- PR -

Windows 2003 Server 共有フォルダのアクセス許可

1
投稿者投稿内容
UK
会議室デビュー日: 2006/02/14
投稿数: 3
投稿日時: 2006-02-14 15:36
Windows2003 Serverを使用した
ドメインと共有フォルダがあります。

あるフォルダにExcelのファイルを置き、
そのフォルダには特定のグループに所属する人以外は、
Excelのファイルに対して更新はできるけれども、
削除はできない
というアクセス権を設定したいと思っています。

しかし、実際は、
http://support.microsoft.com/kb/214073/JA/
にあるように、一時ファイルが作成されますので
これを削除するための削除権限をあたえないと、
フォルダにどんどん一時ファイルが残ってしまいます。
権限を与えると、削除させたくない元のExcelも削除できてしまいます。

実務ではよく発生しそうなことだと思うのですが
解決策の事例等を発見することができませんでした。
良い解決案があればお教えください。

[ メッセージ編集済み 編集者: UK 編集日時 2006-02-14 15:54 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-02-15 02:48
こんばんわ.

できるかどうかはともかく.
Directory ではなく,file そのものの access control を設定すればよろしいのでは?
そうすれば,temp file は書き込めて,さらに削除もできると思います.

実務で発生するのでしょうか?
そのような場合は database を利用するとか,
他の方法で実現するように思われます.

以上,ご参考までに.
UK
会議室デビュー日: 2006/02/14
投稿数: 3
投稿日時: 2006-02-15 10:27
ご回答ありがとうございます。

access control=プロパティのセキュリティタブと解釈しましたが、
すみません、当方の知識不足か
おっしゃっている意味が理解できませんでした。

ただ、いろいろと調べているうちに、
NTFSのアクセス権は、適用先を指定できるということに気づき
実現できました。

※一般の制限をしたい社員が G_社員 として定義されていたとして
1.フォルダに対して
 G_社員(読取、書込、実行):このフォルダ、サブフォルダを適用先
 G_社員(削除):ファイルのみを適用先
2.フォルダの中のファイルすべて(Excel)に対して
 親からアクセス権を継承〜のチェックをはずし、コピーを選択。
 G_社員の削除権限のチェックをはずし
 G_社員(読取、書込、実行)にする

DataBaseを使うまでもなく、手軽に
Excelの共有機能を使用して
ファイルサーバー上で共同作業を行う際などは
発生しうると思います。
MS Officeを使用する顧客(エンドユーザー)では特に。

自己解決で申し訳ございません。
以上、ご参考までに。



Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-02-15 15:10
多分、意図した通りに解決してないと思います。

引用:
※一般の制限をしたい社員が G_社員 として定義されていたとして
1.フォルダに対して
 G_社員(読取、書込、実行):このフォルダ、サブフォルダを適用先
 G_社員(削除):ファイルのみを適用先

これだと、一時ファイルだけでなく「新規作成ファイル」にも、
削除権限が付与されるはずです。
なので、ファイルを新規に作るたびに
引用:

2.フォルダの中のファイルすべて(Excel)に対して
 親からアクセス権を継承〜のチェックをはずし、コピーを選択。
 G_社員の削除権限のチェックをはずし
 G_社員(読取、書込、実行)にする

という処理をする必要があるかと。

そういうニーズがあるファイルが限定できるならそれでも大丈夫でしょうけど、
限定しきれない、新規作成されるファイルやコピーされるファイルが多いなら、
日々気を使わないと成り立たない構成でしょう。

ニーズがあるのは分かってるんですが、僕自身、思い通りに
実現できる方法を知りません。
Windowsの機能面での改善待ちしてます。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
ホー×2のパパ
ベテラン
会議室デビュー日: 2003/11/23
投稿数: 94
投稿日時: 2006-02-15 16:58
興味を引かれる話題だったので、
考えてみました。
実際の運用経験はありませんが、こんな方法で、可能になりませんでしょうか。

課題のエクセルファイルたちは、
おっしゃる「G_社員」ユーザグループ以外の方しか、
新規作成、あるいはこのフォルダーへコピーをしない
という前提条件を必要としますが、


共有フォルダーのセキュリティタブで、
CreatorOwner に対してフルコントロールを与え
さらに、
おっしゃる「G_社員」ユーザグループに
「削除」、「サブフォルダとファイルの削除」権限以外を与えます。

すると、
このフォルダー内のファイルは、CreatorOwnerだけが削除できることとなります。
また、エクセルの更新のタイミングで作成される一時ファイルのCreatorOwnerは、
エクセルファイルを更新しようするユーザになりますので、
削除可能になります。

都合、
「G_社員」ユーザグループのメンバーは、
書換はできるが削除ができないようになりませんでしょうか。


なお、既にエクセルファイルが作成されているものについては、
個々のファイルの所有者を「G_社員」ユーザグループ以外の方に変更する必要があります。
UK
会議室デビュー日: 2006/02/14
投稿数: 3
投稿日時: 2006-02-16 01:34
みなさんありがとうございます。

>Mattunさん
たしかにおっしゃるとおりなんです。
実際は、運良く限定できるケース
(ISOの記録ファイル:数が特定されていてめったに記録様式自体増えない)
だったので、まぁ、いいかなとおもっておりました。

>ホー×2のパパさん
CreatorOwner! しりませんでした。
まさしくこういうことができればばっちりです。
試してみます。ありがとうございます。


ホー×2のパパ
ベテラン
会議室デビュー日: 2003/11/23
投稿数: 94
投稿日時: 2006-02-16 21:40
ご存じかもしれませんが、
おっしゃる「G_社員」ユーザグループから
所有権の取得権をも剥奪すると、
より強固なセキュリティになりましょう。
1

スキルアップ/キャリアアップ(JOB@IT)