locked
フォルダのアクセス権設定 usersとdomain usersについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    【内容】

    ドメインユーザでログオンし、フォルダ(C,Dドライブルートディレクトリ)のアクセス権を確認しております。

    書き込み確認結果は下記の通りとなりました。

       ・Cドライブ: 書き込み不可

       ・Dドライブ: 書き込み可

    Cドライブの書き込みを許可すべく、domian usersをセキュリティで追加しようと思い、

    フォルダのプロパティ⇒セキュリティタブからアクセス権の確認をしました。

       ・Cドライブ: users 書き込み権限無し domain usersは存在なし

       ・Dドライブ: users 書き込み権限あり domain usersは存在なし

       ・その他Administrators(書き込み権限あり),Createowner(書き込み権限あり),Everyone(書き込み権限なし)

    ドメインユーザは追加されていない状態ですが、usersの権限に沿ってアクセス権が行使されているように見受けられます。

    domain usersの権限はusersの権限より継承されているのでしょうか?

    何卒宜しくお願い致します。

    2014年11月14日 1:36

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Windowsドメイン環境でのNTFSアクセス許可の考え方に「AGLPルール」というものがあります。簡単にいうと、アカウントを束ねるグループ(グローバルグループ等のドメインセキュリティグループ)とリソースを束ねるグループ(各マシン上のローカルグループ)を明確に分けて運用し、アカウント→グローバルグループ→ローカルグループ→リソース(のパーミッション)という関係性を持たせることで、アクセス許可の設定を簡略化したり、リソース側マシンを他のドメインに移した場合も簡単にアクセス許可の更新が行えるといったメリットがあります。詳細についてはエライMVPさんが詳しく書かれたしたの資料をご覧ください。

    http://ascii.jp/elem/000/000/504/504463/index-3.html

    AGLPルールは共有フォルダのアクセス許可だけではなく、それ以外のリソースにも利用されます。ドメインに参加したコンピュータは特定のローカルグループがドメインのグローバルグループをメンバーとすることで、そのグローバルグループのユーザーはメンバとなったローカルグループと同一の振る舞いができます。Domain UsersはUsersの、Domain AdminsはAdministratorsのメンバーであるため、「コンピューター全体」というリソースに対して、メンバ権利に基づいた振る舞いができます。

    コンピューターをドメインに参加させると、うえのような挙動(ドメインのグループをローカルグループのメンバーとする)を、自動的に実施しますので、一般的に利用者は意識せず安全にコンピュータを使える、ということになります。


    2014年11月14日 3:31
  • Question
    サインインして投票
    0
    サインインして投票
    http://technet.microsoft.com/ja-jp/library/dd277461.aspx
    2014年11月14日 3:19

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    http://technet.microsoft.com/ja-jp/library/dd277461.aspx
    2014年11月14日 3:19
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Windowsドメイン環境でのNTFSアクセス許可の考え方に「AGLPルール」というものがあります。簡単にいうと、アカウントを束ねるグループ(グローバルグループ等のドメインセキュリティグループ)とリソースを束ねるグループ(各マシン上のローカルグループ)を明確に分けて運用し、アカウント→グローバルグループ→ローカルグループ→リソース(のパーミッション)という関係性を持たせることで、アクセス許可の設定を簡略化したり、リソース側マシンを他のドメインに移した場合も簡単にアクセス許可の更新が行えるといったメリットがあります。詳細についてはエライMVPさんが詳しく書かれたしたの資料をご覧ください。

    http://ascii.jp/elem/000/000/504/504463/index-3.html

    AGLPルールは共有フォルダのアクセス許可だけではなく、それ以外のリソースにも利用されます。ドメインに参加したコンピュータは特定のローカルグループがドメインのグローバルグループをメンバーとすることで、そのグローバルグループのユーザーはメンバとなったローカルグループと同一の振る舞いができます。Domain UsersはUsersの、Domain AdminsはAdministratorsのメンバーであるため、「コンピューター全体」というリソースに対して、メンバ権利に基づいた振る舞いができます。

    コンピューターをドメインに参加させると、うえのような挙動(ドメインのグループをローカルグループのメンバーとする)を、自動的に実施しますので、一般的に利用者は意識せず安全にコンピュータを使える、ということになります。


    2014年11月14日 3:31
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご回答ありがとうございました。

    詳細にわたり内容を確認でき、感謝いたします。

    2014年11月18日 2:38