- - PR -
administratorのアクセス権限設定
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-09-20 13:35
ですから、所有権の取得を サブフォルダやファイルを含めておこなっているか? アクセス権の変更を 同じく サブフォルダ・ファイルを含めて行っているか? の確認に尽きると思います。 自分ではやっているつもりでもできていないから、そのような症状になります。 (一番上の親フォルダのアクセス権しか変更できていない状態)
ではなく、自分の目で見て確実に確認してください。 問題の要件として、 1.アクセス権がきちんと設定されているのにアクセスできない。 2.多分、設定されている「はず」だが、アクセスできない。 では解決方も異なります。 | ||||||||||||
|
投稿日時: 2004-09-20 20:47
まるちねす様、ご返信ありがとうございます。
あいまいな回答で大変失礼致しました。 本件につきましては 1.部署フォルダをAdministratorが作成し、所属ユーザーにフルコントロールの アクセス権限を与える。 2.部署フォルダのAdministratorのアクセス権限を削除する 3.所属ユーザーがファイルを作成する。 4.Administratorが部署フォルダにて追加ユーザーのフルコントロールアクセス権限を 与える 上記、手順により追加ユーザーがファイルにアクセスできるか否かについての ご質問をさせて頂きました。 否の場合、なぜ否なのか教えて頂きたいと存じます。 >所有権の取得を サブフォルダやファイルを含めておこなっているか? サブフォルダやファイルの所有権取得は行っておりません。 本件、サブフォルダやファイルに所有権を変更しないと やはり追加ユーザーはアクセスはできないのでしょうか? なぜサブフォルダ・ファイルの所有権を変更しないと アクセスできないのでしょうか? (所有権の変更を行ったらアクセス可能なのは確認済みです) ちなみに[1]にて設定した所属ユーザーが追加ユーザーに部署フォルダへ アクセス権限(フルコントロール)を付与した場合、 所有権の変更をせずに追加ユーザーはサブフォルダ・ファイルへの アクセスは可能です。これはなぜでしょうか? >アクセス権の変更を同じくサブフォルダ・ファイルを含めて行っているか? サブフォルダ・ファイルにて権限継承はおこなっております。 おかしな運用、及び私の説明不足で大変ご迷惑をおかけ致しておりますが、 ご教授の程よろしくお願いいたします。 | ||||||||||||
|
投稿日時: 2004-09-21 10:24
貴殿のがどのような順番を踏んだかということよりも、
最終的に現状のアクセス権がどうなっているか がまず重要 ユーザーがアクセスできないファイルのアクセス権がどうなっているか確認してください。 (何度もいいますが、) もししたくないなら、何もいうつもりはありません。 そして、原因はわからぬが、親フォルダのみ開けて、サブフォルダやその下のファイル へアクセスできないというなら、アクセス権の継承が切れているので、継承できるように 再設定するのみです。
随所の書き込みに見受けられるのですが、 多分誤解していると思います、所有権を取得しただけではアクセスできません。 所有権を取得すれば、アクセス権を変更できるので、所有者が希望どおりのアクセス権 設定に変更できるに過ぎません。 所有権を取得しても、自分がアクセスできない状態にもできます。 しかし、所有者は前述のようにアクセスできない状態だとしても、アクセスできるように アクセス権を変更できてしまうということです。 だから、windowsで管理者もアクセスできないようなセキュリティ環境を構築したいとすれば OS標準では暗号化という手段しかないのです。 (パスワード管理をユーザーに任せたゆえで) 所有権にこだわらないで下さい。 リソースへのアクセスを制御するのはあくまで "アクセス権" であり、 所有権がないとアクセス権が変更できない場合があるので、変更するために所有権を 取得するということです。
ここもそうなんですが、GUIなり、コマンドなりでキッチリ確認したのでしょうか? 自分が継承を行っているつもりでも、実際は行われていないのじゃないでしょうか。 どうも確認が不十分な気がします。 | ||||||||||||
|
投稿日時: 2004-09-21 12:23
まるちねす様、度重なるご返信ありがとうございます。
> 最終的に現状のアクセス権がどうなっているかがまず重要 > ユーザーがアクセスできないファイルのアクセス権がどうなっているか確認してください。 失礼しました。この件に関してはご報告しておりませんでした。 ファイルへのアクセス権に追加ユーザーは含まれておりません。 しかしファイルの継承はチェックが入っております。 > 原因はわからぬが、親フォルダのみ開けて、サブフォルダやその下のファイル > へアクセスできないというなら、アクセス権の継承が切れているので、継承できるように > 再設定するのみです。 アクセス権の継承が切れるとはどういう事でしょう? 継承のチェックは全て入っております。 ちなみにここでおっしゃってる"原因"がもっとも伺いたいところであります。 前記述にての手順でなぜファイルのアクセス権限に追加ユーザーが 継承されていないかという事です。 > GUIなり、コマンドなりでキッチリ確認したのでしょうか? > 自分が継承を行っているつもりでも、実際は行われていないのじゃないでしょうか。 確認済みとご報告致しました。疑われても・・ 私の以前のご報告に曖昧な表現がございました事をお詫び致します。 度々申し訳ございませんが、よろしくお願い致します。 | ||||||||||||
