locked
Windowsサーバにおけるアクセス権設定について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windowsサーバ2008R2をAD(ドメインコントローラ)&ファイルサーバとして構築しております。

    アクセス権の設定中、フォルダのプロパティから「共有」、「セキュリティ」のタブがあり、それぞれアクセス権が設定可能ですが、

    「共有」タブのアクセス権 ⇒ 他のノードからアクセスされた場合に参照されるアクセス権のルール

    「セキュリティ」タブのアクセス権 ⇒ 設定したPC、サーバにログインしたユーザーに適用され、参照されるアクセス権のルール

    上記の認識であっているか、ご教授頂きたく、お願い致します。

    2013年12月18日 0:14

回答

  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    ちょっとちがうかな?

    共有アクセス権はファイル共有を使用した際に参照されるアクセス権ですので、

    SANEB様のご認識でよろしいと思います。

    セキュリティタブのアクセス権はNTFSアクセス権といいまして、

    SANEB様のご認識に加えて、ファイル共有にてアクセスした際にも参照されます。

    つまり他ノードからのアクセスは二重で検閲されているということです。

    ですので、通常は共有アクセス権をフルコントロールにしておいて、

    NTFSアクセス権のみでアクセス制御させるのが一般的かと思います。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:29
  • Question
    サインインして投票
    0
    サインインして投票

    共有タブはネットワーク経由でのアクセスのみ参照されますが
    セキュリティタブはローカルでアクセスした場合もネットワーク経由でアクセスした場合も両方とも参照されます。

    そのため、ローカルでアクセスした場合にはセキュリティタブの設定のみが有効で
    ネットワーク経由でアクセスした場合には該当のアカウントに対してセキュリティタブと共有タブの2つでより厳しいアクセス権が適用されます。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:37
  • Question
    サインインして投票
    0
    サインインして投票

    お二方が答えている通りなので補足を。

    共有アクセス権についてはooooh様記載のとおり「everyone:fullcontorl」にすることが多いです。

    NTFSアクセス権で実際の制限をかけることが多いのですが、記載の環境では対象がドメインコントローラなので

    設定できプリンシパルとしてはドメインアカウントのみになります。念のためですが。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:47
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    お三方の回答に補足します。

    Windows Server 2008 以降では、以前の「共有のアクセス許可」相当の操作は[詳細な共有]ボタンで設定します。もし質問者さんが対象にされているのが[共有]ボタンの場合ですが、以前の「共有のアクセス許可」と「NTFSアクセス許可」が同時に設定されます。「共有のアクセス許可」にはEveryoneフルコントロールが含まれたアクセス許可が設定され、NTFSアクセス許可には設定時に追加したユーザ/グループの読み取りと実行またはフルコントロールのアクセス許可が追加設定されたはずです。

    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 2:18
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    共有のアクセス権の「詳細な共有」から設定を行うとNTFSアクセス許可も同時に設定されるとの事ですが、

    逆です。「詳細な共有」ボタンは共有のアクセス権しか設定しません。「共有」ボタンの方だと、両方を同時設定します。共有を簡単に設定したいのではなく、細かい設定を確実に設定したいのであれば、「共有」ボタンでの共有設定はムリに行わなくてよいと思います。

    icacls <共有フォルダパス> /t /c /grant ユーザー名:(CI)(OI)(M)

    共有フォルダの「ローカルパス」(ドライブ名から始まるパス)で設定してください。この意味で<共有フォルダパス>を使っているのでしたら問題はないです。

    net share <共有フォルダ名>=<共有フォルダパス> /grant:Everyone,full

    icaclsと同じ注意点になります。ちなみに<共有フォルダ名>は任意に設定できます。共有フォルダのルートフォルダと同じ名前である必要は実はありません。

    • 回答としてマーク SANEB 2013年12月18日 9:28
    2013年12月18日 7:06

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    ちょっとちがうかな?

