• 締切済み

ファイル、フォルダのアクセス権の設定指針

はじめまして。 NTSV4 + SP6a + IIS4 + Exchange5.5 + BIND4.9.7でHTTP、SMTP、POP3、DNSサーバーを立てることを計画しています。 NTSV4のインストール直後に、システムドライブ(C:)内のファイルやフォルダに設定されたアクセス権を確認したところ、アクセス権の制限状況が異様に緩い状態であることに気付きました。例えば、C:\WINNT配下のexeファイルなどの多くでEveryoneにフルコントロール権限が付いています。 このままサーバーとしてInternetに露出させるのは非常に不安なので、これらのファイル、フォルダのアクセス権を制限したいと考えています。 前述のとおり、IIS4とExchange5.5の使用を前提とした場合、アクセス権の設定はどの様に行うのが適当なのでしょうか? ちなみに、IISのコンテンツや、ExchangeのデーターベースはD:に配置しようと考えています。 皆様のお知恵を拝借できれば助かります。

みんなの回答

  • m_nkgw
  • ベストアンサー率47% (42/89)
回答No.2

セキュリティを専門に扱ってはいない人間からの回答でもうしわけありません。 以下のような記事を見つけました。何かお役に立てば幸いです。 http://www.microsoft.com/japan/techNet/winnt/Winntas/technote/Planning/secnt2.asp 「Windows NT 4.0 コンピュータのセキュリティ対策」

参考URL:
http://www.microsoft.com/japan/technet/security/default.asp
  • ken2
  • ベストアンサー率36% (86/235)
回答No.1

まず、悲しいことですが、Windows NTは、ローカルのセキュリティーを厳しくすると結構使えなくなるという欠点があります。 ローカルのセキュリティをあまり深く考えずに外部からの攻撃に対して考えたほうがいいともいます。 たとえば、IPフィルタリングとかです。 私としては、宗教論争になりますが、UNIX(今なら、FreeBSDかLinux)をお勧めします。 コストにおいてもパフォーマンスにおいても優れていると思います。 少なくともメールのサービスは、EXchangeは、止めたほうがいいと思います。 別のSMTPのサーバーにしたほうがいいと思います。

参考URL:
http://www.port139.co.jp/w2kpoint/w2ksec_point.htm
kazekaze
質問者

お礼

アドバイス頂いたように、OS周辺から固めていくことにします。 ありがとうございます。

kazekaze
質問者

補足

アドバイス、ありがとうございます。 わたくしも、Exchangeよりもqmailやpostfix等のMTAの方がコスト対パフォーマンスなどの点で有利だとは思うのですが、諸般の事情によりExchangeを採用せざるを得ません。 ルーターやOSが持つフィルタリング機能も活用するつもりではいますが、NTSVのセキュリティホールに関しては不安になるような噂を耳にする機会が多いので、ファイルシステムに対するアクセス権も必要最小限に設定したいと思っています。 計画しているサーバーはDMZに配置し、セキュアなセグメントへのフォルダ共有サービスや認証サービス等を提供する予定はありません。このため、サーバー上に存在するアカウントで実際にアクティブになるのはIISが内部的に利用する匿名GuestアカウントとExchangeが内部的に利用するサービスアカウント、それにAdministrator権限を持つ管理者ぐらいになるのではないかと予想しています。 これらのアクティブなアカウントが必要とするアクセス権以外はもっと絞れるのではないかと思うのですが、「だれ」の「どこ」に対するアクセス権を「どう」絞ればよいのか分からず困っています。 P.S.お教え頂いたURLも参考にさせて頂きます。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows NT・2000

関連するQ&A

  • 共有フォルダのアクセス権設定について

    ファイルサーバーで、共有フォルダを作成しましたが、 アクセス権の設定がうまくいきません。 Win Server 2003,ドメイン環境です。 親フォルダ ├フォルダA └フォルダB 親フォルダの直下は、フォルダの構成を変更させたくないので、 管理者のみフルコントロール。 その他のユーザーは閲覧のみ可能、フォルダやファイルの作成は不可。 フォルダA・Bは、全ユーザーが自由にフォルダやファイルの作成が可能。 このような運用は可能でしょうか? 3つのフォルダにアクセス権を設定すれば、実現可能でしょうか? 全部のフォルダにEveryoneユーザを追加し、 親フォルダのアクセス権を「読み取り専用」にすると、 フォルダA・Bで「フルコントロール」にしても 親フォルダの設定が有効になってしまいます。 いろいろ調べてみたのですが分かりません。 どなたか教えて頂けますでしょうか。 よろしくお願いいたします。

