none
Windowsサーバーにおけるフォルダ共有時のABE設定方法について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    AD配下にいるWIndows2012serverR2で、特定のユーザーにのみ
    参照できるフォルダを作成したいと考えています。

    具体的には、
    管理者(AD配下のadministratorsグループに属しています)
    一般(AD配下のusersグループに属しており、ローカルdministratorの権限を有する)
    の2つのユーザーに対して、

    D:\パブリック\管理者グループ
    D:\パブリック\一般グループ

    と言うフォルダ構成を作成し、
    管理者グループフォルダは管理者のみに見えて、
    一般グループフォルダは一般及び管理者に見えるようにしたく
    思いましたので、各フォルダに対して次のように設定しました。

    D:\パブリック フォルダに対して、
     管理者←アクセス権を読み取り、共有を読み取り
     一般 ←アクセス権を読み取り、共有を読み取り
     設定として、「アクセス許可に基づいた列挙を有効にする」のチェックをON
           「共有のキャッシュを許可する」のチェックをON
           それ以外のチェックをOFF

    D:\パブリック\管理者グループ フォルダに対して、
     管理者←アクセス権をフルコントロール、共有をフルコントロール
     設定として、「アクセス許可に基づいた列挙を有効にする」のチェックをOFF
           「共有のキャッシュを許可する」のチェックをON
           それ以外のチェックをOFF

    D:\パブリック\一般グループ フォルダに対して、
     管理者←アクセス権をフルコントロール、共有をフルコントロール
     一般 ←アクセス権をフルコントロール、共有をフルコントロール
     設定として、「アクセス許可に基づいた列挙を有効にする」のチェックをOFF
           「共有のキャッシュを許可する」のチェックをON
           それ以外のチェックをOFF

    このように設定したサーバーに対して、クライアントから各ユーザーで
    サインインしてフォルダの見え方を確認しましたが、

    管理者 パブリック  →見えるが読み取り専用
        管理者グループ→見えてフルコントロール
        一般グループ →見えてフルコントロール

    一般  パブリック  →見えるが読み取り専用
        管理者グループ→見えるが入れない
        一般グループ →見えてフルコントロール

    となりました。

    権限は思ったようになっていますが、一般のユーザーに管理者グループの
    フォルダが見えてしまいます。

    何か設定を間違えているのでしょうか。



    2021年1月13日 2:52
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、話しを難しくしていたらすみません。

    この権限を付与するという行為を行うには、フォルダに共有設定をしないとできない(権限付与する為の設定画面が共有設定の配下にあるので)と考え、今回のように全てのフォルダに共有設定をした上で権限付与設定を行ったのですが、そうすると、おっしゃる通り全てのフォルダがルートフォルダとみなされてしまいますので、このあたりの理解が間違っているという事ではないかと思います。

    その通りです。アクセス許可には「共有アクセス許可」と「NTFSアクセス許可」の2つがあり、外から共有に接続した際のアクセス権限(コレはすべての接続に影響があります)と、いったん共有に繋がってからの内部的なアクセス権限(フォルダーごとに変えられます)があるということです。

    そうだとすると共有をせずにフォルダに対する権限を与える必要があるかと思うのですが、どうすればよいのでしょうか。

    これは「NTFSアクセス許可」で設定することになります。それ以外の方法では、設定できません。このアクセス許可を読み取り、表示を決定しているのがABEの機能になります。共有フォルダーを構成する場合、したのような方法で設定することになります。

    1. 1つの「親フォルダー」を基点に、その配下にすべての「子フォルダー」を配置し、共有フォルダーの階層を構成します。
    2. 親フォルダーに「共有アクセス許可」を設定します。「詳細な共有」ボタンから設定します。一般に「everyone/フルコントロール/許可」だけを設定すれば問題ありません。この際、ABEの設定もここで有効化します。
    3. 子フォルダーに対して、個別にNTFSアクセス許可を設定します。小フォルダーの[セキュリティ]タブで設定します。親フォルダーでABEは有効化されていますので、ABEの設定は何もする必要がありません。NTFSアクセス許可の設定方法については、したのページを参考になさってください。「フルコントロール」「変更」「読み取り」の3つから選択すれば当座は十分でしょう。
      データの保護 ‐ Windows 2000 におけるファイル、フォルダ、共有リソース、およびその他のシステム オブジェクトのアクセス制御設定 | Microsoft Docs

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2021年1月20日 14:32
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    https://social.technet.microsoft.com/Forums/ja-JP/607aacf2-bccd-4290-8f5d-2df5438478f4/server2008?forum=windowsserver2008ja

    のチャブーンさんの回答の末尾4行に記載されている挙動ではないでしょうか?


    2021年1月13日 13:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    h-yamasakiさん、ありがとうございます。

    この件、質問を呼んでみたのですが、ルートフォルダーと配下フォルダーに両方に共有を設定し、両方ともルートフォルダーの扱いになってしまっていますね。ABEは配下フォルダーだけに有効になりますので、ルートフォルダー自身は消えないですね。配下フォルダーの立ち位置であっても、共有を設定した時点でルート扱いとなりますね。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年1月13日 18:03
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    h-yamasakiさんありがとうございます。
    チャプーンさんが回答くださっていますので、そちらに返信として追加の質問を
    させていただきます。


    2021年1月14日 0:57
    |
  • Question
    サインインして投票
    0
    サインインして投票
    チャプーンさんありがとうございます。

    以前にご回答されている内容と今回ご回答いただいた内容を読ませていただき、
    私のABEに関する理解が足りていないのではないかと思いますので、
    よろしければ教えていただきたいのですが。