    共有アクセス権はファイル共有を使用した際に参照されるアクセス権ですので、

    SANEB様のご認識でよろしいと思います。

    セキュリティタブのアクセス権はNTFSアクセス権といいまして、

    SANEB様のご認識に加えて、ファイル共有にてアクセスした際にも参照されます。

    つまり他ノードからのアクセスは二重で検閲されているということです。

    ですので、通常は共有アクセス権をフルコントロールにしておいて、

    NTFSアクセス権のみでアクセス制御させるのが一般的かと思います。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:29
  • Question
    サインインして投票
    0
    サインインして投票

    共有タブはネットワーク経由でのアクセスのみ参照されますが
    セキュリティタブはローカルでアクセスした場合もネットワーク経由でアクセスした場合も両方とも参照されます。

    そのため、ローカルでアクセスした場合にはセキュリティタブの設定のみが有効で
    ネットワーク経由でアクセスした場合には該当のアカウントに対してセキュリティタブと共有タブの2つでより厳しいアクセス権が適用されます。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:37
  • Question
    サインインして投票
    0
    サインインして投票

    お二方が答えている通りなので補足を。

    共有アクセス権についてはooooh様記載のとおり「everyone:fullcontorl」にすることが多いです。

    NTFSアクセス権で実際の制限をかけることが多いのですが、記載の環境では対象がドメインコントローラなので

    設定できプリンシパルとしてはドメインアカウントのみになります。念のためですが。

    • 回答の候補に設定 チャブーンMVP 2013年12月18日 2:18
    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 0:47
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    お三方の回答に補足します。

    Windows Server 2008 以降では、以前の「共有のアクセス許可」相当の操作は[詳細な共有]ボタンで設定します。もし質問者さんが対象にされているのが[共有]ボタンの場合ですが、以前の「共有のアクセス許可」と「NTFSアクセス許可」が同時に設定されます。「共有のアクセス許可」にはEveryoneフルコントロールが含まれたアクセス許可が設定され、NTFSアクセス許可には設定時に追加したユーザ/グループの読み取りと実行またはフルコントロールのアクセス許可が追加設定されたはずです。

    • 回答としてマーク SANEB 2013年12月18日 3:08
    2013年12月18日 2:18
  • Question
    サインインして投票
    0
    サインインして投票

    ooooh様、みゃう様、チキン 株式会社プリネッツ様、チャブーン様

    御回答頂き、ありがとうございます。

    共有のアクセス権の「詳細な共有」から設定を行うとNTFSアクセス許可も同時に設定されるとの事ですが、

    「セキュリティ」タブのアクセス権は変化がありませんでした・・・

    ご教授頂いた内容から、共有アクセス権はEveryone:fullcontrol、NTFSアクセス権は任意のユーザーとパーミッションで設定したいと

    考えておりますが、コマンドから設定する場合とGUIから選択する場合で注意点等はありますでしょうか?(下記コマンドで設定する予定です)

    【NTFSアクセス権】

    icacls <共有フォルダパス> /t /c /grant ユーザー名:(CI)(OI)(M)

    【共有アクセス権】

    net share <共有フォルダ名>=<共有フォルダパス> /grant:Everyone,full

    重ねての質問となってしまい、恐縮です。

    2013年12月18日 4:32
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    共有のアクセス権の「詳細な共有」から設定を行うとNTFSアクセス許可も同時に設定されるとの事ですが、

    逆です。「詳細な共有」ボタンは共有のアクセス権しか設定しません。「共有」ボタンの方だと、両方を同時設定します。共有を簡単に設定したいのではなく、細かい設定を確実に設定したいのであれば、「共有」ボタンでの共有設定はムリに行わなくてよいと思います。

    icacls <共有フォルダパス> /t /c /grant ユーザー名:(CI)(OI)(M)

    共有フォルダの「ローカルパス」(ドライブ名から始まるパス)で設定してください。この意味で<共有フォルダパス>を使っているのでしたら問題はないです。

    net share <共有フォルダ名>=<共有フォルダパス> /grant:Everyone,full

    icaclsと同じ注意点になります。ちなみに<共有フォルダ名>は任意に設定できます。共有フォルダのルートフォルダと同じ名前である必要は実はありません。

    • 回答としてマーク SANEB 2013年12月18日 9:28
    2013年12月18日 7:06
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    何度も御回答頂き、ありがとうございます。

    認識違いでした。簡易設定だと、NTFS、共有の両方が設定されるのですね。

    コマンドに関しても御確認頂き、誠にありがとうございます。加えて丁寧な補足説明も頂き、大変恐縮です。

    御回答くださいました皆様、改めてお礼申し上げます。

    誠にありがとうございました。

    2013年12月19日 0:34