none
共有フォルダのアクセス権限について RRS feed

  • 質問

  • WindowsServer2003R2にて共有フォルダを作成した場合のアクセス権限付与

    について質問します。

    例えば、フォルダ「A」があったとして、それを共有フォルダにする場合、次のようなアクセス権限の付与はできますでしょうか。

    ・グループ1、グループ2、グループ3、グループ4が存在するとする

    ・フォルダAに対して、「グループ1に所属かつグループ2またはグループ3に所属しているユーザにのみ読み書きの権限を与える」

     

    上記設定の可否についてご教授いただければと思います。

     

    2011年4月26日 14:13

回答

  • 私の知っている知識では出来ないと思います。アクセス権については特殊なアクセス権などを含め、突き詰めて行くと色々なことが出来ますので、もしかしたら出来るかも知れません。他の識者からのアドバイスを待ってみてください。

    私でしたらもし出来たとしても、運用管理上、複雑になって自分自身が混乱してしまいますので、新しく作成するグループAとグループBにそれぞれて適切なメンバを登録してシンプルに運用します。

    以上、参考になれば幸いです。

    2011年4月28日 0:00
  • アクセス権の設定方法としての推奨はAGDLPになります。

    よって、DLにアクセス権を設定して、Gを入れ込みます。

    このような考え方からすると、

    >「フォルダAに対して、同じグループ2に所属している人のうち、グループ1にも所属している人には読み書きの権限を与え、グループ4にも所属している人には読み書き権限を与えない」

    というのはできませんね。

    >グループAには「グループ1に所属かつグループ2、グループ3のいづれかに所属しているユーザ」

    これは、スクリプトで対応することになります。

    たとえば、dsコマンドなどを使用すればできると思われます。

    ですので、結論としてはADのユーザーとコンピューターの管理ツールからではご希望の設定はできません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月28日 12:25
    モデレータ

すべての返信

  • Active Directoryに投稿されていた件はこちらの内容に係ってくるのですね。

    グループと言われているのがセキュリティグループという前提でお話します。

    ADでも回答しましたが、グループ2と3が最上位のグループとなり、その下にグループ4、最下位にグループ1になると思います。

    ですので、フォルダ「A」に、グループ2と3に読み書きの権限を与えてあげればよろしいかと思います。

    2011年4月26日 23:31
  • ADの質問に対するご回答を含め、ありがとうございます。

    スミマセン、私の質問内容に言葉足らず、および間違えがありました。申し訳ございません。

     

    質問内容を訂正させていただきますと、

     

    例えば、フォルダ「A」とフォルダ「B」があったとします。

    ・グループ1、グループ2、グループ3、グループ4が存在するとする

    ・フォルダAに対して、「グループ1に所属かつグループ2、グループ3のいづれかに所属しているユーザにのみ読み書きの権限を与える」

    ・フォルダBに大しては、「グループ4に所属かつグループ2、グループ3いづれかに所属しているユーザにのみ読み書きの権限を与える」

    つまり、

    「フォルダAに対して、同じグループ2に所属している人のうち、グループ1にも所属している人には読み書きの権限を与え、グループ4にも所属している人には読み書き権限を与えない」

    というようなことは出来るのでしょうか。

     

    また、仮に上記のことが実現できない場合、新たにグループA、グループBを作成し、

    グループAには

    「グループ1に所属かつグループ2、グループ3のいづれかに所属しているユーザ」

    グループBには

    「グループ4に所属かつグループ2、グループ3いづれかに所属しているユーザ」

    という定義で設定することは出来ますでしょうか。

     

    わかりにくい質問で恐縮ですが、お願いいたします。

    2011年4月27日 13:28
  • 私の知っている知識では出来ないと思います。アクセス権については特殊なアクセス権などを含め、突き詰めて行くと色々なことが出来ますので、もしかしたら出来るかも知れません。他の識者からのアドバイスを待ってみてください。

    私でしたらもし出来たとしても、運用管理上、複雑になって自分自身が混乱してしまいますので、新しく作成するグループAとグループBにそれぞれて適切なメンバを登録してシンプルに運用します。

    以上、参考になれば幸いです。

    2011年4月28日 0:00
  • アクセス権の設定方法としての推奨はAGDLPになります。

    よって、DLにアクセス権を設定して、Gを入れ込みます。

    このような考え方からすると、

    >「フォルダAに対して、同じグループ2に所属している人のうち、グループ1にも所属している人には読み書きの権限を与え、グループ4にも所属している人には読み書き権限を与えない」

    というのはできませんね。

    >グループAには「グループ1に所属かつグループ2、グループ3のいづれかに所属しているユーザ」

    これは、スクリプトで対応することになります。

    たとえば、dsコマンドなどを使用すればできると思われます。

    ですので、結論としてはADのユーザーとコンピューターの管理ツールからではご希望の設定はできません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月28日 12:25
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    アスノア さん、ABE NAOKI さん、アドバイスありがとうございます。

    複雑なアクセス権を付与すると管理上の手間がかかると思いますので、比較的シンプルな方が良いかもしれませんね。
    (グループの作成も同様かもしれません。。。)

    それでは、お二人のアドバイスが参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    - 関連スレッド
    ActiveDirectoryでのグループ作成について
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/39e29db3-d0e8-4007-8a8a-f2c50a313ddc


    今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年5月9日 7:22
    モデレータ