    今回の例を前提としてWeb等で調べた結果、
    管理者には管理者グループフォルダと一般グループフォルダを見えるようにして、
    一般には一般グループフォルダは見えるが管理者グループフォルダは見えない
    ようするには、
    パブリックフォルダにABEの設定を行う(これによりそのパブリックフォルダ配下の
    フォルダは権限のあるユーザーにしか見えなくなると理解しています)と同時に、
    管理者グループフォルダは管理者のみに権限を付与し、
    一般グループフォルダには管理者と一般に権限を付与する必要があると理解しました。

    この権限を付与するという行為を行うには、フォルダに共有設定をしないと
    できない(権限付与する為の設定画面が共有設定の配下にあるので)と考え、
    今回のように全てのフォルダに共有設定をした上で権限付与設定を行ったのですが、
    そうすると、おっしゃる通り全てのフォルダがルートフォルダとみなされてしまいますので、
    このあたりの理解が間違っているという事ではないかと思います。

    そうだとすると共有をせずにフォルダに対する権限を与える必要があるかと思うのですが、
    どうすればよいのでしょうか。

    もしくはこれも間違っているでしょうか。
    2021年1月14日 1:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    確かにネットワーク アクセス権は共有を設定しなければ設定できませんが、NTFS アクセス権は共有設定に関わらず構成可能で、かつ ABE が参照するアクセス権は NTFS アクセス権の方です。

    Hebikuzure aka Murachi Akira

    2021年1月14日 3:23
    |
  • Question
    サインインして投票
    0
    サインインして投票
    Hebikuzure aka Murachi Akiraさんご回答ありがとうございます。

    NTFSアクセス権だけを付与する方法を調べましたが、
    具体的に一から最後まで説明されているページを探すことができておりません。

    よろしければ教えていただけませんでしょうか。

    よろしくお願いいたします。


    2021年1月14日 7:05
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ntfsアクセス権 設定方法 - Google 検索

    ntfs ACL 設定 - Google 検索

    この辺りを順にみましょう(NTFS アクセス権とネットワーク共有アクセス権の違いや NTFS アクセス権の ACL 編集方法が良くわららないのに ABE に手を出すというのがそもそもちょっと「背伸びしすぎ」の気がしますが)。

    Hebikuzure aka Murachi Akira


    2021年1月14日 8:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月18日 7:55
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    Fanさんお世話になっております。

    今のところ解決しておりません。

    こちらのフォーラムではある程度技術力のある方向けにしか

    回答いただけないようですので、

    別途もう少し素人向けのところに質問するなりして解決しようかと考えております。

    ですので、申し訳ありませんがこちらのフォーラムに関しましては

    未解決としたいのですが、そのような場合はどうしておけばよろしいでしょうか。

    2021年1月19日 6:13
    |
  • Question
    サインインして投票
    0
    サインインして投票
    当初の質問からすると「パブリック」だけ共有してABE有効にすればよいように見えますが。
    その下の管理者フォルダと一般フォルダに対しても共有して共有アクセス許可をつけたために一般ユーザーでも管理者用のフォルダの存在がわかってしまっているだけかと。
    2021年1月19日 6:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    ABEは共有フォルダー内のファイルとフォルダーを表示している場合にのみアクティブになります。 ローカルファイルシステムでファイルやフォルダを表示している場合、アクティブではありません。

    下記のリンクご参考になれば嬉しいです。

    https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/access-based-enumeration-abe-concepts-part-1-of-2/ba-p/400435


    よろしくお願いいたします。

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月19日 7:08
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、話しを難しくしていたらすみません。

    この権限を付与するという行為を行うには、フォルダに共有設定をしないとできない(権限付与する為の設定画面が共有設定の配下にあるので)と考え、今回のように全てのフォルダに共有設定をした上で権限付与設定を行ったのですが、そうすると、おっしゃる通り全てのフォルダがルートフォルダとみなされてしまいますので、このあたりの理解が間違っているという事ではないかと思います。

    その通りです。アクセス許可には「共有アクセス許可」と「NTFSアクセス許可」の2つがあり、外から共有に接続した際のアクセス権限(コレはすべての接続に影響があります)と、いったん共有に繋がってからの内部的なアクセス権限(フォルダーごとに変えられます)があるということです。

    そうだとすると共有をせずにフォルダに対する権限を与える必要があるかと思うのですが、どうすればよいのでしょうか。

    これは「NTFSアクセス許可」で設定することになります。それ以外の方法では、設定できません。このアクセス許可を読み取り、表示を決定しているのがABEの機能になります。共有フォルダーを構成する場合、したのような方法で設定することになります。

    1. 1つの「親フォルダー」を基点に、その配下にすべての「子フォルダー」を配置し、共有フォルダーの階層を構成します。
    2. 親フォルダーに「共有アクセス許可」を設定します。「詳細な共有」ボタンから設定します。一般に「everyone/フルコントロール/許可」だけを設定すれば問題ありません。この際、ABEの設定もここで有効化します。
    3. 子フォルダーに対して、個別にNTFSアクセス許可を設定します。小フォルダーの[セキュリティ]タブで設定します。親フォルダーでABEは有効化されていますので、ABEの設定は何もする必要がありません。NTFSアクセス許可の設定方法については、したのページを参考になさってください。「フルコントロール」「変更」「読み取り」の3つから選択すれば当座は十分でしょう。
      データの保護 ‐ Windows 2000 におけるファイル、フォルダ、共有リソース、およびその他のシステム オブジェクトのアクセス制御設定 | Microsoft Docs

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2021年1月20日 14:32
    |
    モデレータ