- PR -

アクセス権設定について

1
投稿者投稿内容
かわうそ
会議室デビュー日: 2005/01/20
投稿数: 4
投稿日時: 2005-01-20 11:09
はじめまして、かわうそと申します。
会社の社内LANにて社内のデータ共有用サーバーを
立てて運用しているのですが、アクセス権設定で悩んでいます。
実は私がネットワーク管理をするようになる前からサーバーは
存在していたのですが、アクセス権の設定がいい加減で、ほぼ
すべてのユーザーがフルコントロールという状態でした。
そんな状態で運用されていた為、勝手にフォルダが増えたり、
データが移動されていたりと乱雑な状態になってしまっていました。
そんな状態を換える為、アクセス権設定を見直すこととなりました。

そこでこの共有サーバーは各職場単位でフォルダを持っており、
そのフォルダ単位で職場の特定権限者のみが職場フォルダ以下の
サブフォルダ作成権限をもっており(フルコントロール)、その他の
職場メンバーはファイルの作成、修正、追加は可能だがフォルダ作成
はできないという状態を作りたいと思っています。
自分なりに調べたり、聞ける範囲で調べたりとしたのですが、
プロパティ−セキュリティ−詳細の中でフォルダの作成に拒否を
つけるとファイルの追加は可能なのですが、既存ファイルの上書きがは
出来ないということでした。
ついては設定の仕方もしくは別の方法(アプリケーション等)で希望の
アクセス権の設定をする方法がもしありましたら教えていただけない
でしょうか?

共有サーバーのOSはWIN2000Serverです。

まだまだ、ネットワーク関しての素人なのでとんちんかんな事を
書いていましたらすいません。
ご教授宜しくお願いいたします。
かわうそ
会議室デビュー日: 2005/01/20
投稿数: 4
投稿日時: 2005-01-20 11:10
すいません、追記です。
クライアントマシンはwin95、win98、win2000になります。
xvi30ss
常連さん
会議室デビュー日: 2004/11/22
投稿数: 48
お住まい・勤務地: 栃木県
投稿日時: 2005-01-20 18:55
引用:

かわうそさんの書き込み (2005-01-20 11:09) より:
はじめまして、かわうそと申します。
会社の社内LANにて社内のデータ共有用サーバーを
立てて運用しているのですが、アクセス権設定で悩んでいます。

(中略)

そこでこの共有サーバーは各職場単位でフォルダを持っており、
そのフォルダ単位で職場の特定権限者のみが職場フォルダ以下の
サブフォルダ作成権限をもっており(フルコントロール)、その他の
職場メンバーはファイルの作成、修正、追加は可能だがフォルダ作成
はできないという状態を作りたいと思っています。
自分なりに調べたり、聞ける範囲で調べたりとしたのですが、
プロパティ−セキュリティ−詳細の中でフォルダの作成に拒否を
つけるとファイルの追加は可能なのですが、既存ファイルの上書きがは
出来ないということでした。
ついては設定の仕方もしくは別の方法(アプリケーション等)で希望の
アクセス権の設定をする方法がもしありましたら教えていただけない
でしょうか?

共有サーバーのOSはWIN2000Serverです。

まだまだ、ネットワーク関しての素人なのでとんちんかんな事を
書いていましたらすいません。
ご教授宜しくお願いいたします。


こんばんわ。初めまして。m(__)m

実際にサーバ管理をしていませんがアドバイスを。
フォルダー毎にアクセス管理を希望していると思いますのでクライアントがネットワークに参加する際にグループ分けをしてしまう方が手っ取り早いと思います。
ユーザAは、アカウントAでネットワーク参加しグループAのフォルダーと共通フォルダにアクセス化、その他のフォルダは、読み取りも不可の設定としユーザBも同じようにすればユーザAがユーザBのフォルダーを操作することが不可能になるはずです。

イメージ
     ユーザA ユーザB
フォルダーA
書き込み   ○   ×
読み込み   ○   ×
フォルダーB
書き込み   ×   ○
読み込み   ×   ○
共通フォルダー
書き込み   ○   ○
読み込み   ○   ○

