共有 フォルダ アクセス 権。 [Windows 2012] 共有フォルダにアクセス制限をかける方法

【WIndows】アクセス権がある共有フォルダの作り方|よー友ログ

共有 フォルダ アクセス 権

運用ルールを明確にしないままファイルサーバを長年運用していると下記のような問題が発生します。 新しい共有フォルダやファイルが次々に生まれる。 重要なデータが無防備の状態で放置される。 運用ルールがあいまいでは、管理者側もたのまれたら断れない状況になります。 その結果、つい共有フォルダを新設したり、ついアクセス権を付与したりと、ついつい運用が緩くなりがちになります。 そして最終的に共有フォルダがただのゴミ箱に。 ですが、最初にフォルダ構成とアクセス権の2点を明確にルール化することでこの問題を防ぐことができます。 はじめにフォルダ構成をしっかりと検討しましょう! 重要なポイントは、フォルダの構成とアクセス権です。 この2点が明確に定まっていない場合、運用に失敗する可能性が高いです。 フォルダ構成について 私がおすすめしたいフォルダ構成は下図のとおりです。 管理者側であらかじめ用意しなければならないフォルダ名の先頭には 数字を付与します。 これは テンキーを使用して素早くアクセスするための措置です。 部門系、 目的別、 ワークの3種類で構成します。 部門系フォルダの運用 部門単位で共有するためのフォルダで、自部門以外はアクセスできない設定にします。 もし他部門とファイルを共有したい場合には、後ほど紹介する 目的別または ワークといったフォルダを利用します。 管理者側で第2階層までを用意します。 第1階層:「 部」単位で作成(共有フォルダ設定)• 第2階層:「 課」単位で作成 アクセス権の設定パターンのサンプルを記載しますが、ポイントは、自部門以外がアクセスできないように制御することです。 第1階層のアクセス権 グループ名またはユーザー名 共有のアクセス許可 NTFSのセキュリティ Everyone フルコントロール 読み取り Administrators - フルコントロール 共有のアクセス許可とNTFSのアクセス許可の違いが良くわからないという方は、下記のサイトをご覧になってください。 基本的に 共有のアクセス許可は フルコントロールにして、NTFSのセキュリティにアクセス権の制御をすべて任せるという考え方が一般的です。 その上で該当部署のグループにのみアクセス権限を与えます。 目的別フォルダの運用 部門横断的に複数部門の人達が集まるプロジェクトなどで、情報を共有するためのフォルダです。 運用が始まる前に必ず、• このフォルダの利用目的は何?• 管理者は誰?• 各利用者の氏名とアクセス権(読取専用 or 編集 は?• フォルダの容量の上限(クォータ)は? などの運用ルールをきっちり決めておきましょう。 管理者側で第2階層までを用意します。 管理者は、プロジェクトが増えたタイミングで第2階層にフォルダを追加します。 あくまでフォルダを追加する場所は第2階層であり、第1階層はずっと1個のままです。 こうすることで、サーバアクセス時に一覧表示される共有フォルダの数が増えつづけるといった問題を防ぐことができます。 第1階層:「 目的別フォルダ」固定(共有フォルダ設定)• その上で該当プロジェクトのメンバーのみアクセス権限を与えます。 目的別フォルダの新設には承認ルートを設定 運用するとわかりますが、様々な人がことあるごとに、あれやこれやとフォルダを追加しろと言ってきます。 言われるがままフォルダを新設していたら、また無法地帯に逆戻りです。 あらかじめ申請ルートを作成しておき、しかるべき承認のもとで作成を行います。 申請時に必要な情報を利用者へ周知徹底します。 私の場合は新たに申請書フォーマットを作成しました。 新設するフォルダ名• 利用目的• 利用者の氏名と各利用者の権限種別(変更 or 読取)• 目的別フォルダは定期的に棚卸を実施 年に1度以上、必ず各フォルダの利用状況を確認するための棚卸を実施します。 あらかじめ目的別フォルダのアクセス権台帳を作成しておきます。 棚卸の手順としては、• システム管理者がフォルダ別のアクセス権一覧表を出力し、各フォルダ管理者へ渡す。 システム管理者はアクセス権一覧表を回収し、削除を実施する。 ワークフォルダの運用 他部門の人とファイルを受け渡すためのフォルダです。 メールで送ることができないサイズのファイルをこのフォルダで受け渡します。 このワークフォルダの特徴は下記3点になります。 誰でも書き込むことができること• 決まった時間に前日書き込まれたファイルが自動的に削除されるようにすること• 誰がいつ保存したものなのか、ファイルの操作履歴を取得できること 2番目の機能は 時限ファイルと言います。 3番目の機能は特に重要で、管理者によって監視されている事実を利用者に周知し、機密情報が不用意に保存されないように注意を促します。 ただし、この機能はツールを使用する必要があり、もしこれができないのあればワークフォルダの運用はあきらめるべきだと思います。 使用するツールはLanScope Catがおすすめです。 管理者側で用意するのは1階層目だけです。 第1階層のアクセス権 グループ名またはユーザー名 共有のアクセス許可 NTFSのセキュリティ Everyone フルコントロール 書き込み Administrators - フルコントロール ワークフォルダで時限ファイルの設定 ワークフォルダに書き込まれたファイルは、自動的に決まった時刻になると前日のファイルが削除される必要があります。 この機能を実装するには forfilesコマンドを利用します。 コマンドの実装例です。 ワークフォルダ内にある1日前のファイルやフォルダに対して、delとrdコマンドで強制削除します。 下記のコマンドでファイルとフォルダを削除します。 を実行します。 このコマンドをタスクで決まった時刻に実行すればOKです。 最後に 最近は WindowsOSを搭載した 3年保証付モデルのNASがIOデータから出ていますね。 僕のところでも、ファイルサーバとして購入させていただきました。 ハードディスクは壊れやすいので、複数年の保証が付いているので安心です。 さらに、データ重複除去機能、ActiveDirectoryとの連携、接続数無制限など、機能的にも申し分ありません。 おススメです。

