none
共有フォルダの権限設定でサーバーのローカルユーザー・ローカルグループを指定したい RRS feed

  • 質問

  • ファイルサーバーとして新しくWindows Storage Server 2016を導入しました。(これをFSとします)
    AD管理下の環境でないため、FS上でローカルユーザーを作成して、社員にはこのローカルユーザーを使ってもらいます。

    問題は、社員が共有フォルダにあるフォルダやファイルのセキュリティ設定をする際に、FSのローカルユーザーやローカルグループを指定できずに困っております。

    社員PCのエクスプローラーで共有フォルダを開き、権限設定したいフォルダの[プロパティ] - [セキュリティ]タブ - アクセス許可エントリの[追加] - [プリンシパルの選択] - ユーザーまたはグループの選択画面の[詳細設定]
    と検索画面を開いて、条件を指定しないで検索をするのですが、ビルトインセキュリティプリンシパルしか出てこず、FSのローカルユーザーやローカルグループがヒットしません。(「場所の指定」にはFSがデフォルトで指定されています)

    共有フォルダ(=FS)にはローカルユーザーでアクセスしていますし、FSのローカルグループポリシーエディタなどで設定することで、
    FSの他のローカルユーザーやローカルグループが検索・指定できるようにならないでしょうか?

    これができると社員が共有フォルダ以下のファイルやフォルダについて権限操作をおこなえるようになるのですが、
    逆にできないと、リモートデスクトップ接続ができる社員のみがサーバー上で権限操作をしないといけなくなってしまうためこの運用は避けたいです。

    2017年7月6日 8:37

回答

  • チャブーンです。

    それでも検索結果に出ないので、リモートからの場合、ローカルユーザーやローカルグループは表示されないのがセキュリティ目的でデフォルトなのかと想像します。

    これですが、条件に「共有フォルダーへのリモートアクセス」が暗黙的に存在したのですね。残念ですが、ワークグループのサーバに関しては、リモートベースでNTFSアクセス許可で「ローカルユーザーやグループ」を選択することは、管理者権限のアクセスが必要です。

    この理由ですが、クライアントがサーバ上の共有フォルダーへのアクセス許可を指定する場合、ユーザーやグループが存在する「認証データベース」にアクセスが必要なためです。

    ドメイン環境の場合、全ユーザーやクライアントから参照可能なActive Directoryデータベースから情報を取りますが、ワークグループの場合、サーバごとに存在するSAMという認証データベースから情報を取る必要があります。

    SAMにアクセスする場合、このデータベースへの外部からのアクセスには「管理者権限」が必要になるのです。そのためおっしゃるような問題が発生します。

    残念ですがこれを回避する方法はないため、本当に必要ならば、サーバ管理者アカウントで共有フォルダーにアクセスし、アクセス許可を変える必要があります。

    ただ、素朴に思うのですが、事前に管理者が「ユーザーやグループ別(組織に合った)のサブフォルダー」を作成し、そこにアクセス許可をに与えて、書き込めるフォルダー内だけに書き込みを行ってもらう運用にすれば、利用者がわざわざ変更するオペレーションは不要になります。ですから、致命的な問題とは私には思えませんし、しくみ的にも「そういうものだ」とご納得いただくこともやむを得ない、と思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年7月7日 7:56

すべての返信

  • チャブーンです。

    NTFSアクセス許可を設定する場合、お目当てのグループがない場合、選択時の[ユーザーまたはグループの選択]ダイアログで、[オブジェクトの種類]をクリックし、[グループ]や[ユーザー]を追加選択すればよいのではないでしょうか?

    ちなみに私のドメイン環境のWindows Server 2016ですが、最初から[オブジェクトの種類]の[グループ]や[ユーザー]にはチェックがついていました。(ドメイン環境ではローカルに切り替える必要があります)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年7月6日 9:27
  • チャプーンさん

    ご返信ありがとうございます。

    >選択時の[ユーザーまたはグループの選択]ダイアログで、[オブジェクトの種類]をクリックし、[グループ]や[ユーザー]を追加選択すればよいのではないでしょうか?

    チャプーンさんが操作される時と同様に、ユーザーやグループは検索対象としてデフォルトでついてはいるのです。
    それでも検索結果に出ないので、リモートからの場合、ローカルユーザーやローカルグループは表示されないのがセキュリティ目的でデフォルトなのかと想像します。Webで調べる限りそのような仕様なのかはわからなかったのですが・・・

    もしなにか情報ありましたらご教示いただけると幸いです。


    • 編集済み SIMOKKU 2017年7月6日 23:59
    2017年7月6日 23:53
  • やきです。

    確認できる環境がないので「もしかしたら」レベルなのですが、

    ・直接「FSサーバー名\グループ名」を入れてみる
    ・mmcを開いて 共有フォルダー スナップインを追加。その際、「別のコンピューター」でFSを指定する。ここから共有フォルダのアクセス権を指定しようとしてみる。

    あたりではどうでしょうか。

    2017年7月7日 2:31
  • やきさん

    アドバイスありがとうございます。もちろんもしかしたらで結構です。

    >・直接「FSサーバー名\グループ名」を入れてみる
    [名前の確認]ボタンで展開されるはずのオブジェクト名ですよね。これもダメでした。

    >・mmcを開いて 共有フォルダー スナップインを追加。その際、「別のコンピューター」でFSを指定する。ここから共有フォルダのアクセス権を指定しようとしてみる。

    なるほど!と思ったのですが、残念ながらスナップイン追加はできるのですがいざ設定しようとすると「windowsクライアントの共有の一覧を参照するためのアクセス許可がありません」と出てなにもできませんでした。

