- - PR -
共有に対するアクセス権
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2005-03-22 17:30
NT+PDC環境を破棄してWindows2003Server+ActiveDirectoryシステム構築中.
質問は件名の通りです. NTの時は共有作成とそのアクセス権が設定できる rmtshare コマンドがリソースキットにありましたが,Windows2003(リソースキット含む)には無さそうです. どなたか rmtshare に変わるコマンドをご存じないでしょうか? net share コマンド + hogehoge でもOKですが,共有が大量にあるのでGUIでの操作は不可能です. | ||||
|
投稿日時: 2005-03-22 18:06
subinaclで出来ます。リソキにも収録されてるし、単体でダウンロードも可能です。
http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en subinacl /share \\servername\sharename で権限表示、 subinacl /share \\servername\sharename /grant でアクセス権付与、/grant の変わりに/denyで拒否アクセス権付与、 /revokeで既存の権限削除、って感じで。 詳細な書式はsubinacl /help /fullで確認してください。 なお、subinaclでは共有フォルダ作成は出来ません。 net share で共有を作成するバッチを作って、サーバ上に配置して、 telnetかタスクスケジューラ経由でたたいてやればOKでしょう。 | ||||
|
投稿日時: 2005-03-23 08:48
ご返答ありがとうございます.
このコマンドで何とか頑張ってみます. ところで根本的な質問... そもそも「共有に対するアクセス権」ってホントに必要でしょうか? 今回の件は各ユーザ(約200名)のホームマウント用です.ファイルサーバで各フォルダに対するアクセス権を設定してやれば「共有に対するアクセス権」は不要というか考えなくても良い気がします. ウチは『前からそうしていた(共有にもアクセス権を付与していた)』だけで,運用上こうしなければならない,ということではありません.他のユーザがマウントできなければそれでOKなんです.恐らく同じ事例があると思って検索していたのですが,あまりにも見当たらないので,定石というか「フォルダに対するアクセス権で十分」などご指摘ありましたらぜひ! | ||||
|
投稿日時: 2005-03-23 09:18
ハジメマシテ、Magabass様。
「共有のアクセス権」についてですが、 これはネットワーク経由でリソースにアクセスする場合に必要なので、 ネットワークドライブの割付等をしたいのであれば、やっぱり必要だと思いますよ。 マシンにローカルログオンする場合 「NTFSアクセス権」 マシンにネットワークログオンする場合 「NTFSアクセス権」と「共有のアクセス権」 がそれぞれ考慮され、アクセスの可・不可が決定されるものだと記憶しています。 これはMSのサイトにもありましたし(詳細なページは忘れてしまいましたが)、 テストアカウントを使って実験しても上記の通りの結果になりました。 参考までにどうぞ。 | ||||
|
投稿日時: 2005-03-23 09:50
どちらかだけ、を使う運用がシンプルで良いと思います。 片方でしっかり制限して、片方はEveryoneフルコントロールで、とか。 ○NTFSアクセス権で制限して、共有アクセス権は全許可の場合 ・ファイル/フォルダ単位での細かい設定が可能 ・細かく設定出来る分、管理しきれない場合も ・アクセス権のバックアップ/リストアが容易(特にドメインアカウントに対してのアクセス権の場合) ○共有アクセス権で制限して、NTFSアクセス権は全許可の場合 ・良くも悪くも管理者しか設定変更が出来ない ・共有単位なので、煩雑な制限内容にしにくい(構成がシンプルで済む) ・アクセス権バックアップ手段が一般的じゃない(それが今回のsubinacl) 僕は前者の方法ばかりを使ってるし勧めるけど、後者の方法を取ってる人の話を 聞いたりすると、それなりに理にかなってるとは思いますし、実際良し悪しはあります。 どう管理していきたいか、で選べばよいと思います。 ただ、両方で細かく制限するのは、アクセス権のトラブルシュート時に 両方のアクセス権の関係を考慮しながら望む必要があるため、お勧めしません。 一応、そのユーザ(そのユーザを含むグループ を含む)に対するアクセス権で、 ・いずれかで拒否アクセス権が設定されている→拒否 ・両方で許可アクセス権が与えられている→許可 ・いずれかで許可アクセス権が与えられていない→拒否 になります。 また、共有アクセス権はネットワーク経由のアクセスにしか有効じゃない、っていう 特徴がありますが、NTFSのアクセス権においても、 INTERACTIVE(ローカルアクセス)とNETWORK(ネットワークアクセス)という グループが存在しているため、共有アクセス権と全く同じアクセス権付与は可能です。 元々、共有アクセス権は、NTFSじゃない(=FAT)パーティション上のフォルダを 共有する際のアクセス制御機能を提供するために残されている機能、って位置付けだったかと。 [ メッセージ編集済み 編集者: Mattun 編集日時 2005-03-23 09:53 ] | ||||
|
投稿日時: 2005-03-25 16:46
色々のご指摘ありがとうございます.
最終的にはMattunさんの ○NTFSアクセス権で制限して、共有アクセス権は全許可の場合 で行こうと思います. んでもって共有を各ユーザホームごとに作成していたんですが,1つ上のフォルダに対して代表共有を作成しEveryoneフル設定.下の各ホームフォルダに対してNTFSアクセス権を設定するようにします. この方がユーザ分必要だった沢山の共有が出来ずにすっきり管理できそうです. ありがとうございました. | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。