アクセス権の無いフォルダ表示について意見をください
- アクセス権の無いフォルダ表示について、どちらがよいか迷っています
- アクセス権のあるユーザーとのコミュニケーションに問題が生じています
- セキュリティの意識向上を図るため、アクセス権の無いところも表示させるようにしましたが、新たな問題が生じています
- ベストアンサー
アクセス権の無いフォルダ表示について意見をください
お世話になります。 年度替わりで、ファイルサーバ内の整理を行いますが、 アクセス権がないフォルダを表示させるか、非表示にするかで 迷っています。 以前は非表示にした方が不要なアクセスを心配することがない気がしていましたが、 アクセス権の違うユーザー同士の話がかみ合わない。 (○○にファイルを入れてと言われても、そんなフォルダはないなどです) アクセス権のあるユーザ特有のフォルダと勘違いし、勝手に削除。 などの問題がでました。 一応、ユーザーには入れないところは見えないと説明はしたうえでしたが 十分に理解されていなかったための結果と反省しました。 そこで、先回の整理時に、逆にアクセス権の無いところも表示させるようにしました。 セキュリティ意識の向上を図ろうと考え、 入れる所と、入れないところの存在を意識してもらおうと考えてです。 しかし、今度は、入りたいのに入れないので、設定ミスだと言われたり、 今まで見えなかった物が見えるようになったことで そんなフォルダがあったのか・・・。と変に興味をそそったり・・・。 (これはフォルダ名の付け方が悪かった部分もあるのですが) ユーザーレベルがこういう感じです。 今回、いったいどちらの設定がよいのか、迷っています。 サーバはWS2008。クライアントにXP HOMEなどがあるため、 ADは組んではいますが、ドメイン構成にしていません。 (グループポリシーもドメインで設定できないので、個別) どちらの設定がよいのでしょうか? また、現状このような感じで、改善すべき点があれば(私の運営方法を含んで) アドバイス頂ければありがたいです。 よろしくお願い申し上げます。
- hallo_haro
- お礼率95% (752/791)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
そうですね。 ちょっと、気になったのは、チームAの人が読み書きできて チームBの人が見る事すらできないフォルダーがあると 言うことですね。 フォルダー内部のファイルに関しては、チームBの人も見えるかも しれませんが、これは、管理者の質問者様の問題ではなく、 どちらかと言うとチームA,B間の運用の問題ですね。 チームAのフォルダー内のファイルをチームBの人が必要と するならやはり、読み込み許可を付けた方が無難かと思います。 チームA,B共にリーダーさんが居ると思いますから データのやりとりをどのようにするか、本来であれば リーダーさんに決めてもらうのが妥当かと思います。 個人的にも、ネットワーク管理は予算の都合から外部の方に お願いできなかったので自分達の工数を裂いてやっていた事が あります。 私の職場はそうでもありませんでしたが、一般的には 上司がなかなか理解してくれないという会社が多いようですね。 もし仮に上記のチームBの方からは、見えないフォルダーが あるけれど、チームAの方とデータのやり取りをする事が ある管理方法が無難とお考えでしたら、 やはり、これはそういうフォルダーがあると言う事を 周知しないといけませんね。 もしかすると、立場的に質問者様の立場では言いにくい事も あるかもしれませんが、手段としては、セキュリティの設定による メリット・デメリットをきちんと、チームA、Bの皆さんに 説明した上で、チームA、Bの皆さんに選択して頂くという 方法もあります。 言い方が乱暴になりますが、選択する責任をチームA、Bの方に 委ねてしまえば、後から問題になっても 「あなた達が決めた事だから」 と言う事ができます。 要は、自分のデータは自分で守ると言う意識を技術的に疎かろうが そうでなかろうが根付かせる事が重要です。 管理者のあなたがそれを全て背負い込めるはずはないですし、 それを背負い込む必要は全くありません。 チームA、Bの業務が円滑に行えるように、 管理を行うためのスキルを養ったり、それに伴い、どのような メリット、デメリットが発生するのかが疎い方でもわかるように 『説明できる事』が管理者としては重要です。 大変かと思いますが、頑張ってくださいね。応援してます。
その他の回答 (1)
- axel_eye
- ベストアンサー率64% (145/226)