    ここでもしかして、と試したことがありました。いったん投稿させていただきます。

    2017年7月7日 5:43
  • ファイルサーバーのローカルAdministrator(FS¥Administrator)でファイルサーバーにアクセスしたところ、
    プリンシパルの選択でローカルユーザーが選択・検索ができました。

    これでローカルAdministratorなら可能なのがわかったのですが、別のローカルユーザーをローカルAdministratorと同じように設定してみても、そのユーザーではローカルユーザーやグループが指定できませんでした・・・
    この別ユーザーをFS¥testuserとすると、
    ・FS¥testuserはFSの管理者権限をもつ
    ・FS¥testuserはFS¥Administratorsに属する
    ・権限設定しようとしているフォルダのセキュリティ設定で、FS¥testuserはフルコントロールのアクセス権をもつ
    と思いつくかぎりローカルAdministratorと同じ権限を与えてみたのですが。
    試しにすべてのグループにも属してみたのですが(権限の低そうなGuestやPower User以外)、それでもローカルAdministratorのように指定・検索ができません。

    ちなみにローカルAdministratorでもmmcでの共有フォルダースナップインでは「windowsクライアントの共有の一覧を参照するためのアクセス許可がありません」となりました。

    ローカルAdministrator以外のユーザーでもローカルユーザー・グループを指定・検索する方法はないでしょうか。
    何か試すとよさそうなことあればぜひご教示ください。




    • 編集済み SIMOKKU 2017年7月7日 7:02
    2017年7月7日 5:56
  • チャブーンです。

    それでも検索結果に出ないので、リモートからの場合、ローカルユーザーやローカルグループは表示されないのがセキュリティ目的でデフォルトなのかと想像します。

    これですが、条件に「共有フォルダーへのリモートアクセス」が暗黙的に存在したのですね。残念ですが、ワークグループのサーバに関しては、リモートベースでNTFSアクセス許可で「ローカルユーザーやグループ」を選択することは、管理者権限のアクセスが必要です。

    この理由ですが、クライアントがサーバ上の共有フォルダーへのアクセス許可を指定する場合、ユーザーやグループが存在する「認証データベース」にアクセスが必要なためです。

    ドメイン環境の場合、全ユーザーやクライアントから参照可能なActive Directoryデータベースから情報を取りますが、ワークグループの場合、サーバごとに存在するSAMという認証データベースから情報を取る必要があります。

    SAMにアクセスする場合、このデータベースへの外部からのアクセスには「管理者権限」が必要になるのです。そのためおっしゃるような問題が発生します。

    残念ですがこれを回避する方法はないため、本当に必要ならば、サーバ管理者アカウントで共有フォルダーにアクセスし、アクセス許可を変える必要があります。

    ただ、素朴に思うのですが、事前に管理者が「ユーザーやグループ別(組織に合った)のサブフォルダー」を作成し、そこにアクセス許可をに与えて、書き込めるフォルダー内だけに書き込みを行ってもらう運用にすれば、利用者がわざわざ変更するオペレーションは不要になります。ですから、致命的な問題とは私には思えませんし、しくみ的にも「そういうものだ」とご納得いただくこともやむを得ない、と思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年7月7日 7:56
  • チャプーンさん

    再度のご返信ありがとうございます。

    共有フォルダへのアクセスがリモートからであること明記しておらず失礼致しました。
    共有フォルダのデータをクライアントPCから利用・設定する状況でありました。

    SAMの制限とのこと、ご説明いただきありがとうございます。
    そのあたりかと思いローカルグループポリシーも見たりいじったりしたのですが、管理者しか参照できないと固定されているのですね。

    そこが固定されてると他をどうやっても無理そうなので、ユーザーには権限変更したい場合はサーバー管理者に依頼するという運用にしようと思います。
    そういう申請は、たとえば部署フォルダの中でも部長・課長しか見るべきでないファイルについてアクセス制限をかけたい場合などに出されることを想定しています。

    チャプーンさんの投稿を回答とさせていただきます。ありがとうございました。
    2017年7月7日 8:48
  • もしかすると、サーバ側で

    https://support.microsoft.com/kb/951016/

    のレジストリ設定をしておくと、解決しないかな?と思いました。

    2017年7月7日 14:32
  • チャブーンです。

    h-Yamasakiさん、情報ありがとうございます。

    確かにリモートUACの無効化は考えられるかな?と思い、検証環境(Windows Server 2016ワークグループサーバ)でLocalAccountFilterPolicyレジストリ値を1にして試してみましたが、残念ながら私の環境では、効果がなかったようです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年7月8日 2:12
  • h-yamasakiさん

    情報ありがとうございます。こういうのもあるのですね。

    試してみたところ、ローカルのAdministratorsグループに属するユーザーなら
    ローカルユーザー・グループの検索・指定ができるようになりました!

    ただ当然ながら他のグループに属してるだけではダメでした。
    共有フォルダのユーザー全員にサーバーのAdministrator権限を与えるのは危険なので、
    この設定を使うのは見送ろうと思います。

    どうもありがとうございました。

    2017年7月10日 2:22