次の

特定の端末から共有フォルダにアクセスできない

共有 フォルダ アクセス 権

複数のユーザーで1台のNASを共用する場合であっても、家庭内の利用であればシンプルなアクセス制御で十分だ。 フォルダやファイルの所有者が誰かということと、所有者だけがアクセスできるのか、それとも誰でもアクセスできるのか、ということを共有フォルダ単位で設定すればこと足りる。 だが、ビジネス用途で利用する場合は、業務のニーズに合わせて複雑なアクセス制御を行う必要があることも少なくない。 基本はグループ・組織単位の制御になるものの、いろいろと例外が発生してしまうことが多々ある。 今回はWindowsファイル共有で利用される柔軟なアクセス制御の仕組み、Windows ACLの設定について説明する。 ファイルのアクセス制御 ファイルのアクセス制御といえば読み出し専用、隠しファイルというようなものがまず頭に浮かぶかもしれない。 ユーザーという概念のなかったMS-DOS時代からのものなので、適切な権限を持ったユーザーにのみアクセスを許可する、という本来のアクセス制御ではなく、誤操作を防ぐという意味合いが強い。 その後、マルチユーザーをサポートしたファイルシステムであるNTFSが導入され、グループ/ユーザー単位でのきめ細かいアクセス制御が可能になった。 これはWindows ACLと呼ばれるもので、単なる読み出し/書き込みだけではない、細かな権限設定を実現している。 以前はLinuxベースのNASでWindows ACLに対応していないものが多く、そこがWindowsサーバからの移行の障壁となっていた。 しかし、ASシリーズをはじめ、最近のNASキットではWindows ACLに対応したものも増えてきている。 Windows ACLでは全部で13種類のパーミッション(アクセス権)について設定することができる。 Windows ACLのパーミッションには、フォルダに対しての操作とファイルに対しての操作を1つにまとめたものもある。 例えば、ファイルに対して「データを書き込む」という操作はあるものの、フォルダに対しては「データを書き込む」という操作はない。 強いて言えば「ファイルを作成する」という操作になる。 逆にファイルに対しては「ファイルを生成する」という操作はない。 そこで「ファイルの作成/データの書き込み」という1つのパーミッションでその両方を示し、対象がファイルかフォルダかによって内容を読み替える。 以下にWindows ACLで利用される全13種類のパーミッションを紹介する。 フォルダとファイルで内容が異なる場合は【フォルダの場合】【ファイルの場合】と併記した。 なお、ASシリーズのOSである「ADM」の表記はWindowsエクスプローラー等での表記と若干異なるものがある。 その場合はカッコ内にADMでの表記を記載した。 1、フォルダーのスキャン/ファイルの実行(フォルダの横断/ファイルの実行) 【フォルダの場合:フォルダのスキャン(フォルダの横断)】 フォルダのスキャン(フォルダの横断)はちょっと説明が必要かもしれない。 通常、階層構造でのアクセス制御は上位階層から継承し、特定の下層階層で継承内容に追加設定する、という設定が一般的だ。 ところが、組織での実利用においてはこれだけでは単純には実現できないこともある。 例として、プロジェクト制をとっている会社を想定してみよう。 ここは機密レベルを3段階に分け、Lv1を全員がアクセスできる情報、Lv2を正社員のみがアクセスできる情報、Lv3を役員のみがアクセスできる情報の保存先としている。 プロジェクトが始まると正社員、派遣社員・契約社員混成のプロジェクトチームが発足する。 