まず、会社での業務であると推測した上でお話します。 また、業務を行う人が技術者でなく、基幹業務を行う 経理、人事、企画などの比較的、技術的な話に疎い方をと仮定して お話します。 どちらの設定かと言われたらセキュリティの観点からも 前者の設定が良いと思います。 複数人で仕事をしている場合、チームを組む訳ですから チームで遂行するタスク名を設定したフォルダーを作る方が良いと 思います。 このタスク名を設定したフォルダーには、対象となるチームメンバー 全てがアクセスできるように設定します。アクセス権は読み書き両方できるように します。(二人いて片方が読み書きできて、片方が読むだけしかできない 場合ってどのような場合でしょう?) アクセス権の設定方法は、ユーザー・グループの名前にタスク名と同じ メンバーを追加したものを作り上記のフォルダーにアクセス権を かける事です。 そして、関連するファイルは全て上記のフォルダーに入れる事にします。 ファイルを編集するのは一人のみとし編集作業が終わったら 更新が終わった事を必ずメールでチームメンバー全員に送る事をルール化します。 本当は、ここは、Windows版のCVSや、Subversionを皆さんに使えるように なってもらった方が断然いいです。 あるいは、SharePointでもチェックイン、チェックアウトが使えて ファイルのロックができるのでコストに見合えばそうした方がよいです。 もしCVSやSharePointが使えないのならファイルを直接各人が ファイルサーバー上で編集してもいいとは思いますが、余り賢明な策とは 思えません。かと言って、ファイルをローカルに移動するのも間違って 消した時に対処が必要になりますね。 と、いうことでファイルをサーバー上で編集する事を選んで、 もし間違って消した時のリスクヘッジとして一日一回、フルバックアップを 取るのはどうでしょう。本当は一週間単位くらいで増分バックアップとか した方がいいのですが、ここはコストとの兼ね合いで。 とりあえず、これらの話はなかなか浸透しませんから、 ネットワークポリシーとして、わかりやすい資料を作って、 上司を説得した上で出来れば、部会などの全員が集まる会合や、 皆さんにメールでポリシー周知のお願いと言う形で送って読んで もらうのはいかがでしょう。(これ大事だとおもいますよ) 細かいレベルの話がわからないので提案しかねる所があるのですが、 不都合とかありますか? 管理者って大変ですよね。
お礼
早々のご回答ありがとうございました。 やはりアクセス権の無い場所は非表示の方が良さそうですね。 見えないような設定に戻すことを検討してみます。
補足
少しだけ、補足させて頂きます。 >また、業務を行う人が技術者でなく、基幹業務を行う >経理、人事、企画などの比較的、技術的な話に疎い方をと仮定して はい。その通りです。 >複数人で仕事をしている場合、チームを組む訳ですから >チームで遂行するタスク名を設定したフォルダーを作る方が良いと >思います。 はい。これも現在その通りの設定です。 チームを超えた部分で問題が起きます。 >二人いて片方が読み書きできて、片方が読むだけしかできない場合って >どのような場合でしょう? 片方が読み書きできて、もう片方はまったくアクセスできない状況です。 説明不足ですみません。 非表示だと、そもそもアクセスできないフォルダは見えないので、 例えば、フォルダ構成に疎い人が 「今回の企画書をAチームフォルダのAチームのみの企画フォルダに入れておいたから見ておいて」 という話をBチームの人にすると言うようなケースです。 Bチームの人にとっては、Aチームのみのフォルダが見えませんので、 その企画フォルダはどこにあるのかわからない。 ユーザーはそういうレベルです。 >あるいは、SharePointでもチェックイン、チェックアウトが使えて >ファイルのロックができるのでコストに見合えばそうした方がよいです。 小規模なので、そこまではまだ必要性がありません。 ファイルサーバ上でファイル編集でもほとんど問題はない規模です。 >と、いうことでファイルをサーバー上で編集する事を選んで、 >もし間違って消した時のリスクヘッジとして一日一回、フルバックアップを >取るのはどうでしょう。本当は一週間単位くらいで増分バックアップとか >した方がいいのですが、ここはコストとの兼ね合いで。 バックアップは、毎日差分で別サーバに取っています。 (このサーバはバックアップ専用) また、かなり安全度の高い、外部ストレージにも3日に一度 バックアップを取っており、2段にしています。 >ネットワークポリシーとして、わかりやすい資料を作って、 >上司を説得した上で出来れば、部会などの全員が集まる会合や、 >皆さんにメールでポリシー周知のお願いと言う形で送って読んで >もらうのはいかがでしょう。(これ大事だとおもいますよ) 上司がなかなか分かってくれずで・・・。 ファイルサーバのアクセス権について、全く理解してなかったことが つい最近分かったばかりです。 (なんども説明はしたのですが) なので、重要なファイルをローカル上に保存している状態です。 これだと、何か障害が出た場合、バックアップもないので何ともなりませんと 何度も説明しましたが・・・。 何だ愚痴のようになってしまい、申し訳ありません。
関連するQ&A
- 共有フォルダーにアクセスできない
ドメインに参加させて端末を使用しております。 ドメインサーバ:Windows2003Server クライアント端末:XP クライアント端末上のフォルダーを共有させるために、設定しています。 共有設定のところで、アクセス許可を与えようとしているのですが、ドメインサーバで登録してありユーザが表示されなく、共有させようとしているパソコンのローカルユーザしか表示されません。 いろいろとやっているときに、たまにドメインユーザを表示できるときがあるのですが、いつ何の作業をしたときに表示することができるのかはっきりとわかっておらず、設定するときに常に困ってしまっています。 お分かりの方、教えてください。よろしくお願いします。
