none
アクセスベースの列挙(ABE)が有効の時のNTSFの挙動について教えてください RRS feed

  • 質問

  • windowsserver2012 R2でファイルサーバを構築しております。

    アクセスベースの列挙を有効にし、ネットワークからのアクセスにはアクセス権の
    無いフォルダーは表示させないようにしております。

    下記のフォルダー階層のように数段したのサブフォルダーにだけ追加したユーザー
    が、フルパスをエクスプローラに入力してアクセスできません。

    Aアカウントで作成したショートカットファイルをBアカウントで使用するとアクセス
    できます。

    \\FileServer-A
      Dドライブ
      AAA      (共用フォルダー NTSFアクセス権はUsers(R/O)継承なし)
       BBB     (NTSFアクセス権はAアカウント(R/W))
        CCC    (NTSFアクセス権は上位継承)
         DDD   (NTSFアクセス権は上位継承)
          EEE  (NTSFアクセス権は上位継承 Bアカウント(R/W)追加)
           FFF (NTSFアクセス権は上位継承)

    ショートカットの設定パス(フルパス)
    \\FileServer-A\AAA\BBB\CCC\DDD\EEE\

    この動作に対して、社内のセキュリティー部から問い合わせがあり、

    ・エクスプローラからアクセス出来ないのはなぜか?
    ・ショートカットファイルを使えばできるのはなぜか?

    動作を説明してほしいと依頼がありました。
    NTFSアクセス権についてはある程度わかる資料はるのですが、
    Webでもこの辺の挙動に関して詳しい説明が見つからず、苦慮しております。


    アクセスベースの列挙(ABE)の詳しく説明しているHP(できれば日本語)もしくは
    書籍等ありましたらお教えください。

    社内にはWindowsServer2008 ファイルサーバがあり、アクセスベースの列挙は使用
    しておらす、上記のフォルダー構成でも、Bアカウントはエクスプローラからフル
    パス入力でアクセスできるための質問だそうです。

    よろしくお願いします。

    2016年10月27日 5:22

回答

  • > 社内にはWindowsServer2008 ファイルサーバがあり、アクセスベースの列挙は使用
    > しておらす、上記のフォルダー構成でも、Bアカウントはエクスプローラからフル
    > パス入力でアクセスできるための質問だそうです。

    まず上記ですが、「走査チェックのバイパス」というユーザー権利が有効だと、途中のパス(AAA\BBB\CCC\DDD\)にアクセス権がなくても、目的のパス(EEE)までのフルパスをあらかじめ知っていて、かつ、EEEにアクセス権があれば、EEEにアクセスすることができます。デフォルトでこの権利は有効なので、そういう操作が可能なのは仕様通りの動作です。(この動作はABEとは全く関係がない)

    で、ABEを有効にしたときに、上記と同じ操作をしようとすると失敗するように動作が変わるのは、クライアント側のExplorerが、ABEが有効な共有フォルダー配下のパスにアクセスするときに、(ファイルシステムレベルではなく、)Explorer独自の実装の"走査チェック(traverse checking)"を行うようになり、目的のパス(EEE)に至るまでの途中のパス(AAA\BBB\CCC\DDDのそれぞれ)にアクセス許可があるかどうかをExplorerが一つ一つチェックし、アクセス権がなければそれより下へのアクセスを拒否するからです。(下記の技術情報)

    アクセスベースの列挙機能が有効な場合、共有設定しているフォルダ配下のファイル及びサブ フォルダに Windows Vista クライアントからアクセスできない
    https://support.microsoft.com/ja-jp/kb/2556049

    Explorer.exe enforces traverse checking when ABE is enabled on a share
    https://support.microsoft.com/en-us/kb/3035058

    そういうわけで、

    > ・エクスプローラからアクセス出来ないのはなぜか?

    については、まさにその「エクスプローラー自身」がABEが有効な共有にアクセスするときに
    目的のフォルダーより上位のフォルダーにアクセス権がないと、アクセス拒否するような動作
    をしているからです。

    > ・ショートカットファイルを使えばできるのはなぜか?

    これはわかりません。

    2016年10月27日 14:18
  • ありがとうございます。

    教えていただいたHP等から

    エクスプローラーの走査チェックの関係で接続できない。

    DOSコマンドは走査チェックが機能しないので接続できるようです。

    (Net USEコマンドでドライブ割り付けはできました)

    ショットカットファイルもコマンドとして実行するため走査チェックが機能

    しないのではないかと判断しました。

    あとは自分がうまく説明できるかです。

    2016年10月28日 7:15

すべての返信

  • > 社内にはWindowsServer2008 ファイルサーバがあり、アクセスベースの列挙は使用
    > しておらす、上記のフォルダー構成でも、Bアカウントはエクスプローラからフル
    > パス入力でアクセスできるための質問だそうです。

    まず上記ですが、「走査チェックのバイパス」というユーザー権利が有効だと、途中のパス(AAA\BBB\CCC\DDD\)にアクセス権がなくても、目的のパス(EEE)までのフルパスをあらかじめ知っていて、かつ、EEEにアクセス権があれば、EEEにアクセスすることができます。デフォルトでこの権利は有効なので、そういう操作が可能なのは仕様通りの動作です。(この動作はABEとは全く関係がない)

    で、ABEを有効にしたときに、上記と同じ操作をしようとすると失敗するように動作が変わるのは、クライアント側のExplorerが、ABEが有効な共有フォルダー配下のパスにアクセスするときに、(ファイルシステムレベルではなく、)Explorer独自の実装の"走査チェック(traverse checking)"を行うようになり、目的のパス(EEE)に至るまでの途中のパス(AAA\BBB\CCC\DDDのそれぞれ)にアクセス許可があるかどうかをExplorerが一つ一つチェックし、アクセス権がなければそれより下へのアクセスを拒否するからです。(下記の技術情報)

    アクセスベースの列挙機能が有効な場合、共有設定しているフォルダ配下のファイル及びサブ フォルダに Windows Vista クライアントからアクセスできない
    https://support.microsoft.com/ja-jp/kb/2556049

    Explorer.exe enforces traverse checking when ABE is enabled on a share
    https://support.microsoft.com/en-us/kb/3035058

    そういうわけで、

    > ・エクスプローラからアクセス出来ないのはなぜか?

    については、まさにその「エクスプローラー自身」がABEが有効な共有にアクセスするときに
    目的のフォルダーより上位のフォルダーにアクセス権がないと、アクセス拒否するような動作
    をしているからです。

    > ・ショートカットファイルを使えばできるのはなぜか?

    これはわかりません。

    2016年10月27日 14:18
  • ありがとうございます。

    教えていただいたHP等から

    エクスプローラーの走査チェックの関係で接続できない。

    DOSコマンドは走査チェックが機能しないので接続できるようです。

    (Net USEコマンドでドライブ割り付けはできました)

    ショットカットファイルもコマンドとして実行するため走査チェックが機能

    しないのではないかと判断しました。

    あとは自分がうまく説明できるかです。

    2016年10月28日 7:15