- PR -

アクセス許可の与え方について

1
投稿者投稿内容
fuku
会議室デビュー日: 2004/10/26
投稿数: 10
投稿日時: 2004-11-01 19:09
はじめまして。
windows2000serverでファイルサーバの構築をしています。
フォルダ管理の運用は、

1.アクセス許可(セキュリティタブ)の変更はCACLSコマンドで行う。

2.フォルダへのアクセス許可は各部門のフォルダ管理者に行わせる。

というかたちを考えています。

Administrators権限をもつユーザでCACLSコマンドを使用できるのですが、
フォルダ管理者とはいえそこまでの権限は与えたくないと思います。

Administratorsのほかに、EnterpriseAdminsの権限を持たせても可能ですが、
この権限はネットワーク操作に対しての全権限を持っているという本の説明を読む限り、
適切に思えません。

アクセス許可変更周辺のみの権限を持たせるためには、どんな権限付与にすれば可能かご存知でしたらお教えください。

よろしくお願いいたします。
dellgate
大ベテラン
会議室デビュー日: 2004/02/20
投稿数: 198
投稿日時: 2004-11-01 20:13
該当のフォルダに対して、そのフォルダを管理するユーザ(グループ)のフルアクセス権
(もしくは、[アクセス許可の変更]権限)を持たせることで対応できませんか。

その上位には、読み取りとか一覧とかにして・・・


ただ、[アクセス許可の変更]だけを操作する場合は、xcaclsコマンドを使用する必要が
あります。(特殊なアクセス権となるので)



[ メッセージ編集済み 編集者: dellgate 編集日時 2004-11-01 20:17 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-11-01 20:21
caclsコマンドの実行に対しては、そのフォルダに対しフルコントロール
もしくは変更+アクセス権の変更 権限さえ与えてあれば十分。
サーバやドメインに対する管理者権限なんて不要です。
フォルダに対するアクセス権を見直してください。

また、なぜ扱いにくいcaclsコマンドを前提に考えてるのかも不可解です。
バッチ処理で変更しなきゃならない、とかって要件でもない限り、
caclsでアクセス権変更の方が難しい・わかりにくいのに。
fuku
会議室デビュー日: 2004/10/26
投稿数: 10
投稿日時: 2004-11-04 16:46
ご回答、ありがとうございます。

該当フォルダに対して、管理させたいユーザに
フルアクセス権を持たせて試したのですが、うまくいかない状態です。
dellgateにご指摘いただいたxcaclsについても調べてみます。

また、Mattunさんにご指摘いただいた通り、
実際の運用としてコマンド処理はさせたくないのですが、
エクスプローラ画面から行う場合、データ量が多いと時間がかかり、
また固まったと思って途中で画面を閉じてしまう恐れがあるからです。

心配しすぎといえばそれまでですが、もっとよい方法がありましたら
今回の質問とは別にお教えください。
dellgate
大ベテラン
会議室デビュー日: 2004/02/20
投稿数: 198
投稿日時: 2004-11-04 16:50
うまくいかなかったようですが、どのようにうまくいっていないのか、手順やエラーメッセージ等を教えていただけると回答がしやすいと思います。
fuku
会議室デビュー日: 2004/10/26
投稿数: 10
投稿日時: 2004-11-04 18:22
dellgateさんありがとうございます。

私ができないと言っていた状態は、
権限変更するユーザーをセキュリティタブで設定しても
アクセス拒否されるという状態でした。

今日のスレッドを入れた後、
共有タブのアクセス許可を指摘されていたのではと思い試したところ、
うまくいきました。

難しく考えすぎていたみたいです。
お騒がせして申し訳ありませんでした。

Mattunさんにご指摘いただいた件ももう少し頭をやわらかくして
考えてみます。

ありがとうございました。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-11-04 23:10
引用:

実際の運用としてコマンド処理はさせたくないのですが、
エクスプローラ画面から行う場合、データ量が多いと時間がかかり、
また固まったと思って途中で画面を閉じてしまう恐れがあるからです。

画面を閉じると言っても、
・ログオフする
・シャットダウン/再起動する
・スタンバイする
なんてことしないと中断できないわけですが、その恐れがあるってことでしょうか?
そんな恐れがある以上、コマンドライン処理しても問題は起こると思うんだけど。

ファイル数が多いときには無応答状態になるがダイアログが閉じるまで待て、
という注意を徹底させるしかないでしょう。

ただ、途中で止めたところで、元のアクセス権が付与されたままか新しいアクセス権が
付与されるか、どちらかの状態のフォルダ/ファイルしか存在しないんだから、
悪い方向に意図しないアクセス権が付与されちゃう恐れは少ないでしょう。
どうせ再度アクセス権付与しなおしで対応できるんだから、
慣れないコマンドライン処理させてその手順でミスを行う、操作方法をフォローしなきゃ
ならない状態よりはマシだと思います。
fuku
会議室デビュー日: 2004/10/26
投稿数: 10
投稿日時: 2004-11-05 10:59
Mattunさんありがとうございます。

そういった考え方もありますね。
一度で早く設定を終わらせたい、と言う考えに固執してしまっていたので、
大変参考になりました。

もう一度運用方法を見直してみます。
1

スキルアップ/キャリアアップ(JOB@IT)