そのため、プロジェクトごとに共有フォルダを作成し、そこで情報を共有するようにしたい。 プロジェクトごとの共有フォルダは契約形態に関わらず、すべてのプロジェクトメンバーからアクセスできるようにしたいが、基本的には社外秘の情報なので、フォルダ自体は正社員のみがアクセスできるLv2に置きたい。 だが、これだけではうまくいかない。 そのような場合に、途中のフォルダに「フォルダのスキャン/ファイルの実行(フォルダの横断/ファイルの実行)」を設定する。 それによってパスの途中のフォルダへのアクセスを禁止したまま、最終的な目的のフォルダに到達するために「フォルダを横断」することができるようになる。 【ファイルの場合:ファイルの実行】 プログラムの実行権限。 【ファイルの場合:データの読み取り】 ファイルを読み込む。 3、属性の読み取り(属性を読み取る) ファイル/フォルダの属性(読み取り専用、隠し属性、圧縮、暗号化)を読み取る。 4、拡張属性の読み取り(拡張属性を読み取る) ファイル/フォルダの拡張属性を読み取る。 現在、拡張属性はあまり使用されていない。 5、ファイルの作成/データの書き込み 【フォルダの場合:ファイルの作成】 フォルダの下にファイルを作成する。 【ファイルの場合:データの書き込み】 ファイルの更新。 6、フォルダの作成/データの追加 【フォルダの場合:フォルダーの作成】 フォルダの下にサブフォルダを作成する。 【ファイルの場合:データの追加】 ファイルへのデータ追加(変更、削除、更新はできない)。 ログなど追記のみの書き込みに使用する。 7、属性の書き込み(属性を書き込む) ファイル/フォルダの属性(読み取り専用、隠し属性、圧縮、暗号化)を書き込む。 8、拡張属性の書き込み(拡張属性を書き込む) ファイル/フォルダの拡張属性を書き込む。 9、サブフォルダとファイルの削除(サブフォルダとファイルを削除する) 【フォルダの場合:サブフォルダーの削除】 サブフォルダを削除する。 サブフォルダそのものに削除権限がなくても、このパーミッションが親フォルダに設定されていれば削除することができる。 矛盾するように感じるかもしれないが、管理権限をどの階層で委譲するかという問題に対応するには必要なパーミッションになる。 フォルダ以下の権限を委譲した結果、親フォルダの管理者がそのフォルダ(親から見れば自分のサブフォルダ)を削除できなくなってしまうことが起こりうるからだ。 【ファイルの場合:該当なし】 10、削除 ファイル/フォルダを削除する。 削除権限がないと名前の変更もできない。 特にWindowsエクスプローラーのコンテキストメニューなどから「新規作成」した場合、「新しいフォルダ」のような一時的な名前から変更できなくなるので注意しよう。 削除ができないと新規作成したファイルやフォルダの名前変更も失敗する 11、アクセス許可の読み取り(読み取り権限) ファイル/フォルダのアクセス許可(パーミッション)の読み取り。 12、アクセス許可の変更(変更権限) ファイル/フォルダのアクセス許可(パーミッション)の変更。 13、所有権の取得(所有権を得る) ファイル/フォルダの所有権の取得。 ファイル/フォルダの所有者はそれまでのファイル/フォルダを保護するパーミッションに関係なく、常にパーミッションを変更することができるため、所有権を取得することでパーミッションを自由に変更することが可能になる。 なお、この13種類のパーミッションを都度個別に指定するのは手間がかかるため、よく利用する設定内容のセットがあらかじめ定義されている。 ただし、WindowsのエクスプローラーとADMのファイルマネージャではセットの内容が異なる。

