- - PR -
共有フォルダのアクセス権設定での所属するグループについて
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-03-15 19:01
どなたかよろしくお願いいたします。
状況) ・Win2003ServerR2マシンSV1でドメインコントローラ及びファイルサーバを構築中です ・SV1にGroup0(所属するグループ=なし)を作成 ・SV1にUser1(所属するグループ=Group0のみ)を作成 ・\\SV1\D$ 共有アクセス権=デフォルト NTFSアクセス権=デフォルト ・共有フォルダ \\SV1\D$\holder1 共有アクセス権=Everyoneフルコントロール NTFSアクセス権=デフォルト+User1フルコントロール ・共有フォルダ \\SV1\D$\holder2 共有アクセス権=Everyoneフルコントロール NTFSアクセス権=デフォルト ・ドメインに参加しないPC1にUser1(パスワードはSV1と同じUser1に設定)を作成し ログオン 問題点) @PC1エクスプローラでholder1はもちろんholder2まで書き込みが行えてしまう。 Group0でどこにも属さないUser1がなぜholder2に書き込みできるんでしょう? APC1ローカルに置いたMDB(holder1内MDBのテーブルをリンク)を開くと権限がない とエラーメッセージが表示され開けない。 しかしSV1のUser1の所属するグループにAdministratorsを追加すると問題なく 開ける。holder1についてフルコントロールであるUser1ではなぜダメなのか? *holder1のMDBファイルのセキュリティー権限はholder1と同じ内容でした。 *やりたいのは\\SV1\D$配下のフォルダに対するアクセス権の設定ですが このままではアクセスさせるフォルダ以外に拒否設定をする必要があります 拒否設定は好ましくないとのWeb上に記載もあったためどうするべきか 決めかねております、どなたか解決法をご存知でしたらよろしくお願い いたします。 | ||||
|
投稿日時: 2007-03-15 21:18
すいません補足します。
・PC1はWin XP Pro SP2で簡易共有はONです。 | ||||
|
投稿日時: 2007-03-16 10:07
アクセス権は、設定された通りの動きしかしませんので、
接続してるユーザ、そのユーザが属してるグループと、 ACL設定とが、何か意図せずマッチングしてるからこそ、書き込めるんでしょう。 という前提で、 ・接続してるユーザを改めて確認 サーバ側のコンピュータの管理->システムツール->共有フォルダ->セッション ・属しているグループの確認 これはサーバ側というか、ActiveDirectoryです。 (所属してるグループはGroup0だけとのことだけど、DomainUsersにも属してないんですか?) ・NTFSアクセス権の設定 デフォルト、といってますけど、自身で判別するだけならともかく、 質問するからには、一応列挙お願いします。 WindowsServer2003DCだと、デフォルトで書き込み権限を含むACLは下記の通りですね。 <Domain>\Administrators(フルコントロール) CreatorOwner(フルコントロール)(サブフォルダとファイル) SYSTEM(フルコントロール) _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||
|
投稿日時: 2007-03-16 11:49
返信ありがとうございます。
>という前提で、 >・接続してるユーザを改めて確認 > サーバ側のコンピュータの管理->システムツール->共有フォルダ->セッション アクセスユーザー名はUser1でした。 >・属しているグループの確認 > これはサーバ側というか、ActiveDirectoryです。 > (所属してるグループはGroup0だけとのことだけど、DomainUsersにも属してないん >ですか?) DomainUsersにも属しません、Group0だけです。 >・NTFSアクセス権の設定 > デフォルト、といってますけど、自身で判別するだけならともかく、 > 質問するからには、一応列挙お願いします。 > WindowsServer2003DCだと、デフォルトで書き込み権限を含むACLは下記の通りですね。 > <Domain>\Administrators(フルコントロール) > CreatorOwner(フルコントロール)(サブフォルダとファイル) > SYSTEM(フルコントロール) すいませんでした。尚、記載して頂いた上記とUsers(読み取りと実行)とUsers(特殊) もデフォルトで存在します。 わかった事)問題点1について ・holder2については共有アクセス権=Everyoneフルコントロールを読み取りにすると書き込みは できなくなる。(NTFSのUsersあり) ・holder2については共有アクセス権=EveryoneフルコントロールでもNTFSのUsersを削除すれば アクセスもできなくなる。 上記からUser1がUsersグループを使用しているらしいためアクセスの阻止のためには UsersグループをNTFSアクセス権から削除すれば良いのかと思いテストしたところ IISで使用しているフォルダがWebからアクセスできなくなる等の不具合が発生し削除は 危険と判断しました。User1をUsersグループに含めない方法があるんでしょうか? わかった事)問題点2について ・リンクテーブルの指定がIPアドレスを使用していると駄目 IPアドレス指定からコンピュータ名に変更することで解決しました。 Microsoftの仕様らしいですがAdministratorsの場合大丈夫なのが納得できない。 ご回答よろしくお願いいたします。 | ||||
|
投稿日時: 2007-03-17 07:20
UsersもEveryoneも”User1”が含まれますよね だと ・共有フォルダ \\SV1\D$\holder2 共有アクセス権=Everyoneフルコントロール NTFSアクセス権=デフォルト に対して ・holder2については共有アクセス権=Everyoneフルコントロールを読み取りにすると書き込みは できなくなる。(NTFSのUsersあり) ・holder2については共有アクセス権=EveryoneフルコントロールでもNTFSのUsersを削除すれば アクセスもできなくなる。 のは当たり前ですよね。 上記からUser1がUsersグループを使用しているらしいためアクセスの阻止のためには UsersグループをNTFSアクセス権から削除すれば良いのかと思いテストしたところ IISで使用しているフォルダがWebからアクセスできなくなる等の不具合が発生し削除は 危険と判断しました。User1をUsersグループに含めない方法があるんでしょうか? IISの匿名ユーザーもそれに含まれますのでそのとおりに動いたまで。 なのでフォルダーのアクセス権ではusersグループを使わず必要なユーザーだけを集めたグループを作りそれを設定する。 *修正 [ メッセージ編集済み 編集者: wojisan 編集日時 2007-03-17 07:29 ] | ||||
|
投稿日時: 2007-03-17 11:04
返答ありがとうございます。が・・・
>UsersもEveryoneも”User1”が含まれますよね >だと 勉強不足ですいません、Usersに含まれないためにGroup0を作ってみたんですが 意味が無かったようです。 >なのでフォルダーのアクセス権ではusersグループを使わず必要なユーザーだけを >集めたグループを作りそれを設定する。 usersグループを削除する必要がある事はわかりましたが、IISのように問題が 出そうで・・・ちなみにIIS6.0の使用するフォルダでusersグループを削除した場合 IUSR_MachineNameやNETWORK SERVICEを追加する必要があるようですが一般的な フォルダの場合に追加すべきビルトインユーザーをご存知でしたら教えて頂けますか? | ||||
|
投稿日時: 2007-03-17 12:47
認証方法、および IIS で動かしている application によって変わってきます。 あと、Web 経由で見せるものと SMB/CIFS 経由で見せたいものは別ですよね? なので、個別に ACL を設定してやればいいでしょう。 一個ずつ制御するのは面倒なので、普通はそれぞれ別の folder を用意し、そこにかき集めといて、folder に対し ACL を設定します。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。