Windows Server 2008 R2の共有ファイルのアクセス権設定に問題が発生!対策方法は?
- Windows Server 2008 R2で共有ファイルのアクセス権設定に問題が発生しています。上位のフォルダに設定されているアクセス権が下位のフォルダにも無駄に設定されている事態が大量に発生しています。数千のオーダーであり、手動では対処できません。
- 対策方法としては、上位フォルダで「子オブジェクトの全てのアクセス許可エントリをここに表示されているエントリで子オブジェクトに適用するもので置き換える」にチェックを入れて、OKボタンをクリックする方法が考えられます。
- しかし、継承を切って設定をしているフォルダや必要な設定が継承無しで追加されているフォルダも存在するため、プログラム的な方法で判別する必要があります。VBスクリプトを使ってこれらを判別する手法も考えられます。現状でも動作はしていますが、見た目をすっきりさせたいという要望もあります。
- ベストアンサー
アクセス権設定に不自然なものが大量に出来ている
共有ファイルについて質問です。サーバーは、Windows Server 2008 R2です。 ある共有ポイントの下を調べると、上位のフォルダにアクセス権を設定してあるのに、下位にも同じ無駄な設定がしてある、ということが大量にされていることが分かりました。人手ではとうていやれない程の数(千のオーダー)です。 例えば(記憶で書いているので、正確ではないかもしれませんが)Aの下にB、その下にCとして、 Aフォルダ 社員A このフォルダとサブフォルダ Bフォルダ 社員A <継承無し> このフォルダのみ Cフォルダ 社員A <継承無し> このフォルダのみ ... これはどうして発生したのでしょうか? また、こうなってしまったフォルダはどう対策したら良いでしょうか?もちろん、一般的な対策としては、上位フォルダで「子オブジェクトの全てのアクセス許可エントリをここに表示されているエントリで子オブジェクトに適用するもので置き換える」にチェックを入れてOK押すということが考えられます。しかし、下位の中には、 1)継承を切って設定をしているフォルダ 2)本当に必要な設定が継承無しで追加されているフォルダ もあり得ます。現状ではこれらと、最初に上げたおかしくなって入っているものがごっちゃになり、1)はまだプログラム的(自作)に探せていますが、2)はなかなか判別できません。まあ、この判別するソフトをVBスクリプトで書くか、という所ですが、簡単にやれるならやりたいです。 こんな状態でも一応は動いているのですが、出来ればすっきりさせたいです。
- halu808
- お礼率76% (10/13)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ANo.1です。 共有フォルダのアクセス権管理方式にAGDLPポリシーというものがあります。 社内にActive Directoryドメイン環境があり、ファイルサーバが複数あり、 またその管理者がバラバラの場合に一般的によく使われる管理方式です。 ドメインローカルグループの使用については、「AGDLPポリシー」という キーワードで調べてみてください。 フォルダアイコンの変更についてはdesktop.iniを読取専用ファイルにするのがポイントです。 アクセス権設定を拾い上げるツールは手作りしなくても以下のような物もありますよ。 ご参考までに。
その他の回答 (1)
- e3tatsu
- ベストアンサー率51% (78/151)
社内SEやってます。 どうして発生したのかはわかりませんが一度今の状況になってしまったら、 2)を判別するには地道に人に聞いて回る以外にはないと思いますが、 現実的な解ではありません。 それよりもまず今後同じことが起こらないよう共有フォルダに関する運用規定を定めるのが建設的かと。 私のとこでは以下のような規定を定めてます。 ・共有フォルダやその配下にあるフォルダのアクセス権設定の変更権をサーバ管理者に限定。 ・共有フォルダやその配下にあるフォルダのアクセス権設定をカスタマイズした場合にはフォルダアイコンを変更する。 ※アイコンを変更することでそのフォルダ直下にdesktop.iniという隠しファイルが生成されるので、このファイル名で検索を 掛けることで、アクセス権設定をカスタマイズしたフォルダを後から発見できるようにしています。 ・アクセス権設定には原則ドメインローカルグループを使用し、グループのメモ欄にグループの使用先フォルダ名 (サーバ名を含めたパス)を記録する。 既存共有フォルダ内のファイルについては、規定を定めた後で、上記のような運用規定に沿った共有フォルダを 新たに作成し、そちらにファイルを移していくのが無難ではないかと。
お礼
回答ありがとうございます。 やはり、原因は不明でしょうか。。。 また、運用規定を教えて頂きありがとうございます。 フォルダアイコンを変更するというアイデアは面白いですね。これなら、ユーザーから見ても分かりやすいです。 アクセス権設定にドメインローカルグループを設定するのも思いつきませんでした。こうすることの意味は他のサーバーに影響させないことが狙いでしょうか。こちらでは、記録はエクセルで取ろうと思っていました。一方、自作のプログラムでも全体を巡回して回り、アクセス権設定されている所を拾い出しています。この中で各種の不適切な設定をされている等を見つけたらログに記録する様にしています。