次の

「共有」タブのアクセス権と「セキュリティ」タブのアクセス権利の違い

共有 フォルダ アクセス 権

コンピュータ毎の「フォルダ共有」に関する設定• フォルダ毎のアクセス権設定 2. コンピュータ毎の「フォルダ共有」に関する設定 これは「共有フォルダを提供する側のコンピュータ」が行う設定です。 2-1. 「設定」画面 「ネットワークとインターネット」をクリックします。 [ネットワークとインターネット] — [状態]タブ [状態] タブ内の「共有オプション」をクリックします。 この画面の場合、「 プライベート ネットワーク」が適用されていることが分かります。 共有オプションの画面が開きます。 共有オプションの画面 以下の3種類の設定ができます。 プライベート• ネットワークプロファイルが「プライベート ネットワーク」の場合の設定です。 ゲストまたはパブリック• ネットワークプロファイルが「パブリック(ゲスト) ネットワーク」の場合の設定です。 すべてのネットワーク• すべてのネットワークプロファイルに共通する設定です。 2-2. 「プライベート」もしくは「ゲストまたはパブリック」の設定 「プライベート」もしくは「ゲストまたはパブリック」の設定の項目はほとんど同じです。 該当する方を設定します。 「プライベート」もしくは「ゲストまたはパブリック」の設定 2-2-1. ネットワーク探索 ネットワーク探索を有効にすると、以下のように他のコンピュータが参照できるようになります。 逆にこちらのコンピュータが、他のコンピュータ上に表示されるようになります。 ネットワーク探索を有効にして、他のコンピュータと相互に参照可能にする ネットワークに接続されているデバイスの自動セットアップを有効にする 「プライベート」の場合のみ「ネットワークに接続されているデバイスの自動セットアップを有効にする」という項目があります。 ここにチェックを入れると、ネットワークデバイスを検出した場合に、そのデバイスが PnP-X という規格に対応していればドライバが自動的にインストールされます。 基本的には有効にしておけばよいでしょう。 時々、間違ったドライバがインストールされることがありますが、それによって何か問題が発生した場合には、手動で正しいドライバをインストールすることになります。 2-2-2. 重要な項目です。 2-3. すべてのネットワークプロファイルに対する設定 すべてのネットワークプロファイルに対する設定 ここでは主な項目のみについて説明します。 2-3-1. パブリックフォルダーの共有設定 パブリックフォルダーというのは、[Cドライブ] — [ユーザー Users ] — [パブリック Public ] のことを指します。 自分ではない人に向けてフォルダやファイルを共有したい場合などで、自分のホームフォルダ内を共有させるのはちょっといやだなという時に、このパブリックフォルダーが使えます。 ここに共有したいファイルなどを置けばよいのです。 パブリックフォルダ 2-3-2. パスワード保護共有(認証方法)の設定 共有するファイル・フォルダに対しての認証方法を設定します。 「 パスワード保護共有」を有効にすると、接続先の Windows 上のアカウント情報を入力しないと共有されたリソースにアクセスすることができなくなります。 このアカウント情報を知らないユーザーからでもアクセスできるようにするには、ここを無効にします。 無効にすると、普段は使用されていないはずの「Guest」ユーザーが有効になり、共有リソースへのアクセスにはこのユーザーが使用されます。 2019年10月 追記 Windows 10 Home バージョン 1903 で、パスワード保護共有を 無効にしたところ、資格情報は要求されませんでした。 それはよかったのですが、どうも Guest アカウントとしてアクセスが行われていないようです。 