- PR -

2000serverファイル共有について

1
投稿者投稿内容
daguerreotype
会議室デビュー日: 2004/12/06
投稿数: 17
投稿日時: 2004-12-06 10:41
はじめましてdaguerreotypeと申します。
急にサーバの設定を頼まれて困っています。
環境は8拠点をVPN接続、ファイル共有サーバ(Windows2000Server)は1拠点に一台
(各拠点にではなく1拠点にのみ設置です。)そのサーバに各拠点から接続するかたち
になります。といっても殆どはサーバの設置してある拠点内からの
アクセスとなり、他の拠点からは2台ずつくらいのアクセスになります。各拠点の
殆どのユーザはアクセス拒否にする予定です。ドメイン管理はとても手に負えない
と思いワークグループ管理にしようと考えております。クライアントにはXPHome
Editionが多数おります。アクセス制限はAグループ許可、Bグループ拒否とするとの
要望があります。この場合、共有の設定からeveryoneは削除してしっまってもよいのですか?それと設定としては許可グループのみを登録してアクセス拒否をするグループは特に登録しなくても良いのですか?とても基本的は質問で申し訳ないのですがアドバイスのほどよろしくお願いいたします。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2004-12-07 16:37
共有のアクセス権ではなく、NTFS(セキュリティタブ)で制御するほうをお勧めします。

共有アクセス権  Everyone フルコントロール
NTFSアクセス権  Administratorsフル systemフル group1読み書き group2読取実行
(セキュリティタブ)

のように設定します。共有×NTFSで 厳しいほうが優先されるので
共有でEveryoneがフルコントロールを持っていたとしてもNTFSで制限すれば
そっちが優先されます。
また、
アクセスを許可するグループ・ユーザーのみにアクセス権を与える方法にし
拒否のエントリは作成しないほうがいいです。
予想外の結果になる場合があります。
拒否を作成しなくても、許可がなければ、結果として拒否になるのですから。

http://www.jyose.pref.okayama.jp/knowledge/lanqa/w2k/sec1/Q1-08.htm

共有とNTFSの両方でアクセスを制御しようとすると、混乱し、手間を増やす結果と
なりかねませんので、NTFSを主体にして設定すべきです。
また、共有フォルダは少なめにするほうが個人的にはお勧めだと思います。

DATA (共有:フル NTFS:Administrators,system フル Everyone 読み取り実行 )
jinji NTFS Administratos,system フル jinjigroup 読み書き
soumu NTFS Administratos,system フル soumugroup 読み書き
keiri NTFS Administratos,system フル keirigroup 読み書き
eigyo NTFS Administratos,system フル eigyogroup 読み書き
リモートからの"入口"をひとつのみにしても、各部門のフォルダに他部門のユーザー
はアクセスできませんので、セキュリティが保たれます。
Adminstratorsにアクセス権を与えるかどうかは、実情に応じて変更してください。
ただ、Systemアカウントにはフルコントロールを与えておいたほうがよいでしょう。
daguerreotype
会議室デビュー日: 2004/12/06
投稿数: 17
投稿日時: 2004-12-08 18:13
ありがとうございます。
出来そうな気がして来ました!
1

スキルアップ/キャリアアップ(JOB@IT)