関連するQ&A
- フォルダのアクセス権と画面表示について
NTサーバのフォルダのアクセス権設定について2つ質問があります。 【状況】 まず、上位フォルダの中に下位フォルダがあります。 次に、上位フォルダのアクセス権を「プロパティ/共有」においてユーザー全員にフルコントロールで共有設定します。 そして、下位フォルダのアクセス権は「プロパティ/共有」において特定のユーザーに共有設定します。 すると、下位フォルダは上位フォルダの中にあると同時に、共有フォルダのため、上位フォルダと同じ階層でも見ることができます。 そして、上位フォルダの中の下位フォルダは上位フォルダと同じ全員にフルコントロールの状態であり、上位フォルダと同階層にある下位フォルダは特定のユーザーのみアクセス権があります。 【質問】 (1)上位フォルダと同階層で見える下位フォルダを表示させない方法はないでしょうか。つまり、上位フォルダのなかにしか見えないようにはできないでしょうか。 (2)下位フォルダを特定ユーザーのアクセス権に共有設定するにはどうしたらよいでしょうか。 以上、よろしくお願い致します。
- ベストアンサー
- Windows NT・2000
- win2000srv 共有アクセス権
お世話になります。 win2000serverでフォルダを作成し、そのフォルダを共有したいと思いますが設定で不明なところがあるのでご教授下さい。 「NTFSアクセス権」設定で、「セキュリティ」タブを開くと最初は「Everyone」があり、「継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする」にレ点が入っております。 (1)この「継承可能な・・・」というのはどういう意味なのでしょうか? (2)また「Everyone」は削除してアクセスさせたいユーザを追加すれば良いのでしょうか? (3) (2)の設定をしましたら、追加したユーザからはフォルダを開く事ができましたが、肝心のサーバからはフォルダにアクセスできませんでした。 サーバもアクセスできるようにするにはどうしたら良いのでしょうか?
- ベストアンサー
- Windows系OS
- アクセス権をコマンドで設定したい
フォルダのアクセス許可をプロパティ画面からではなくコマンドでできるようにしたいと考えています。 権限の異なる親フォルダが多数あるのですが、どの親フォルダに対しても「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」の操作と同様な結果となるコマンドはないでしょうか? PowerShellやVBSでもいいので教えていただけると助かります。
- 受付中
- Windows系OS
- VBSで共有フォルダのセキュリティー設定を取得は?
VBScript(あるいはPowerShell)でサーバー(Wndows 2008 Server)上の共有フォルダのセキュリティー設定を取得する方法を探しています。サーバー上に共有フォルダを作成してセキュリティー設定する方法ならネットで見かけるのですが。サーバーを監視して、上位からの継承が途切れている所、アクセス権設定がセキュリティーグループ名じゃなく個人になっているなど注意すべき点を探すプログラムを書こうとしているのです。
- ベストアンサー
- その他(ITシステム運用・管理)
- ファイル共有(継承)について
こんにちは。 現在server2003にてファイル共有の設定をしております。 上位ディレクトリにて、「フルコントロール」のアクセス権限を与えると、 下位ディレクトリにも「フルコントロール」のアクセス権限が継承されます。 例えばこれを、下位ディレクトリのアクセス権限のみ「読み取り」専用にしたいのですが、可能でしょうか? もし、できるとしたならばどのような設定をすればよろしいのでしょうか? ご教授のほどよろしくお願いします。
- 締切済み
- その他([技術者向] コンピューター)
- (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法
環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ) ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。 実施したい事:このファイルサーバ上の特定の共有フォルダに対して、 アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。 (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。 (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、 どちらのサーバ上のイベントビューアに表示されるのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- アクセス権を伝達するコマンドは?