そうなると、パスワード保護共有を無効にする場合は、以下のどちらかで運用することになると思います。 共有したいフォルダの共有設定で Everyone を追加して、誰でもアクセスできるようにする。 共有したいフォルダの所有アカウントと同名のアカウントからのみアクセスする(この場合、パスワードはいらない)。 参考: 3. フォルダ毎のアクセス権設定 フォルダは2種類のアクセス権を持ちます。 ファイルシステムのアクセス権• 3-1. ファイルシステムのアクセス権 「 ファイルシステムのアクセス権」というのは、同じコンピュータ上のどのユーザー(やグループ)にどんなアクセス権限を与えるかについての設定です。 フォルダの [プロパティ] — [セキュリティ] タブで設定を行います。 他のコンピュータからアクセスされた場合でも、共有アクセス権が照合された後、こちらのアクセス権の照合が行われます。 3-2. 共有アクセス権 「 共有アクセス権」というのは、他のコンピュータからのアクセスされた時にまず最初に照合が行われるアクセス権です。 こちらは、フォルダのみの設定となります(ファイルにはありません)。 主に 2つの設定方法があります。 3-2-1. 「共有ウィザード」を使う方法 こちらは、フォルダーオプションの [表示]タブにある「共有ウィザードを使用する 推奨 」にチェックが入っていないと使えません。 フォルダーオプションの [表示]タブ 実際に、共有ウィザードを使うには、フォルダの [プロパティ] — [共有]タブ内にある「共有…」ボタンから行います。 フォルダの [プロパティ] — [共有]タブ ここが大きなポイントですが、共有ウィザードで行った設定は、 ファイルシステムのアクセス権にも反映されます。 ラクです。 3-2-2. 「詳細な共有」から行う方法 こちらは、フォルダの [プロパティ] — [共有]タブ内にある「詳細な共有…」ボタンから行います。 [プロパティ] — [共有]タブ 先程の共有ウィザードと異なり、こちらで行った設定は、 ファイルシステムのアクセス権には反映されません。 3-3. 設定関連をまとめた図 設定の概要について図にまとめてみました。 アクセス権設定まとめ ポイントは以下になります。 フォルダには ファイルシステムのアクセス権 と 共有アクセス権 とがある。 ファイルシステムのアクセス権 は、[プロパティ] — [セキュリティ]タブで設定する。 共有アクセス権 は、[詳細な共有] もしくは [共有ウィザード] で設定する。 [共有ウィザード] では ファイルシステムのアクセス権 も更新される。 3-4. Windows のアカウントと、共有フォルダへアクセスするアカウントの関係 また、 パスワード保護共有を 有効にしている前提で、共有フォルダへアクセスする際に Windows のアカウントがどのように関係しているかについても簡単な図を書いてみました。 共有フォルダへのアクセスする際のWindows のアカウント これは、 PC1 というコンピュータ上のアカウント foo が、 PC2 というコンピュータ上のアカウント bar の共有フォルダにアクセスしている図です。 PC1 の foo は、 PC2 にアクセスする際、 PC2上に存在するアカウントの資格情報(ユーザー名、パスワード)を指定する必要があります。 どのアカウントでもよいのですが、この図では PC2上に foo という同名のアカウントが作成してあり、このアカウントを使っています。 共有フォルダにアクセスする際に表示される以下のポップアップウィンドウに PC2 上の foo アカウントの情報を入力します(もしくは予め 資格情報マネージャーに登録しておく方法もあります)。 すると、「 PC1 の foo」は「 PC2 の foo」として、 bar の共有フォルダにアクセスすることになります。 であるので、 bar の共有フォルダには、 PC2 の foo に対するアクセス権限を設定しておけばよいということになります。 