第2回 ワークグループ・ネットワークのファイル共有設定：Windows 7時代のワークグループ・ネットワーク（1/2 ページ）

ワークグループネットワークには手軽にファイルを共有する仕組みがある。OSごとに異なるその設定方法を解説。

[打越浩幸，デジタルアドバンテージ]

　

連載目次

　前回はワークグループ・ネットワークとは何か、主にユーザー・アカウント管理の視点から見たワークグループ・ネットワークの運用形態について簡単に解説した。今回は、Windows OS別に見た、基本的なファイル共有のセットアップ方法について解説する。

OS別ファイル共有の設定方法

　以下、Windows OS別にファイル共有の機能やその操作方法について、簡単にまとめておこう。

Windows 9x／Meの場合

　Windows 3.x（Windows for Workgroup 3.11）やWindows 95／98／Meなどは、Windowsネットワークにおける最も基本的（原始的）な形態のファイル共有機能を提供している。以下は、Windows Meにおけるフォルダの共有設定画面である。

Windows 9x／Meにおける共有リソースの設定
この頃のWindows OSは非常に単純な共有機能しか持っていない。16bit系のWindows OSにはユーザー（ごとの環境）という概念がほとんどなかったので、このような仕様になっている。
　 （1）共有を有効にするにはこれを選択する。
　 （2）共有名。最大でも12文字までに制限されていた。
　 （3）使用するパスワードでアクセス制御を行っていた。
　 （4）このパスワードを使うと、読み取り専用アクセスになる。
　 （5）このパスワードを使うと、読み書きが可能になる。

　現在のWindows OSと比べると、これらのWindows OSでは「共有レベルのアクセス制御」が利用されているのが大きな違いである。画面から分かるように、共有ごとに「読み取り専用アクセス用」と「フル アクセス用」の2つのパスワードが設定できるが（どちらか片方でもよい）、どちらのパスワードを使ってアクセスしているかで、書き込みが禁止されたり、許可されたりする。誰がアクセスしているかは関係なく、パスワードでのみ保護されている。

　これに対して、アクセスしているユーザーを識別して、ユーザーごとに個別にアクセス権を設定できるようにしたものを「ユーザーレベルのアクセス制御」という。NTドメインが利用できるようになったWindows 95から導入されており、現在のWindows OS（Windows NT以降のOS）ではこの方法しかサポートされていない。

アクセス制御方法の切り替え
MS-DOS時代のネットワークでは共有レベルが一般的であったが、その後ドメインが導入され、機能が拡張された。
　 （1）共有リソースごとに固有のパスワードを使う方式。
　 （2）NTドメイン時代になると、ユーザー名の集中管理が可能になった。
　 （3）ドメイン名を指定する。

　なお、デフォルトではフォルダの公開機能は無効になっている。最初にネットワーク・コンピュータのアイコンを右クリックして、ネットワークのダイアログでファイル／プリンタ共有を手動で有効にしておく必要がある。

Windows 2000 Professionalの場合

　Windows 2000以降（正確にはWindows NT以降）のWindows OSでは、ユーザーという概念が導入され、ユーザーごとにそれぞれ独立したデスクトップ環境を持つようになっている（Windows 9x／Meでは、どのユーザー名でログオンしても、デスクトップは同じであった。ユーザー名は単にネットワークへ接続するときの識別にのみ利用されていた）。そしてユーザーごとに利用できる権限や権利が厳しく管理される、「アクセス制御」という考え方が取り入れられている。ネットワーク経由でリソースを利用する場合も同様で、ユーザーやグループごとに可能な操作が細かく設定できるし、権限のないユーザーにはリソースそのものをまったく見せないようにするといった設定も可能である。

　ファイル共有の設定は次の画面の通りである。ファイルの共有機能そのものはあらかじめ有効になっているため、［このフォルダを共有する］を選択すれば、すぐにフォルダの共有が開始される。アクセス権の設定は、デフォルトではEveryoneに対してフルコントロール可となっているが、これは危険なので（Windows XP以降では、デフォルトではEveryoneに対して読み取りのみ可、となっている）、必要に応じてアクセス権を設定する。

