none
共有フォルダを作成、アクセス権変更、ユーザ付与などは、Localのアドミン権限か、Domain Adminしかできないのか RRS feed

  • 質問

  • windows Server 2008 Standard SP2でAD環境(ドメコンも2008)でファイルサーバを運
    用している状況で
    第一希望は
    ・ドメインコントローラのグループの権限(Server Operatorsなど)で、オペレーションしたいユーザにグループ追加してできれば、ドメイン内のすべてのサーバに共有フォルダのオペレーションができて楽。
    第二希望は
    ・ファイルサーバのローカルグループにファイル共有設定変更のみを行える権限を持ったグループがあれば、それをドメインのユーザにアサインさせて、運用したい。

    現在確認できている運用方法は、
    ・ファイルサーバのローカルアドミン権限のグループをオペレーションしたいアカウントのみにアサインする。
    デメリット
    そのアカウントでは、ファイルサーバのみですが、何でもできてしまうという
    (サーバに影響のあるソフトのインストールやシャットダウンのオペレーションのミスなど)

    宜しくお願い致します。

    2010年10月12日 3:50

回答

  • 上記権限を与える必要があるのであれば、対象アカウントにフルコントロールのアクセス権を付与する必要がありますね。

    特定のフォルダへのフルコントロール権限の追加ですので、心配されているようなミスは発生しないかと思います。対象のファイルサーバー数が多いのであれば、管理用のセキュリティグループを作成し、その中にオペレータなどのメンバを追加しては如何でしょうか?他の権限を与えずに必要な事だけをさせたいという要望だと思いますので、上記ご案内くらいしか私には今のところ浮かびません。

    また、アクセス権ですので十分に検証を行ったのちに適用してください。

    他にもっと良い方法がある可能性がありますので、他の識者の方の回答を待ってみてはいかがでしょうか?

    • 回答としてマーク 服部清次 2010年10月27日 9:14
    2010年10月12日 8:25
  • チャブーンです。

    この件ですが、「特定のサーバに対して『共有フォルダを作成する権限が必要』」という場合、ローカルグループのPower UsersないしはAdministratorsの権限が必要です。

    うえの権限を満たしたうえで、「Administratorsの権限では困る」というなら、該当アカウントをPower Usersグループのメンバにしてください。ただし、Power Usersグループの権限はAdministratorsより少ないモノですが、プログラムのインストール等はできてしまう場合もあります。挙動をちゃんと確かめてみてくださいね。

    • 回答としてマーク 服部清次 2010年10月27日 9:14
    2010年10月14日 3:33
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    私の方で少しだけフォローさせていただきますね。

    アクセス権の変更については、管理者権限が必須というわけではないので(管理者権限があると楽ですが・・)、工夫次第で何とかなるかもしれません。
    ("所有者" もしくは "アクセス許可の変更" が許可されていれば変更できます)

    - 参考情報
    ファイルとフォルダのアクセス許可を設定、表示、変更、または削除する
    http://technet.microsoft.com/ja-jp/library/cc780121(WS.10).aspx

    --- 抜粋 ---
    アクセス許可を変更するには、所有者であるか、または所有者からアクセス許可を変更するためのアクセス許可を与えられている必要があります。
    ------------


    一つの共有フォルダ内に、用途別・部署毎のサブフォルダを作成し、そのサブフォルダ毎にフルアクセスの権限があるアカウント・グループを作成し管理してもらう、といった形の方が良いのではないかなと思われます。
    (もしくは、Web アプリケーションなどを作成して、システムを通じて操作してもらうなど)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年10月18日 4:53
    モデレータ

すべての返信

  • 上記で言われている”オペレーション”とは、どのような作業を想定していますか?

    それによって回答も変わってくると思います。

     

    2010年10月12日 4:36
  • ご返信ありがとうございます。

    質問が中途半端で申し訳ございませんでした。

    オペレーションですが、エンドユーザから共有フォルダの作成やフォルダのアクセス権、フォルダへアクセスできるユーザの追加などの作業をオペレータにお任せしたいと思っております。現在は、アドミン権限を持っている管理者が同作業を行っており、エンドユーザへの迅速な対応が難しい状況になっております。

    オペレータには誤操作を防ぐ意味もあり、あまり大きな権限を与えたくないと考えております。

    宜しくお願い致します。

    2010年10月12日 4:58
  • 上記権限を与える必要があるのであれば、対象アカウントにフルコントロールのアクセス権を付与する必要がありますね。

    特定のフォルダへのフルコントロール権限の追加ですので、心配されているようなミスは発生しないかと思います。対象のファイルサーバー数が多いのであれば、管理用のセキュリティグループを作成し、その中にオペレータなどのメンバを追加しては如何でしょうか?他の権限を与えずに必要な事だけをさせたいという要望だと思いますので、上記ご案内くらいしか私には今のところ浮かびません。

    また、アクセス権ですので十分に検証を行ったのちに適用してください。

    他にもっと良い方法がある可能性がありますので、他の識者の方の回答を待ってみてはいかがでしょうか?

    • 回答としてマーク 服部清次 2010年10月27日 9:14
    2010年10月12日 8:25
  • チャブーンです。

    この件ですが、「特定のサーバに対して『共有フォルダを作成する権限が必要』」という場合、ローカルグループのPower UsersないしはAdministratorsの権限が必要です。

    うえの権限を満たしたうえで、「Administratorsの権限では困る」というなら、該当アカウントをPower Usersグループのメンバにしてください。ただし、Power Usersグループの権限はAdministratorsより少ないモノですが、プログラムのインストール等はできてしまう場合もあります。挙動をちゃんと確かめてみてくださいね。

    • 回答としてマーク 服部清次 2010年10月27日 9:14
    2010年10月14日 3:33
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    私の方で少しだけフォローさせていただきますね。

    アクセス権の変更については、管理者権限が必須というわけではないので(管理者権限があると楽ですが・・)、工夫次第で何とかなるかもしれません。
    ("所有者" もしくは "アクセス許可の変更" が許可されていれば変更できます)

    - 参考情報
    ファイルとフォルダのアクセス許可を設定、表示、変更、または削除する
    http://technet.microsoft.com/ja-jp/library/cc780121(WS.10).aspx

    --- 抜粋 ---
    アクセス許可を変更するには、所有者であるか、または所有者からアクセス許可を変更するためのアクセス許可を与えられている必要があります。
    ------------


    一つの共有フォルダ内に、用途別・部署毎のサブフォルダを作成し、そのサブフォルダ毎にフルアクセスの権限があるアカウント・グループを作成し管理してもらう、といった形の方が良いのではないかなと思われます。
    (もしくは、Web アプリケーションなどを作成して、システムを通じて操作してもらうなど)


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年10月18日 4:53
    モデレータ
  • 小五郎 さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    小五郎 さんがこちらの質問を投稿されてから少し経ちましたが、アスノア さん、チャブーン さん、
    弊社の三沢健二の回答はご確認いただけましたでしょうか?

    今回、アスノア さん、チャブーン さん、弊社の三沢の回答を参考にしていただけるのではないかと思いいました
    ので、勝手ながら、ひとまず私の方で [回答としてマーク] させていただきました。

    また何か困ったことがありましたら、ぜひ TechNet フォーラムに質問を投稿してください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年10月27日 9:18