資格情報マネージャー コントロールパネルに入っている「 資格情報マネージャー」の「 Windows 資格情報」に、アクセス先PCのアカウント情報を登録しておくことができます。 また、このすぐ上にも載せている「 ネットワーク資格情報の入力」というポップアップウィンドウの [ 資格情報を記憶する] というチェック項目は、入力した情報を 資格情報マネージャー の Windows 資格情報 に登録するかどうかを聞いています。 資格情報マネージャー Windows 資格情報の追加画面 上の画面にある「 インターネットまたはネットワークのアドレス」には、接続先コンピュータのホスト名もしくはIPアドレスを入力しますが、ホスト名を指定してアクセスするなら ホスト名をセットしなければいけませんし、IPアドレスでアクセスするなら IPアドレスをセットしなければいけません。 それぞれ別の扱いになります。 そして、1つのホスト名(もしくはIPアドレス)に対して 1つの資格情報しか登録できないようです。 共有フォルダへのアクセス方法 4-1. 共有フォルダのネットワークパス 例えば、共有設定したフォルダの [プロパティ] — [共有]タブが以下のように表示されるとします。 このパスの形式は、 UNC Universal Naming Convention といい、Windows では一般的です。 4-2. 他のPCからアクセスする 4-2-1. 「名前」のところに、先程のネットワークパスを入力し [OK]ボタンを押します。 ファイル名を指定して実行 資格情報が求められたら、接続先コンピューターに存在するユーザー名・パスワードを入力します。 アクセス権に問題がなければ、エクスプローラーで目的のフォルダが開きます。 4-2-2. エクスプローラーを使う方法 これは簡単で、エクスプローラーで「ネットワーク」を開き、「コンピューター」のところから目的のフォルダを探すだけです。 エクスプローラーで「ネットワーク」を開く 5. 共有フォルダの利用方針 以下の使い方は、あくまでも私からのお勧めです。 パスワード保護共有は有効にします。 ワークグループで使っている場合は、面倒ですが接続先の Windows に、接続元にあるのと同じアカウントを作成するのが結局はラクです。 それが面倒であれば、接続先に共有用のアカウント(接続元のWindowsに存在するアカウントとは別のアカウント)を1つだけ作成し、そのユーザーのフォルダを共有させるか、もしくは「パブリックフォルダ」を使ってデータを共有します。 共有フォルダへのアクセスを監視する 「コンピューターの管理」を使うと、共有リソースへのアクセスをチェックすることができます。 スタートメニューからコンピューターの管理を起動する [システムツール] — [共有フォルダ] のところです。 下画面では [セッション] を表示しています。 ここでは、このコンピューターの共有リソースにアクセスしているユーザーを確認することができます。 [共有フォルダ] — [セッション] 下画面では [開いているファイル] を表示しています。 文字通り、開かれているファイルが一覧表示されます。 [共有フォルダ] — [開いているファイル] コマンドによる操作 [共有フォルダー] の下階層にある [共有], [セッション], [開いているファイル] は、それぞれコマンドでも表示することができます。 管理者権限で PowerShell かコマンドプロンプトを起動して以下のコマンドを実行します。 [共有] そのコンピュータ上の共有リソースを一覧表示します。 おわりに Windows 10 バージョン 1803 で「 ホームグループ」機能が削除されたため、ファイル共有の基本的な知識が再度重要になりました。 「このファイルを、向こうにあるパソコンと共有したいな」と思った時に、すぐに共有できるようになっておきたいものです。

次の