ただしこの方法でもフォルダーの作成禁止は、出来なくて書き込み許可するとフォルダーが作成出来てしまいます。

共通フォルダーは、グループ間のファイル交換用です。読み込みを禁止するとアクセス拒否にあうのでこのフォルダー内でのみファイル交換を認めさせます。

以上の内容は、特別なソフトも必要なくWin2k Server側でのアカウントに対するグループ管理で十分可能です。


_________________
ではでは。(^^/ 利休タヌキのxvi30ss

[ メッセージ編集済み 編集者: xvi30ss 編集日時 2005-01-20 18:56 ]
かわうそ
会議室デビュー日: 2005/01/20
投稿数: 4
投稿日時: 2005-01-21 10:25
利休タヌキのxvi30ssさん回答ありがとうございます。

説明していなくてすいません。
職場単位でグループ分けして、アクセス権設定するようには
してあります。
ただ、社内のパソコンに対するレベルが低く、職場内でも
運用が危うく、あえて職場内でもグループ分けして権限者と
一般ユーザー分けして、勝手にフォルダ作成してしまうのを
抑制できればと考えていました。
教育すればよいという話なのですが、平気でファイルが消えちゃった
とか消しちゃったとかフォルダがいつのまにやら移動してるとか
いつのまにやら同じファイルが違う階層に丸々コピーされてる等
ありまして、何か手を打てない物かと思ってのことでした。
あまりにレベルの低い話ですいません。

どなたか社内ネットワークを管理されてる方の事例をお伺いできれば
ありがたいのですが・・・。
xvi30ss
常連さん
会議室デビュー日: 2004/11/22
投稿数: 48
お住まい・勤務地: 栃木県
投稿日時: 2005-01-21 13:00
こんにちは。

そうすると、もう一段グループ分けを細かくして個人のフォルダー単位で管理した方が良さそうですね。
職場のフォルダーレベルでは、読み取りのみにしてその下の階層で個人フォルダーを作成しその下層のみを読み書き可のような構造にしてはいかがでしょうか?

ちょっと管理者側の負荷が高くなりますが・・・

_________________
ではでは。(^^/ 利休タヌキのxvi30ss
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-01-21 19:22
引用:

プロパティ−セキュリティ−詳細の中でフォルダの作成に拒否を
つけるとファイルの追加は可能なのですが、既存ファイルの上書きがは
出来ないということでした。


まず、よく分からずに拒否アクセス権は指定しないこと。これが大前提。
許可されてなければ暗黙に拒否されます。

あと、アクセス権の適用先を理解すること。
アクセス権を指定するタブを開いたとき、詳細ボタンを押してください。
そこから設定を追加/変更してみると、「適用先」という項目があると思います。
デフォルトでは「ファイル・フォルダ・サブフォルダ」のすべてに対して適用されますが、
それ以外の選択肢があること、適用先によってアクセス権を個別につけられることを
理解してください。

そして、通常、上書き保存は、ファイルに対する変更権限があればできるんですが、
Officeなどの一部のアプリケーションでは、ファイルの削除権限が必要になります。
(上書き保存時、ファイルに直上書きするのではなく、別名保存→元ファイル削除、
 という挙動になるため)
で、ここで、フォルダは削除させたくないがファイルには削除権限を与える必要がある、
ということで、適用先云々の話が関連してくるのがわかると思います。
かわうそ
会議室デビュー日: 2005/01/20
投稿数: 4
投稿日時: 2005-01-24 13:34
xvi30ss様、Mattun様アドバイスありがとうございました。

適用別にアクセス権設定ができるということ自体を
勉強不足で知りませんでした。
アドバイス通り、適用先別(フォルダとファイル)に
分けてアクセス権設定をしたところ、当初の目的通りの
事が出来ました。

一部のファイルで削除権限がないと上書き保存ができな
という事もはじめて知りました。

ありがとうございました。

1

スキルアップ/キャリアアップ(JOB@IT)