【 Block-SmbShareAccess 】コマンドレット――共有フォルダへのアクセスを拒否する:Windows PowerShell基本Tips(69)
本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Block-SmbShareAccess」コマンドレットを解説します。
本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、共有フォルダへのアクセスを拒否する「Block-SmbShareAccess」コマンドレットです。
Block-SmbShareAccessコマンドレットとは?
Windows環境におけるアクセス権は、基本的に「ユーザー」とユーザーをまとめた「グループ」の2つで制御します。
ある共有フォルダにアクセス権を与える場合、「ITグループに属しているユーザーは基本的にアクセス可能としたいが、特定のユーザーだけは除外したい」というシナリオが考えられます。
このシナリオでは、グループを新規作成するという方法もありますが、都度グループを作成していてはグループが増え過ぎて管理面で収拾がつかなくなる恐れもあります。そこで「特定のユーザーのアクセスを拒否する」という設定が、できればこの要件を満たせます。
Block-SmbShareAccessは、設定済み共有フォルダに対し「拒否」のアクセス権を付与するコマンドレットです。前述のようなシナリオで「特定のユーザー(もしくはグループ)のアクセスを拒否する」場合に用います。
現在設定されているアクセス権に関しては、本連載第64回の記事中に紹介した「Get-SmbShareAccess」コマンドレットで取得可能です。
なお、アクセス拒否は非常に厳しい設定となります。GUIの管理ツールで拒否のアクセス権を付与した場合は以下のようなメッセージが表示され、「許可」と「拒否」の両方が設定されていた場合には「拒否が優先される」と記載されています(画面1)。
「拒否」は全てにおいて優先される共有アクセス権であるため、十分に検討した上で設定してください。
Block-SmbShareAccessコマンドレットの主なオプション
| オプション | 意味 |
|---|---|
| -Name | 拒否の共有アクセス権を追加したい共有フォルダの共有名を指定する。必須 |
| -AccountName | 拒否の共有アクセス権を追加したいユーザー名/グループ名を指定する。必須 |
| -Force | 実行時に確認なしで処理したい場合に指定する。省略可能 |
拒否の共有アクセス権を追加する
拒否の共有アクセス権を追加する場合は、共有フォルダの「共有名」と拒否したい「ユーザー名」または「グループ名」を指定してBlock-SmbShareAccessコマンドレットを実行します(画面2)。なお、Block-SmbShareAccessコマンドレットは、管理者権限で実行する必要があります。
Copyright © ITmedia, Inc. All Rights Reserved.