- 締切済み
- その他([技術者向] コンピューター)
- 共有フォルダのアクセス権
ファイルサーバーにアクセスできるユーザーを指定した共有フォルダがあります。 そのフォルダに、ドメイン参加済みのPCにローカルユーザとしてログインしてアクセスさせたいのですがうまくいきません。 詳細は以下の通りです。 ■共有フォルダの設定■ ・アクセス制御をするため、アクセスできるドメインユーザを指定 ■ローカルPCの情報■ ・ローカルユーザーでログイン ・ドメイン参加済み ・ローカルユーザはローカルAdministratorsに追加 ・セグメントが異なります IPを指定して共有フォルダをドライブに割り当てする際に、ユーザー名とパスワードを聞かれる画面が表示されるので、ドメインユーザ名とパスワードを入力しますが拒否されます。 どなたかいい案ありませんでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- フォルダアクセス件について
共有ファイルサーバー上にドメインユーザー毎のフォルダを作り、作ったユーザーにしか、アクセスできない権限を与えようとしています。 ドメインユーザーには、親フォルダには、自分でフォルダを作成してもらいます。 親フォルダに、どのような権限を与えれば良いのでしょうか?? すみません。。 説明がアレですよね。。
- ベストアンサー
- Windows 7
- 共有フォルダにアクセスできないため移動プロファイルが使えません
サーバ WindowsServer2003R2 クライアント WindowsXP ActiveDirectoryを構築し移動プロファイルを設定したユーザでログオンしようとした所、 『移動プロファイルが読み込まれなかったため、ローカル プロファイルでログオンしようとしています~』 とのエラーが出てしまい、移動プロファイルが使用できません。 調べてみると、サーバー側に設定した移動プロファイル用の共有フォルダ『profile』に\\サーバ名¥profile\ならばアクセスできるのですが、 \\ドメイン名\profile\とするとアクセス拒否されます。共有アクセス、ファイルアクセス全てEveryoneフルコントロールになっているのですが、ダメです。 その他、データ保存用に作った共有フォルダも同様にアクセスできません。 グループポリシーは読み込まれているようなので確認してみたら、『SYSVOL』『NETLOGON』フォルダにはドメイン名、サーバ名ともにアクセスできています。 共有フォルダの設定として何が足りていないのでしょうか?
- 締切済み
- Windows系OS
- フォルダのアクセス権
お世話になっております。 フォルダのアクセス権について、質問があります。 Windows Server 2008 にて、ファイルサーバAの直下に「user1」フォルダを作成。 「user1」フォルダにアクセス可能なユーザーを『セキュリティ』から追加。 更にアクセス可能なユーザーで「user1」フォルダ下位に「user2」フォルダを作成。 <質問内容> (1)「user2」フォルダにアクセス可能なユーザーが、別なユーザーを【追加】することは可能ですか? (2)もし、追加が出来てしまう場合に追加をさせないようにフォルダの【詳細設定】から追加をさせないような設定に出来るのでしょうか? よろしくお願いいたします。
- ベストアンサー
- Windows系OS
- 共有フォルダのアクセス権設定について
ファイルサーバーで、共有フォルダを作成しましたが、 アクセス権の設定がうまくいきません。 Win Server 2003,ドメイン環境です。 親フォルダ ├フォルダA └フォルダB 親フォルダの直下は、フォルダの構成を変更させたくないので、 管理者のみフルコントロール。 その他のユーザーは閲覧のみ可能、フォルダやファイルの作成は不可。 フォルダA・Bは、全ユーザーが自由にフォルダやファイルの作成が可能。 このような運用は可能でしょうか? 3つのフォルダにアクセス権を設定すれば、実現可能でしょうか? 全部のフォルダにEveryoneユーザを追加し、 親フォルダのアクセス権を「読み取り専用」にすると、 フォルダA・Bで「フルコントロール」にしても 親フォルダの設定が有効になってしまいます。 いろいろ調べてみたのですが分かりません。 どなたか教えて頂けますでしょうか。 よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法
環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ) ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。 実施したい事:このファイルサーバ上の特定の共有フォルダに対して、 アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。 (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。 (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、 どちらのサーバ上のイベントビューアに表示されるのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- 共有フォルダの設定
