共有＋NTFS サンプル

参照：Windowsユーザ・グループ作成のコツ(ただしアクティブディレクトリ使用時）

参照：部門別分類フォルダのアクセス権設定パターン

実用的な例を考えてみましょう。

アクティブドメインを利用せず、ローカルでのユーザー管理をおこない、ファイル共有はWindowsマシンだけ。よくあるパターンです。

今までは一つの共有フォルダ下に各社員が勝手にフォルダーやファイルを作っていました。しかし、ある日フォルダーやらファイルやらがごちゃごちゃになりすぎて、使いづらく、社長の鶴の一声で使いやすく、整理するそんな役割をあなたが申しつけられた、なんてシナリオです。ありがちですね。

まず共有の置き場所ですが、特に理由がなければインストールフォルダのCドライブをさけ、別のドライブかパーティションにしましょう。今回はDドライブにしましょう。

Dドライブ直下にa777というフォルダを作成し、それを共有フォルダとします。みんなスリー・セブンは好きですから。

共有を設定します。ここではEveryoneを共同所有者にします。これで共有、つまりSMBレベルのセキュリティは全員パスされます。もちろんユーザー認証はきちんと行われますので、ローカルユーザーとして登録されていない部外者は使用できません。

それとサーバー機には直接一般ユーザーがログオンしないことにしましょう。何しろ、サーバー機ですから。もし、管理者だけでなく、一般ユーザーもログオンの可能性がある場合には、それを考慮してアクセス権を設定する必要が増えます。

フォルダーのアクセス権を考える前に実際の会社の構成を考えましょう。

社長：tanaka

営業：suzuki, inoue

製造：mikami, tezuka

パート:ogawa

いま、営業のinoueさんがこの作業を行っているとします。inoueさんはしばらく、コンピューターの管理も行うことになりました。

個人でアクセス権を設定するよりはグループで設定したほうが楽です。部署の移動や新しい人が入ったり、退社したりするときでも所属するグループを変更するだけでいいからです。

さて、社長であるtanakaさんとinoueさんは共有フォルダ管理者です。パートのogawaさんは共有フォルダにはアクセスさせません。

今まで、各自が勝手に共有フォルダー内にフォルダーやらファイルを追加していったのがカオスを深めた原因でした。

今回は次のような指針で管理しましょう。

• 共有フォルダー直下にフォルダを作成できるのは管理者グループのみ。削除を行えるのも管理者のみ。
• 共有フォルダ直下には部署で使用するフォルダーを置き、名前は部署名とする。各部門フォルダー下は各部門グループに所属しているユーザーは自由に使用できる。
• 部署間の連携に使用するフォルダーも共有フォルダ直下に一つ作成する。このフォルダー下は営業と製造グループに所属しているユーザーが自由に使用できる。

まあ、あまり厳しくしても使いづらいですし、この程度の管理でもだいぶまともになるでしょう。

グループの設定

まず、グループを作成します。G営業とG製造、Gパートそれに管理者用のG管理です。

各部門に所属している社員はG営業と、G製造に含めましょう。社長とinoueさんはG管理に含めます。inoueさんはG営業とG管理の二つに所属することになりますね。パートのogawaさんはGパートに所属します。

これでユーザーとグループの設定は完了です。

共有フォルダー：D:\a777の共有設定

プロパティの共有タブでEveryoneを追加します。アクセス権は共同所有者(フルコントロール）を設定します。

共有フォルダー：D:\a777のNTFS設定

共有フォルダーのアクセス権を見てみますと、次のようになります。

このうち、Everyone以外は、継承されてきたアクセス権です。継承されてきたアクセス権は付け加えることができますが、個別の削除ができません。まとめて「継承」しないと宣言し、上からの関係を一度断ちます。(ただし、同じアクセス権は残します。）

変更タブをクリック、このオブジェクトの親からの継承可能なアクセス許可を含めるのチェックを外してください。警告のダイアログが表示されますが、コピーをクリックです。

コピーを選ぶと、アクセス権は同じですが、＜継承なし＞になります。これは親からの継承がないことを表します。つまり、個別に削除が可能になりました。

Authenicated UsersとUsers、Everyonは削除しましょう。

SYSTEMとAdoministratorsはフルコントロールのまま残します。この二つは必ず残しておきましょう。

この時点でAdoministratorsに所属しているユーザー以外は誰もこのフォルダーを見つけられません。権限がないからです。

この共有フォルダーはパートさん以外全員見えなくてはなりません。いきなり下層にあるフォルダーに読み取り以上の権限を付けても、その上層のフォルダーが見えないと、そのユーザーさんはアクセスできないからです。

そう考えると、G営業、G製造からこのフォルダーが見えればいいわけです。G管理からは管理の都合上、変更のアクセス権が必要になります。すると以下のアクセス権を新たに追加することになります。

• G営業：読み取りと実行：このフォルダのみ
• G製造：読み取りと実行：このフォルダのみ
• G管理：変更：このフォルダ・サブフォルダとファイル

G管理の変更アクセス権は以下のフォルダとファイルに継承されていきます。そのため、G管理所属のユーザーさん、tanaka社長と、inoueさんは管理のため、このフォルダー以下の全フォルダとファイルを読み書き、削除できるわけです。

その一方でG製造と、G営業に所属している社員さんは、このフォルダを読み込みと実行、つまりフォルダにアクセスできます。ただし、この権限は継承されません。このフォルダのみで設定しているからです。

Gパートのogawaさんは、アクセス許可を持っていませんので、フォルダー自体を見つけることもできません。ログオンもできないはずです。(確認必要）

この下にフォルダを作成するのはG管理グループのtanaka社長かinoueさんです。まあ、inoueさんの仕事になるでしょう...　:D

部門別フォルダ：D:\a777\営業部共有のNTFS設定

このフォルダーはG管理のユーザーさんが作成します。アクセス権も設定することになるでしょう。(実際はOSの種類によっては設定できないこともあるでしょう。）

営業部共有というフォルダーを作成します。作成後、プロパティのセキュリティータブからアクセス権を設定します。

• G営業：読み取り・書き込みと実行：このフォルダ・サブフォルダとファイル

ここで変更のアクセス権を与えてしまいますと、変更には自分自身を削除するアクセス権があるために、営業部共有フォルダを、G営業に含まれているユーザーさんが削除できてしまいます。

このアクセス権は継承されていきます。自分自身は削除できませんが、サブフォルダとファイルの削除のアクセス権はあります。そのため、このフォルダー以下で作成されたフォルダー・ファイルはちゃんと削除できるわけです。

さあ、これでG営業に含まれているユーザーさんはこのフォルダー以下を自由に使用できます。

部門別フォルダ：D:\a777\製造部共有のNTFS設定

営業部と同様に製造部も作成しましょう。

• G製造：読み取り・書き込みと実行：このフォルダ・サブフォルダとファイル

手順はおなじですね。

部門間共有フォルダ：D:\a777\営業・製造部間共有のNTFS設定

営業・製造部門間共有フォルダーを作成します。続いてアクセス権を設定です。

• G営業：読み取り・書き込みと実行：このフォルダ・サブフォルダとファイル
• G製造：読み取り・書き込みと実行：このフォルダ・サブフォルダとファイル

これは今までのちょっとした応用です。G営業とG製造にアクセス権を付けることで、両部門に所属しているユーザーさん間で自由に使用できるようになります。