Windows 2000のファイル共有設定
この設定ダイアログは現在でもほとんど変わっていない。
　 （1）これを選択する。
　 （2）共有名。
　 （3）最大ユーザー数は無制限となっているが、実際には10ユーザー程度が上限となっている。Windows OSごとの制限については前回の記事参照のこと。
　 （4）共有に対するアクセス権を設定する。クライアントはまずこのアクセス権設定でスクリーニングされ、その後、さらにファイル・システムのアクセス権でも制限を受ける。

　アクセス権の設定は次の画面のようになっている。デフォルトではEveryone＝フルコントロールとなっているので、「読み取り」のみなどに変更し、ほかのユーザーやユーザー・グループを追加する。

Windows 2000におけるアクセス権設定画面
ファイル共有ではユーザー／グループごとに3種類のアクセス権（拒否も入れると、計6種類）を設定できる。ここに合致しないユーザーのアクセスはすべて拒否される。
　 （1）Everyoneは全ユーザーに対するアクセス権という意味。デフォルトではEveryoneのみが存在している。
　 （2）Usersグループを追加してみた。
　 （3）アクセス権の設定。デフォルトではEveryoneに対してフルコントロールが許可されているため、すべてのユーザーがアクセスできる。

　なお、アクセス権を設定する場合は、上のように個別のユーザーではなく、ユーザー・グループを追加するのがよいだろう。この画面でユーザー・アカウントを直接追加・削除していると、ユーザーが増えたときにいちいち共有の設定を変えなければならないからだ。その点、グループを使ってアクセス権を設定しておけば、ユーザー・アカウント作成時に適切なグループを割り当てるだけで、共有の設定は何も変更する必要がないはずだ。

　また原則として、保護したいリソース（ファイルなど）にはファイル・システム側で厳密にアクセス権を設定し、共有側ではあまり複雑にならない程度に緩和した設定にするのがよいだろう。上の画面で分かるように、共有側で設定可能なアクセス権の種類は3つしかないからだ。

Windows XPの場合

　ファイルの共有機能についていえば、Windows XPの共有機能はWindows 2000のものとほとんど同じであるが、セキュリティについては強化されているので若干注意が必要である。Windows 2000の頃はファイアウォールがまだOS標準機能としては含まれていなかったので（機能が非常に限定されたパケット・フィルタはあったが、設定が面倒なこともあってほとんど使われていなかった。連載「常時接続時代のパーソナル・セキュリティ対策――Windows NT／2000のパケット・フィルタリング機能」参照）、ファイルを共有する手順は非常に簡単だった。例えばコマンド・プロンプトを開いて「net share data=c:\data」というコマンドを入力・実行するだけですぐにフォルダを公開することができた。

　だがWindows XP（特にWindows XP SP2）以降ではファイアウォールの機能が強化され、デフォルトではファイル共有サービスは、外部からアクセスできないようになっている。そのため、コマンド・プロンプト上でnet shareコマンドを実行するだけではファイル共有は利用できず、さらにファイアウォールでファイル共有サービス用ポートを許可するといった操作も必要になる。

　このような面倒を避けるためには、Windows XPの持つ共有設定GUI画面を使うとよい。GUI画面上で共有を設定すると、自動的に必要なファイル共有ポートなどをオープンに設定してくれるので便利である。少なくとも最初の共有だけはGUI画面で設定し、net shareコマンドによる設定は2つ目以降にするとよいだろう。

　さてWindows XPをワークグループ・ネットワーク構成で利用している場合、フォルダを公開するには2つの方法がある。以下、それぞれについて見ていこう。

方法1――「簡易ファイルの共有」で手軽に共有する

　これはWindows XPのデフォルト状態で可能な共有のモードである。このモードでは、同一ワークグループに属しているユーザーとファイルを簡単にやり取りできるように、設定手順が簡略化される。従来のWindows 9xの頃のような簡単なファイル共有機能を実現するためのものであり、次のような状態でファイル・アクセスが行われる。

• ファイル・アクセスはすべてGuestアカウントを使って行われる。いわゆる「匿名アクセス」が使われる。
• ワークグループ名はMSHOMEになる。
• アクセス制御は「読み取りのみ」か「読み書き可能（フルアクセス）」の2通りしか選択できない。
• ユーザー名やグループ名を使った細かいアクセス権は設定できない。
• Windows XP Home Editionではこのモードしか利用できない。
• ドメイン・ネットワークに属しているWindows XP Professionalでは、このモードは利用できない。