Windows2003Serverの共有フォルダに関して質問させてください。 共有設定をしているフォルダ「WORK」の下に A・Bの3つのフォルダがあります。 クライアントからドメインユーザがアクセスするときに ・Aのフォルダの下はファイルの保存や変更が可能 ・Bのフォルダはファイルの読取りのみを可能 と設定したいです。 ドメインユーザに対してWORKフォルダの共有設定のアクセス許可、 A・B各フォルダのセキュリティの設定をどうしたらよいでしょうか。 WORKフォルダのアクセス権限のフルコントロールは避けられないような 感じはします。
- 締切済み
- Windows系OS
- 共有フォルダにアクセスできない
はじめまして。会社でネットワークの運用管理をしている新人エンジニアです。よろしくお願いします。 現在会社で、クライアントPC約100台とサーバー5台の管理をしています。ネットワークはNTドメインを構築して、クライアントはドメインの資源を利用しています。 ・サーバーはWindows NT Server SP6でドメインコントローラー(以下、DC)2機で運用中。 ・クライアントはWindows 2000 ProfessionalかWindowsXP Professionalを使用。 ・ファイルサーバーはWindows Server 2003を使用 なお、NT serverは仮想化(VMWare Server)して運用していてバックアップの為、日に2回ほどシャットダウンします。 すべてのPC・サーバーはNTドメイン(仮にDomainAとします) に参加しています。 本題ですが、ファイルサーバーにアクセスする際にはファイルサーバー上の共有ファイルにアクセスするのですが、ある特定のユーザーだけ ファイルサーバーの共有フォルダにアクセスしようとすると、パスワードを要求されます。今までは、新たにユーザーを作成した際には (1) DCのドメインユーザーマネージャから新しくユーザーを作成する (2) (1)で登録したに決められたグループを追加 という手順を踏んでいました。その状態で特に何もしなくともファイルサーバーにアクセスすることが出来たので、なぜいきなりそうなったのか分からず困っています。 こちらで確認したことは、 (1) 一旦不具合の出たユーザを削除して新たに作り直す。 (2) 一旦ドメインから外れて再度DomainAに入り直す。 (3) ファイルサーバーのアクセス権を確認する。 (4) ファイルサーバーの同時アクセス数を確認する。 の4点です。 (1)は数回試してみましたが、改善されませんでした。 (ユーザープロファイルを完全に消した状態でDomainAに入り直しています) (2)も駄目でした。正常にファイルサーバーにアクセスできるPC数台で試しても、その特定ユーザーでログオンするとパスワードを要求されます。但し、ファイルサーバにアクセスできるときと出来ないときがありました。 (3)は確認しましたが、共有フォルダのアクセス権は「フルコントロール」になっているので問題ないはずです。 (4)については、ライセンス不足だからパスワードを聞かれるのではと考えたのですがファイルサーバーの同時使用ユーザー数は購入したライセンス数になっていたのでこちらも問題ないはずです。 他にも調べてみたのですが、確固たる情報が得られずに困っています。 今のドメイン環境は2ヶ月後にActiveDirectoryに移行予定ですが、業務で毎日使うことなので困っています。何か解決方法のヒントになることを御存知の方は教えてください。よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- アクセス権のないフォルダを非表示にしたい
redhat9とsambaを使ってWindowsのファイルサーバーを構築しています。 アクセス権のないユーザーにフォルダを表示させたくないので、下記のような設定をしましたが、所有グループ、および、その他ユーザーのWindowsパソコンにも表示されてしまいます。何が問題なのでしょうか。 回答よろしくお願いします。 [test5] comment = サーバーtest5 path = /home/test5 read only = No create mask = 0600 directory mask = 0700 hide unreadable = yes
- ベストアンサー
- その他(OS)
お礼
>言い方が乱暴になりますが、選択する責任をチームA、Bの方に >委ねてしまえば、後から問題になっても 結局、このことばがポイントになり、 相談したところ、有る無いがわかりにくいとの意見がでたのと、 4月から新人がくるということもあり、 現状のまま、すべてのフォルダを表示しアクセス権のみで管理することに 落ち着きました。 何度もご回答ありがとうございました。