  • 特定ユーザーのみフォルダアクセス権設定について

    あるファイルサーバの配下に画像の通り、全ユーザーがアクセスできるフォルダ1、その配下にユーザーA及びユーザーBのみアクセスできるフォルダ2があります。そこでフォルダ2の配下に更にユーザーCのみがアクセスできるフォルダ3を設定したいと考えております。技術的にこのような設定は可能なのでしょうか。尚ファイルサーバはWindows Server20013、クライアントPCはWindows7を使用しております。ご教授の程宜しくお願い致します。

  • win2008 のフォルダアクセス権設定について

    windows server 2008 r2のフォルダのアクセス権設定の質問です。 windows server2003 r2の場合で、フォルダのアクセス権を設定する場合、 (1)フォルダを作成。 (2)フォルダのプロパティの「共有」タブで「everyone」を「フルコントロール」 (3)フォルダのプロパティの「セキュリティ」タブで対象となるユーザ、グループにアクセス権を設定 という作業をおこなっていました。 windows server2008 r2の場合で、フォルダのアクセス権を設定する場合、 上記の2003 r2の設定方法ではうまく行きません。 (セキュリティタブでアクセス権を設定すると、共有タブで設定したeveryone-フルコンが  消えたり、いろいろいじっているとフォルダ場に鍵マークが出てきてきたりと混乱しています。) 2003r2の時と同じ結果になるように 2008r2でアクセス権設定する場合はどのようにしたら 宜しいのでしょうか。 または、初心者でもわかりやすいページをご紹介頂けませんでしょうか。

  • フォルダごとのアクセス権の設定

    こんにちわ。 いまIISの仮想ディレクトリに, 「asp.netユーザ」としてのアクセス権を設定したいのですが, どうすればいいでしょうか? IISの仮想ディレクトリのプロパティを見ても, エクスプローラのフォルダのプロパティを見ても, "everyone"などユーザごとのアクセス権を設定する 箇所が出てきません。 何かソフトをインストールしないといけないのでしょうか? 教えてください。 よろしくお願いします。

  • フォルダーのアクセス権の設定

    WIN2003サーバを使用しています。 ワークグループサーバーです。 クライアントのWINDOWSログオンユーザーは適当です。 クライアントは2000ProとXPHome XPproが混在しています。 単純なTCPIPローカルアドレスのLANです。 この2003サーバー上の共有フォルダーをEveryone フルコントロールで つかっておりました。 このフォルダーをユーザー名とパスワード もしくはパスワードオンリーでアクセスできる人とできない人 使用したいのですがなにかいい方法はありませんでしょうか? 本当はクライアントのユーザーを作り直しアクセス制限もしくは ドメイン構成にしたいのですが、 クライアントのユーザーの変更は移行が大変なのでできれば避けたいです。 よろしくお願いします。

  • ユーザーごとのアクセス制限のあるファイル共有フォルダ

    家庭内でサーバを設置しようと思っています。 サーバのOSはVista Professionalなのですが、このPCに、ユーザごとにアクセス制限のあるフォルダを作りたいと思っています。 例えば、 「フォルダ01」 = ユーザA、Cのみアクセス可 「フォルダ02」 = ユーザA、Bのみアクセス可 「フォルダ03」 = ユーザCのみアクセス可 のような形でファイル共有を割り振りたいのですが、どうやっても「Everyone」と言う設定でフルコントロールアクセスになってしまい、全員が全てのフォルダに入れてしまいます。 Vistaで上記のような設定を行いたい場合、どのようにすればよいでしょうか。 市販のソフトを使っても良いので、何か良い方法があればご教示いただければと思います。 よろしくお願いします。

  • アクセス権の設定方法

    windows2003Serverのセキュリティについてアクセス権を下記のようにしたい。 親Folder…EveryOneが読み取りのみ │子FolderB…アクセス権なし └子FolderA…Aユーザーが書き込み・読み取り可能 この親Folder配下のファイルは見せたくない場合の子FolderAのアクセス権の設定の仕方を知りたいのです。 よろしくお願いします。

