えられるため、NTFSアクセス権についても解説しておこう。

すでに触れているように、これはNTFSでフォーマットしたパーティションでのみ利用できる機能で、ファイルやフォルダに対して直接設定するアクセス権を意味している。設定の確認・変更には、エクスプローラを使用する方法と、ICACLSコマンド・CACLSコマンドを使用する方法がある。

エクスプローラを使用する場合、目的のでファイルやフォルダについて[プロパティ]ダイアログを表示させて、[セキュリティ]タブに移動する。実はそこから先が長くて、[詳細設定]をクリックすると表示するダイアログで個別のアクセス許可エントリごとに[アクセス許可の変更]をクリックする。さらに続いて表示されるダイアログで、個別のアクセス許可エントリごとに[編集]をクリックすると、そこで初めて設定の変更が可能になる。

一方、ICACLSコマンド・CACLSコマンドはコマンドラインで操作を行うもので、Server Coreインストールを行った場合には、こちらを使用する必要がある。CACLSコマンドは、NTFSアクセス権の設定に使用するアクセス制御リスト(ACL : Access Control List)の表示・置き換えを行うものだが、現在では使用は推奨されていない。代わりに後から加わったのがICACLSコマンドで、ACLの内容をファイルに書き出したり、それを使ってACLを復元したり、ACLの内容を別の内容と置き換えたり、といった機能が加わっている。

ともあれ、NTFSアクセス権で可否を設定できる操作には、以下のものがある。このうち[フルコントロール]は、すべての操作を包含する。

  • フルコントロール
  • フォルダのスキャン/ファイルの実行
  • フォルダの一覧/データの読み取り
  • 属性の読み取り
  • 拡張属性の読み取り
  • ファイルの作成/データの書き込み
  • フォルダの作成/データの追加
  • 属性の書き込み
  • 拡張属性の書き込み
  • サブフォルダとファイルの削除
  • 削除
  • アクセス許可の読み取り
  • アクセス許可の変更
  • 所有権の取得

これでは数が多い上に複雑なので、プロパティ画面の[セキュリティ]タブ、あるいはそこで[詳細設定]をクリックすると表示するダイアログでは、以下の形に集約して表示している。

  • フルコントロール
  • 変更
  • 読み取りと実行
  • 読み取り
  • 書き込み
  • フォルダの内容の一覧表示(フォルダのみ)
  • その他(特殊なアクセス許可)

Windows Server 2008のプロパティ画面の[セキュリティ]タブで、さらに[詳細設定]をクリックすると、この状態になる。さらに個別のアクセス許可エントリごとに、[アクセス許可の変更]をクリックして設定を行う必要がある

「Program Files」や「Windows」といったフォルダでは、NTFSアクセス権の設定が既定値よりも厳格になっており、それによって安全性を高めている。そのため、これらのフォルダとその下のサブフォルダについては、NTFSアクセス権の設定を変更しないように注意したい。

NTFSアクセス権でもうひとつ注意が必要なのは、「継承」の概念だろう。たとえば、あるフォルダの下に別のフォルダを作成した場合、作成したフォルダは上位フォルダのNTFSアクセス権を引き継ぐ。したがって、アクセス制限が厳しくなっているフォルダの下にサブフォルダを作成すると、そのサブフォルダも厳しいアクセス制限を引き継ぐことになる。

実はこれが、Windowsをセットアップするドライブと共有対象のドライブを分ける方がよい理由のひとつ。アクセス権管理を共有アクセス権に一本化する場面では、NTFSアクセス権でへたに厳しい設定が行われていると、混乱する原因になるかもしれないからだ。

アクセス権が競合したときの挙動

最後に、共有アクセス権とNTFSアクセス権の両方に関わってくるアクセス権の設定競合について、簡単に触れておこう。

同じ共有フォルダ、あるいはファイル/フォルダに対して複数のアクセス権設定が適用された場合の基本的な原則は、以下の2種類だ。

  • 複数のアクセス権設定が競合した場合、利用可能なアクセス権を足し合わせた合計を適用する
  • ただし[拒否]は[許可]に優先する

単に複数のアクセス許可設定を適用する場合だけでなく、アクセス権を付与する対象になるユーザー、あるいはグループが複数存在した場合にも、このアクセス権の競合が発生する可能性がある。たとえば、同じユーザーが複数のグループに属していて、それぞれのグループに対して異なる内容のアクセス許可を設定した場合がそれだ。

そのため、アクセス権を足し合わせた結果として、設定したつもりがないアクセス許可を設定してしまった、という場面も考えられる。そうしたトラブルを避けるためにも、アクセス権の設定はできるだけシンプルにして、かつ、設定内容をドキュメント化して参照できるようにしたい。