none
フォルダ移動を防ぐためのアクセス権設定について RRS feed

  • 質問

  • いつもお世話になっております。

    ファイルサーバのアクセス権についてお聞きします。

    □使用環境
    使用OS:Windows Server 2003
    フォーマット:NTFS
    アカウント:例として業務部という部署があり、「GYOMU」というグループを作成してその中に業務部の方を登録。
    Administrator:フルコン


    ファイルサーバのフォルダ構成としては以下となります。

    ・1階層・・・各部署毎のフォルダ。その部署の人しかアクセスできないようにしたい。(Aフォルダとします)
     業務部というフォルダを作成し「GYOMU」グループをつけて、アクセス権は「読み取りと実行」で
     適用先は「このフォルダ、サブフォルダおよびファイル」
    (各部毎のフォルダのみでファイルは作成しない)

    ・2階層・・・その部署の業務別のフォルダ(BやCフォルダがあるとします)。こちらもフォルダのみでファイルは作成しない

     「GYOMU」グループのアクセス権は継承無しで「フルコン」「アクセス許可の変更」「所有権の取得」以外は
     チェックありの「特殊」。適用先は「このフォルダ、サブフォルダおよびファイル」
     また第2階層B,Cフォルダを消されないよう、「GYOMU」をもうひとつ作成し「削除」を拒否に設定。
     適用先は「このフォルダのみ」

    ※第1・2階層はファイルサーバの管理者(administrator)のみがフォルダの作成や削除が出来るようにしたい。


    ・3階層・・・部署のユーザ(「GYOMU」グループに所属のユーザ)がファイル/フォルダを自由に作成・削除可能。
     その為アクセス権や第2階層からの継承としたい。

    □質問

    階層としてはAフォルダの下にBやCフォルダがあり、第2階層までは管理者のみがフォルダ作成等操作でき、
    BやCフォルダの配下はユーザに自由に操作してもらえるようアクセス権を調整しております。

    その中で例えばオペレーションミスで、Cフォルダをユーザが誤ってBフォルダに移動させてしまうことを防ぎたいと思っており、
    上記のアクセス権をベースに色々とアクセス権を調整しましたがうまくいきません。

    B.Cフォルダの配下はユーザが自由に使えつつ、オペミス移動を防ぐアクセス権設定はないでしょうか?

    お手数ですがよろしくお願いいたします。

     

    2013年11月29日 5:01

回答

  • oooohです。

    フォルダはサーバからadministratorで作成します。(所有者権のため)

    ・Aフォルダ

     ・上位からの継承は無効化します

     :GYOMU・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ 読み取りと実行

     :administrators・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ フルコントロール

     :systemとCreator Ownerは既定のまま。Usersは削除。

    ・Bフォルダ(Aフォルダ配下)

     ・上位からの継承は無効化します

     :GYOMU・・・許可/このフォルダーのみ ・・・ フォルダーのスキャン/ファイルの実行 フォルダーの一覧/データの読み取り 

                                  属性の読み取り 拡張属性の読み取り ファイルの作成/データの書き込み 

                                  フォルダーの作成/データの追加 アクセス許可の読み取り にチェック。

     :GYOMU・・・許可/サブフォルダーとファイルのみ ・・・ フルコントロール

              ☆これらのアクセス許可を、このコンテナーの中にあるオブジェクトやコンテナーのみに適用する。

     :administrators・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ フルコントロール

    多分これで・・・

    • 回答の候補に設定 佐伯玲 2013年12月9日 2:16
    • 回答としてマーク 佐伯玲 2013年12月26日 7:06
    2013年12月5日 10:03

すべての返信

  • oooohです。

    フォルダはサーバからadministratorで作成します。(所有者権のため)

    ・Aフォルダ

     ・上位からの継承は無効化します

     :GYOMU・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ 読み取りと実行

     :administrators・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ フルコントロール

     :systemとCreator Ownerは既定のまま。Usersは削除。

    ・Bフォルダ(Aフォルダ配下)

     ・上位からの継承は無効化します

     :GYOMU・・・許可/このフォルダーのみ ・・・ フォルダーのスキャン/ファイルの実行 フォルダーの一覧/データの読み取り 

                                  属性の読み取り 拡張属性の読み取り ファイルの作成/データの書き込み 

                                  フォルダーの作成/データの追加 アクセス許可の読み取り にチェック。

     :GYOMU・・・許可/サブフォルダーとファイルのみ ・・・ フルコントロール

              ☆これらのアクセス許可を、このコンテナーの中にあるオブジェクトやコンテナーのみに適用する。

     :administrators・・・許可/このフォルダー・サブフォルダー・およびファイル ・・・ フルコントロール

    多分これで・・・

    • 回答の候補に設定 佐伯玲 2013年12月9日 2:16
    • 回答としてマーク 佐伯玲 2013年12月26日 7:06
    2013年12月5日 10:03
  • B.Cフォルダの配下はユーザが自由に使えつつ、オペミス移動を防ぐアクセス権設定はないでしょうか

    削除操作と名前変更(移動)操作の実行には、どちらも同じNTFSアクセス許可の「削除」の許可が必要なはずです。

    よっておそらく、削除操作の許可と、移動操作の禁止は、両立できないだろうと思います。

    • 回答の候補に設定 佐伯玲 2013年12月9日 2:16
    • 回答の候補の設定解除 佐伯玲 2013年12月26日 7:06
    2013年12月8日 14:56
  • oooohです。

    h-yamasaki様、

    質問者様は第二階層を移動不可、

    第三階層をフルコントロールを実現したいとのことですので、

    私が以前提案したように第二と第三階層間で権限の継承を行わなければ実現可能ですよ。

    2013年12月12日 0:36
  • 質問者様は第二階層を移動不可、

    失礼しました。

    三層目を作成・削除可かつ移動不可、と勘違いしていました。

    2013年12月14日 1:52
  • こんにちは、yasu-s さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    寄せられた情報がご参考になると思い「回答としてマーク」とさせていただきました。

    ご確認いただき進展があればその後の状況をこちらのスレッドへご返信いただけましたらと思います。


    宜しくお願い致します。


    TechNet Community Support 佐伯 玲

    2013年12月26日 7:05