  • フォルダへのアクセス権の設定方法を教えてください

    Webサーバ上のプログラムからファイルサーバへアクセスしてフォルダの作成やファイル保存をしたいのですが、フォルダへのアクセス権がないためにエラーになります。 フォルダへのアクセス権の設定方法を教えてください。 ■環境等の詳細 ■Webサーバ OS:Windows Server 2016   WORKGROUP WEB:InternetInfomationServer 10 (IIS 10) PHP:7.2.1 このサーバのPHPプログラム内からファイルサーバにある共有フォルダへアクセスして、フォルダの作成やファイルの保存を行いたい。 ■ファイルサーバ OS:Windows Server 2016   WORKGROUP このサーバ上に共有フォルダを作成している。(\\fileserver\work) Webサーバ上のIISのアプリケーションプールは 名前       :"abcdefg"(DefaultAppPoolから変更してある) .Net CLRバージョン:v4.0 マネージパイプラインモード :統合 ID        :ApplicationPoolIdentity Webサーバのタスクマネージャでw3wp.exeのユーザ名を見ると"abcdefg"になっている。 WebサーバOSにログインしてからファイルサーバ上の共有フォルダへアクセスすると問題なく閲覧・フォルダの作成・ファイルの作成ができます。 PHPのログに書かれるエラーメッセージ mkdir(): Permission denied {"userId":6,"exception":"[object] (ErrorException(code: 0): mkdir(): Permission denied at C:\\-(PHPファイルのパス)-XXXXXXX.php:60) C:\\-(PHPファイルのパス)-XXXXXXX.php(60): mkdir('\\\\\\\\fileserver\\\\work...', 511) エラーになった箇所のPHPのソースコードはmkdir("\\fileserver\work\123",0777)としてあります。 ちなみに、Webサーバ上に作成した共有フォルダには問題なくアクセスできて閲覧・フォルダの作成・ファイルの作成はできます。 (PHPプログラムのバグではないと思っています。) ネットでいくつか調べてやってみたのですが、うまくいきません。 https://technet.microsoft.com/ja-jp/library/ee886292.aspx 共有フォルダに対してIISユーザ(abcdefg)の権限が付与されていないのでは?と思い、"IIS AppPool\abcdefg"を設定したのですが、設定後に確認すると追加設定した箇所が"不明なアカウント(s-1-5-82-...)"となってしまいます。

  • 権限のないユーザが共有フォルダへアクセス出来てしまう

    お世話になります。 会社にてWindows2003のADを組んでおります。 AD配下にあるファイルサーバ上のフォルダを共有化し、 「セキュリティ」タブの欄でアクセスできるユーザ(仮にユーザグループAとします)を限定しました。 許可されたユーザはユーザグループAとドメインアドミンだけです。 アクセス権はフルコントロール以外のすべてにチェックをつけた状態。 EveryOneなどの余計なユーザは全て削除したのですが、 何故だかアクセス権のないユーザ(ほぼEveryone)からも該当フォルダが開けてしまいます。 コマンドラインより”cacl ”を実行し、アクセス権を確認するもウィンドウ上の設定内容と同様でした。 数年AD管理者をやっていますが初めての事象で解決できず困っております。 どなたか解決のヒントをご教授願います。 以上、よろしくお願いいたします。

  • 共有フォルダにアクセスできません

    社内で共通のファイル置き場を作ろうと、同じLAN内のあるマシンに共有フォルダを作成しました。 このフォルダに別のPCからアクセスしようとすると以下のメッセージが表示されます。 ------------------------------ ~~にアクセスできません。 このネットワークリソースを使用するアクセス許可がない可能性があります。 アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。 アクセスが拒否されました。 ------------------------------ 行った設定は以下のとおりです。 ■サーバマシン ・WindowsXP Professional SP3 1.制限付きアカウントを作成(ユーザ名:user、パスワード:user)。 2.フォルダオプションから「簡易ファイルの共有を使用する」のチェックをはずす。 3.NTFS形式のドライブにフォルダを作成し、「このフォルダを共有する」にした。 4.アクセス許可から「Everyone」を削除し、「user」を追加(フルコントロール)。 5.セキュリティタブから「Everyone」を削除し、「user」を追加(フルコントロール)。 6.一応再起動。 ■クライアントマシン ・WindowsXP Professional SP3 ・Windowsのアカウント…ユーザ名:root、パスワード:root 1.エクスプローラから「\\サーバのIP\フォルダ名」にアクセス。 →件のメッセージが表示されます。 フォルダへアクセスしたときにユーザ名、パスワードを入力してから繋がるといいのですが、 入力ダイアログなどが出ずにいきなりエラーが出てしまいます。 「Everyone」をもう一度追加しなおすとアクセスできますが、パスワード保護をかけたいです。 また、複数台(PCごとにアカウント名、パスワードはバラバラ)からアクセスするため、 都度アカウントを追加していくのが面倒なので、できれば全員同じアカウントにしたいです。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する