- PR -

フォルダ・ファイルのアクセス権について

1|2 次のページへ»
投稿者投稿内容
香月
会議室デビュー日: 2006/02/10
投稿数: 16
投稿日時: 2008-04-09 16:30
いつもお世話になってます。香月と申します。

フォルダ・ファイルのアクセス権について相談させて下さい(_ _*)
Windows2003Server R2、クライアントはWindowsXP、ActiveDirectoryのシングルドメイン環境です。


+フォルダ1:上からのアクセス継承 → everyone 読み取り/Taro・Hanakoフルコントロール
  ├── ファイル1
  └──+フォルダ2
       └── ファイル2

 ※Taro・Hanakoは Administrators グループではありません。

ユーザー:Hanako フォルダ1・2作成
       ファイル1・2作成
       ファイル2を、アクセス継承を削除し、アクセス権をHanakoのみ、と設定した


その後 Hanakoが退職した為、Taroがフォルダ1の所有権を取得(「サブコンテナとオブジェクトの所有者を置き換える」、にチェック)、フォルダ1より「子オブジェクト全てのアクセス許可エントリを置き換え」を実施。

ですが、、Taro はファイル2にアクセス権がなく、ファイルを開くことができません。。
(「全般タブ」しか出てこなくて、「セキュリティタブ」が無いです…)

Administrator では、セキュリティタブが現れて、アクセス権の追加・削除等ができそうです。

1.Taro は、フォルダ1にフルコントロールが設定されており、所有権も取得しているにも関わらず、
  ファイルにアクセスできないのは何故でしょう? Administrator と違う所は何でしょうか?

2.Administrator ではアクセス許可を変更することができるので、最終的にはファイル2に
  アクセスさせることはできるのですが、できれば Taro がフォルダ1の管理者、としたいのです。。
  今回のように誰かが退職したとしても、フォルダ1以下のアクセス権は、Taro が変更・削除が
  できるようにするには、どのような設定をすれば良いでしょうか?

なにやら長くなって分かりづらくなってしまって申し訳ないです、、
もし良い方法をご存じの方がいらっしゃいましたら、どうかよろしくお願いします<(_ _)>
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-04-10 23:26
ちゃんと ACL 覗いてみましたか?

ACL を確認するのは全般ではダメですよ。詳細までちゃんと確認しなくては。

あと、Windows Server 2003 では <詳細設定> の [有効なアクセス許可] tab でどの要求に対して権限があるか確認できます。
_________________
香月
会議室デビュー日: 2006/02/10
投稿数: 16
投稿日時: 2008-04-11 15:38
ご回答ありがとうございました。<(_ _)>

ACL は、フォルダ1でセキュリティの詳細設定で、Taroユーザーにはフルコントロール(許可に全てチェックが入っています。また、適用先は「このフォルダ、サブフォルおよびファイル」になっています)
フォルダ1には、Administratorsもフルコントロールで設定されていて、
Administratorの方と比べてみたのですが、Taroと同じなのです。。

有効なアクセス許可は、Taro、Administrator共にフルコントロールで設定されていることを確認できます。

いくらそのルートフォルダにフルコントロールで設定されているTaroでも、他のユーザーが作成したファイルやフォルダのアクセス権変更することは、Administratorしかできないのかも…。。
(TaroがAdministratorsであれば良いのですが。。)
ゆうじゅん
ぬし
会議室デビュー日: 2004/01/16
投稿数: 347
投稿日時: 2008-04-11 17:08
ちなみに、ファイル2のACLはどうなっています?
あと、Taroユーザーで作成したファイルについては、「セキュリティ」タブは表示されますか?
香月
会議室デビュー日: 2006/02/10
投稿数: 16
投稿日時: 2008-04-14 10:08
ゆうじゅんさん、レスありがとうございます。
Hanakoで見ると、「全般」「セキュリティ」「概要」の三つ、
Taroで見ると「全般」のみ、
Administratorで見ると「全般」と「セキュリティ」の二つ(Hanakoのみがアクセスフルコントロール、というセキュリティの情報も目視でき、設定も変更できそうです)
が表示されています。
Taroではセキュリティタブが出ていないので、所有権も取得できない状態です(TдT)