　「匿名アクセス」とは、パスワードなしでファイル・サーバにアクセスする特殊な方法であり、ファイル公開側（サーバ側）のセキュリティ設定を緩和して誰でも簡単にファイル共有を可能にする機能である（前回の「■Guestアカウントによる匿名アクセス」およびTIPS「匿名ファイル・アクセスを許可する」参照）。

　簡易ファイルの共有では、Guestアカウント経由でアクセスされることになる。そのため、例えばファイルを読み書きするためには、共有のアクセス権でEveryoneに対して読み書きの権限を与えるだけでなく、共有対象のファイル・システム上のフォルダやファイルにおいても、Everyoneに対する読み書きの権限を与えておく必要がある。セキュリティ的にはその分だけ脆弱になるので、十分注意して利用していただきたい。

　「簡易ファイルの共有」機能を有効にするには、エクスプローラの［ツール］−［フォルダ オプション］メニューを実行し、［表示］タブを選択する。そして［詳細設定］にある以下の設定をオンにする（TIPS「簡易ファイルの共有機能を利用する」も参照）。

簡易ファイルの共有の有効化
デフォルトでは簡易ファイルの共有がオンになっているはずなので、確認しておく。なお、ドメインに属しているWindows XP Professionalでは、このチェック・ボックスをオンにできるものの、実際には簡易ファイルの共有機能は利用できない。
　 （1）これがオンになっていることを確認する。

　次にエクスプローラで公開したいフォルダを選択して右クリックし、ポップアップ・メニューから［共有とセキュリティ］を選択する。すると、最初の1回は次のようなダイアログが表示されるので、内容を確認後、［危険を認識した上で、……］のリンクをクリックする。

簡易ファイルの共有に対する注意メッセージ
最初の1回はこのようなダイアログが表示されている。
　 （1）これをクリックして先へ進む。

　すると次のように表示内容が変わるので、共有のためのチェック・ボックスをオンにする。細かいアクセス権の設定は必要なく（そもそも設定できない）、これだけでフォルダを共有できる。可能なアクセス権は、「読み取りのみ」か「読み書き可」の2種類だけである。

簡易ファイルの共有の設定
このモードでは、非常に簡単に共有を実現できる。許可するユーザーなどを指定する必要はない。
　 （1）これをオンにする。
　 （2）共有名。
　 （3）これをオンにすると読み書き可能だが、オフにすると読み出しのみ可能となる。

　こうやって共有されたフォルダをほかのコンピュータから使用している場合、それは匿名アクセスが使われている。匿名アクセスであるかどうかを確認するには、コンピュータの管理ツールで共有フォルダのセッション情報を確認すればよい。右端の「ゲスト」欄が「はい」になっていれば、それは匿名アクセスを表している。

匿名アクセスの確認
簡易ファイルの共有では匿名アクセスが利用されている。
　 （1）コンピュータの管理ツールで共有の設定を確認する。
　 （2）この「セッション」を開く。
　 （3）アクセスしているユーザー。ただしこれは（クライアントへの）ログオンに使用したユーザー名であって、実際の共有やファイル・アクセスはGuestアカウントで行われている。
　 （4）接続元のコンピュータ。
　 （5）匿名アクセスの場合はこれが「はい」となる。

方法2――通常のファイル共有で細かいアクセス制御を行う

　簡易ファイルの共有を利用しない場合やドメインに参加している場合は、従来のような共有ダイアログを使った共有設定を行う。［共有］タブにこの設定画面を表示させるには、前述のフォルダ・オプションの設定で［簡易ファイルの共有を使用する (推奨)］のチェックを外してオフにする。

詳細な共有設定
簡易ファイルの共有でない場合は、このような共有設定ダイアログが表示される。
　 （1）これを選択すると共有が有効になる。任意のフォルダを共有できる。
　 （2）共有名。
　 （3）アクセス権はここで設定する。このあたりはWindows 2000の頃と変わっていない。

　［アクセス許可］をクリックすると細かいアクセス権設定が行える。この部分はWindows 2000と同じである。

« 前の回へ