こんにちは。いつもお世話になっています。 ファイルサーバーにある、数百個のフォルダに個別にアクセス権が付いており、 そのフォルダ以下の全フォルダ、ファイルに、フォルダのアクセス権を伝達させたいのですが、 手作業では膨大な時間が掛かる為、いっぺんに行いたいと思います。 例) Aというフォルダには、domainadminsとユーザーAというアクセス権。 Bというフォルダには、domainadminsとユーザーBというアクセス権。 AにはAとdomainadminsを、BにはBとdomainadminsを適用したい。 フォルダ作成時には子オブジェクトの伝達がされていませんでした。 そこで『「子オブジェクト全てのアクセス許可エントリを、ここに表示されているエントリで子オブジェクトに適用するもので置換する」にチェックを入れて適用』という内容をコマンドで実行したいのですが、その方法が分かりません。 コマンド、あるいは、いっぺんに行う方法をお教えいただけないでしょうか? ちなみに、 『「親から継承可能なアクセス許可をこのオブジェクトを子オブジェクト全てに伝達できるようにし、それらをここで明示的に定義されているものに含める」』 については「icacls」を利用して実行できましたが、この要件を満たしておりません。。 OSはWindowsServer2008r2です。
- 締切済み
- Windows系OS
- WIN2000_SERVER NTFSアクセス権の設定
こんにちは。 WIN2000_SERVERのディレクトリアクセス権をちゃんと把握していないのだと思います。 以下の例について、「これがスマートな方法」というのを提示していただけれがありがたいです。 ・ディレクトリA→B→Cの順で階層になっていて、Aを共有ルートにする ・社員Xさんのアクセス権を以下のようにしたい A:読み取り B:読み取り C:変更 NT_SERVERでは社員Xさんの権限を Aの共有アクセス権: 変更 Aのディレクトリアクセス権:読み取り Bのディレクトリアクセス権:読み取り Cのディレクトリアクセス権:変更 というように、共有ルートのアクセス権をベースに、そのディレクトリアクセス権とあわせて きびしいほうを適用、となっていましたよね。 2000_SERVERで、上記のようなアクセス権を設定しようとすると、「アクセス許可を継承」機能を活用できないし、変にルートの共有アクセス権が優位になっているような 気がするのですが。。。
- ベストアンサー
- Windows NT・2000
- Win2003SVのアクセス権設定
Win2003SVでドメインに参加しているファイルサーバーがあるのですが、 NTFSのアクセス権で困っています。 管理者があらかじめサーバー上に「フォルダ1」を作っており、そのフォルダのセキュリティで 「Aさん」「Bさん」をフルコントロールにしています。 Aさんがフォルダ1の中に「フォルダ2」を作成してファイルなどを入れているのですが 新たに「Cさん」をAさんと同じ権限にて設定することになり、フォルダ1のセキュリティにCさんを 追加しました。 ここで困ったのですが、フォルダ2のアクセス権は親フォルダを継承する設定になっているにも 関わらず、Cさんが入れない状況になってしまいました。(セキュリティにもCさんは追加されてません。) いろいろ試してみて、フォルダ2は所有者がAさんになっていたので、これを「管理者」に変更し、 フォルダ1に再度Cさんを設定することで、フォルダ2にもCさんが反映されるようになりました。 一応上記方法で対処はできるのですが、実際はフォルダ2のような状況のフォルダやファイルが 膨大にあるのでひとつひとつを設定するのは非常に厳しいと思っています。 アクセス権を持っているユーザーがフォルダやファイルを作成するのは当然必要で、 同業務の担当者が増えれば、その担当者にアクセス権を与えることも普通にあるかと思います。 上記の例でフォルダ1のセキュリティにCさんを追加して、それがフォルダ2にも継承される ようにするには、どのようにすればよいのでしょうか?
- 締切済み
- Windows系OS
- 共有フォルダへの制限
WIN9x系の共有フォルダ設定には アクセスするための パスワード設定があったと思いますが、 WIN2000Serverには、パスワード設定が見当たりません。 現在の環境がDomainでなく、WORKGROUPなので、 共有フォルダは、 ユーザ単位での制限をかけている状態です。 ユーザ単位で、親オブジェクトのアクセス制限を 継承せずに(ここまではできるのですが・・・) あるフォルダだけにパスワード制限をかけたいのですが どうしたいいでしょうか? たとえば、Aユーザに Dドライブを共有させ Dドライブの1フォルダだけにパスワード設定をかける といったかたちです。 OSは、WIN2000serverです よろしくお願いいたします。
- 締切済み
- Windows NT・2000
お礼
お礼が大変遅くなり、申し訳ありません。 AGDLPポリシーについて調べようとしていますが、今ひとつ取っ付きにくいです。継続的に調べて行こうと思います。 ツールに関しては、細かい設定の間違いや、セキュリティグループを使用せず、個人を入れている等社内で決めたルール違反等を検出する為使用しています。市販のものでは自由が効かないと思い。ただ、動きが重いのが難点ですが。 どうもありがとうございました。