フォルダ1(ここではルートフォルダ)に対してTaroがフルコントロール設定されていたとしても、その下に継承しないアクセス権でフォルダやファイルを作成してしまうと、いくらフルコントロール設定していても、Admin 権限のないTaroには、アクセス変更できないんですかね…(´Д⊂
ゆうじゅん
ぬし
会議室デビュー日: 2004/01/16
投稿数: 347
投稿日時: 2008-04-14 15:18
ちょっと状況をはっきりさせたいので、Administratorで以下のコマンドを実行していただけないでしょうか

cacls フォルダ1
cacls フォルダ2
cacls ファイル2

ジーちゃん
ベテラン
会議室デビュー日: 2006/01/07
投稿数: 69
お住まい・勤務地: 関東
投稿日時: 2008-04-14 17:19
こんにちわ〜

引用:

香月さんの書き込み (2008-04-09 16:30) より:

その後 Hanakoが退職した為、Taroがフォルダ1の所有権を取得(「サブコンテナとオブジェクトの所有者を置き換える」、にチェック)、フォルダ1より「子オブジェクト全てのアクセス許可エントリを置き換え」を実施。

ですが、、Taro はファイル2にアクセス権がなく、ファイルを開くことができません。。
(「全般タブ」しか出てこなくて、「セキュリティタブ」が無いです…)


そもそもこの『ファイル2』の所有権は取得できているのでしょうか。
フォルダ1・2にはTaroがフルコントロールなので、所有権を取得できますが、
ファイル2の所有権は取得できていないはずです。

引用:

1.Taro は、フォルダ1にフルコントロールが設定されており、所有権も取得しているにも関わらず、
  ファイルにアクセスできないのは何故でしょう? Administrator と違う所は何でしょうか?

アクセス権の詳細設定に『所有権の取得』という項目があります。
この権限がなければ、所有権が取れるはずがありません。
#administratorは特別ですが・・・

誰でも所有権が取得できちゃ問題ありますし・・・。

引用:

2.Administrator ではアクセス許可を変更することができるので、最終的にはファイル2に
  アクセスさせることはできるのですが、できれば Taro がフォルダ1の管理者、としたいのです。。
  今回のように誰かが退職したとしても、フォルダ1以下のアクセス権は、Taro が変更・削除が
  できるようにするには、どのような設定をすれば良いでしょうか?


管理を容易にするのであれば、ローカルグループを使って
アクセス権を設定し、そのローカルグループのメンバを変更
することで切替すればいいと思いますよ。
#ただファイル単位でACL個別設定するのは、管理が非常に煩雑に
#なりますよ。


香月
会議室デビュー日: 2006/02/10
投稿数: 16
投稿日時: 2008-04-14 17:26
ゆうじゅんさん、またまたレスありがとうございます。
お手数をお掛けしてすみません。

こんな状況です。。
Domain、となっている所は、ドメイン名が入っています。

cacls フォルダ1

フォルダ1 BUILTIN\Administrators:(OI)(CI)F
Domain\Everyone:(OI)(CI)R
NT AUTHORITY\SYSTEM:(OI)(CI)F
Domain\taro:(OI)(CI)F


cacls フォルダ2
フォルダ2 BUILTIN\Administrators:(OI)(CI)F
Domain\Everyone:(OI)(CI)R
NT AUTHORITY\SYSTEM:(OI)(CI)F
Domain\taro:(OI)(CI)F


cacls ファイル2

ファイル2.txt Domain\Hanako:F


フォルダ2は、フォルダ1からのアクセス権を引き継いでいます。
ファイル2は、アクセス継承を削除し、Hanakoだけ、としています。

よろしくお願いします。<(_ _)>
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)