|
投稿日時: 2004-09-21 12:57
だからアクセスできないのです。
継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする。 の部分でしょうか? ですが、チェックの有無ではなく、上記アクセス権の一覧に含まれているか 否かが最も重要です。 親には追加ユーザーが設定してあり、継承もしているのに一覧に表示されない というならば、バグ的なものかもしれません。 いずれにせよ下記方法により、再設定することが可能です。
でしたら、アクセスできないそのファイルに対してcaclsコマンドを実行し 結果を貼り付けてみてください。 caclsの使い方は コマンドから cacls /?です。 手段 「サブコンテナとオブジェクトの所有者の置き換え」でAdministratorに所有者を置き換え ↓ 「全ての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承で きるようにする」 にチェックいれて適用かokをクリック ↓ 親フォルダに追加ユーザーのアカウントを追加 しかありません。 この手段を経たくないというならば、自分は降ります。 | ||||||||||||
|
投稿日時: 2004-09-21 14:25
まるちねす様、早々のご返信ありがとうございます。
> アクセスできないそのファイルに対してcaclsコマンドを実行し 結果を貼り付けてみてください。 ******************************************** D:\>cacls "部署フォルダ" /T D:\部署フォルダ DOMAIN\hanako:(OI)(CI)F DOMAIN\taro:(OI)(CI)F D:\部署フォルダ\hanako.txt DOMAIN\hanako:F DOMAIN\taro:F D:\部署フォルダ\taro.txt DOMAIN\hanako:F DOMAIN\taro:F ******************************************* > この手段を経たくないというならば、自分は降ります。 まるちねす様、度重なるご返事ありがとうございました。 私の説明不足の為、多大なご迷惑をお掛けしてしまいましたが、 ご指定手段での解決は以前も申しましたが、調査済みです。 本件は下記手順によりなぜ追加ユーザーのファイルへのアクセス権限が 継承されないかの「なぜ」という疑問に対する回答をお願いしたかったのです。 その中で、親フォルダからの継承はすべてチェックが入っているかとの 質問を受け継承のチェックが入っていることを確認致しました。 --------------------------------------------------------------------------- 1.部署フォルダをAdministratorが作成し、所属ユーザーにフルコントロールの アクセス権限を与える。 2.部署フォルダのAdministratorのアクセス権限を削除する 3.所属ユーザーがファイルを作成する。 4.Administratorが部署フォルダにて追加ユーザーのフルコントロールアクセス権限を 与える --------------------------------------------------------------------------- *フォルダのNTFSアクセス許可に指定されていないAdministratorが ユーザーを追加すると下位のファイルへ追加ユーザーは継承されないのでしょうか? まるちねす様、お忙しい中、アドバイスどうもありがとうございました。 | ||||||||||||
|
投稿日時: 2004-09-21 16:21
なんだか、まるちねすさんが投げやりになっているようですが…。実際には、keytoheadsさんの言っている通りの振る舞いをしますね。
アクセス権の継承といっても実際のところは、内部で自動的にアクセス権を設定しているに過ぎません。なので、アクセス権の継承には「アクセス許可の読み取り」と「アクセス許可の変更」というアクセス許可が必要になります。今回の場合、操作主である Administrator がフルコントロール・所有権のいずれも持っていないので、継承設定に基づいたアクセス権の変更ができない、ということなのでしょう。 私は、これは Windows のバグだと思います。これは親オブジェクトのアクセス権を変更した操作主(Administrator)のセキュリティコンテクストで、子のアクセス権を変更しようとしているから問題になるのだと思います。子のオブジェクトがアクセス権を継承するようにマーキングされている場合、子オブジェクトのアクセス権変更は子オブジェクトの所有者のセキュリティコンテクストで行うべきだと思います。 まあ、結論からすればサーバー上で各種操作を行う Administrator にはファイルシステム全体のフルコントロール権限を与えておくべきである、ということになると思います。 | ||||||||||||
|
投稿日時: 2004-09-27 14:53
未記入様、ご返信ありがとうございます。
お返事が遅くなりまして失礼致しました。 本件についての情報がどこを探しても無い為、 不安でしたが、未記入様のご回答で安心いたしました。 ありがとうございました。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。