• 締切済み
  • すぐに回答を!

共有アクセス許可のEveryoneについて

こんにちは。 共有アクセス許可のEveryoneについて教えてください。 環境はWindows2000Serverです。 フォルダを共有すると、共有アクセス許可の所にデフォルトでEveryoneのフルコンが設定されると思います。これは、削除した方が良いのでしょうか? 残している場合、どのような問題が起きますか? 現在の設定は、共有アクセス許可の所はデフォルトのままで、NTFSのセキュリティでグループを追加してアクセス権設定をしています。 (NTFSセキュリティの方のEveryoneは外してあります。) よろしくお願いします。

共感・応援の気持ちを伝えよう!

  • 回答数4
  • 閲覧数3986
  • ありがとう数4

みんなの回答

  • 回答No.4

 僕は、共有のEveryoneを外す必要は無いと思っています。  フールプルーフという考え方をしてらっしゃる方が多いようですが、どうやってもミスが出る時は出るし設定項目が増えればミスしやすくなるのではないかと思います。 (ミスが潜在するのが一番怖いですしね)  通常は、共有もしくはNTFSの片側をEveryoneフルコントロールで良いと思います。 これが原因では問題は出ません。 問題が出るのはむしろ両方をコントロールしようとした場合です。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

みなさん回答ありがとうございます。 とても勉強になります。 「管理」と「セキュリティ」のどちらかを選ぶというのはとても難しいですね。 自分としては、やはりEveryoneは外さなくてよいかなと思いました。nickさんの回答にもありますが、両方をコントロールしようとして問題が起きるほうが怖い気がします。 ありがとうございました。

  • 回答No.3
  • deadline
  • ベストアンサー率63% (1239/1943)

>なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな~と感じています。それに管理も面倒ですし。。 > >Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。 確かに、『管理』が面倒ですね。『共有アクセス権』と『NTFSアクセス権』の設定が食い違ってしまうと、管理者の予想外に、特定のユーザーがアクセスできなくなってしまったりしますしね。(その時には、設定を見直せば良いだけなのですが・・・、頻発すると参りますョね。) ANo.#2の方の回答にもあるように、「everyone フルコントロール」の削除は、『アクセス権』を明確に指定することで、『不用意なアクセスの要因を残さない』という意味合いが強いと思います。 『共有アクセス権』が「everyone フルコントロール」でも、『NTFSアクセス権』さえ、きちんと設定されていれば、問題は発生しないはず(←これを断言できないのが辛い所です)なのですが・・・、 『セキュリティパッチ』が毎月のようにリリースされるWindowsですから、『絶対に問題が発生しない』&『絶対に不正なアクセスを受けない』保証はありません。 『管理』しやすさを優先するなら、今のままでも構わないと思いますが、"Server"は安易に『セキュリティパッチ』を適用するわけにもいかないケースもありますから、『セキュリティ』を優先するなら、「everyone フルコントロール」を削除して、個別に設定する方が良いと思います。

共感・感謝の気持ちを伝えよう!

  • 回答No.2

こんにちは。 サーバー管理をしたことがあるわけではないですが、アクセスコントロールを多段にして、セキュリティー管理を厳格化するためだと思うんですが。 共有リソース自体のアクセス権とファイルシステムによるアクセス権。 「Everyoneフルコンは削除し」は「必要なサービスだけを稼動させる」というサーバー運用のことと通じてると思うんですが。 要は必要としないものを削除しておくことで、悪用の材料を与えないという理解でいいと思うのですが。どうでしょう。

共感・感謝の気持ちを伝えよう!

  • 回答No.1
  • deadline
  • ベストアンサー率63% (1239/1943)

『共有フォルダ』のネットワーク経由の『アクセス権』は、『共有アクセス権』と『NTFSアクセス権』を論理的に掛け合わせたものが適用されますから、『共有アクセス権』が、 everyone    フルコントロール になっていれば、各ユーザーごとの『NTFSアクセス権』の設定が適用されます。 ↓の『■ ネットワークフォルダの保護』の『Windows NT/2000/XP の場合』の所です。 『Windows.FAQ - 基礎講座:ファイル、フォルダのアクセス権』 http://homepage2.nifty.com/winfaq/accessprivileges.html

参考URL:
http://homepage2.nifty.com/winfaq/accessprivileges.html

共感・感謝の気持ちを伝えよう!

質問者からの補足

早速の回答ありがとうございます。 文献などを調べると共有アクセス権のEveryoneフルコンは削除し、NTFSアクセス権につけるグループを設定する等と書いてあります。 現在、NTFSアクセス権がきちんと適用されているので 問題は起きていません。なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな~と感じています。それに管理も面倒ですし。。 Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。 よろしくお願いします。

関連するQ&A

  • win2000srv 共有アクセス権

    お世話になります。 win2000serverでフォルダを作成し、そのフォルダを共有したいと思いますが設定で不明なところがあるのでご教授下さい。 「NTFSアクセス権」設定で、「セキュリティ」タブを開くと最初は「Everyone」があり、「継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする」にレ点が入っております。 (1)この「継承可能な・・・」というのはどういう意味なのでしょうか? (2)また「Everyone」は削除してアクセスさせたいユーザを追加すれば良いのでしょうか? (3) (2)の設定をしましたら、追加したユーザからはフォルダを開く事ができましたが、肝心のサーバからはフォルダにアクセスできませんでした。 サーバもアクセスできるようにするにはどうしたら良いのでしょうか?

  • Win2000server 共有フォルダ

    MCPの215の勉強しています。共有フォルダのアクセス許可について質問です。 「test1のフォルダにサブフォルダtest2がある場合、test1に共有アクセス許可、tanaka:読み取り、satou:フルコン、NTFS許可tanaka:フルコン、satou:フルコン test2に共有アクセス許可:共有されてない、NTFS許可tanaka:フルコン、satou:フルコンが設定さている。 tanakaグループにtest2フォルダに対するフルコンを与え、satouグループにtest2フォルダに対する読み取りを与えたい、test1フォルダについてはどちらのグループ許可も変更したくない、何をするのか?」の問題でtest1フォルダの共有許可をtanakaグループのフルコンに変更、test1フォルダのNTFSアクセス許可をtanakaグループの読み取りにする、test2フォルダのNTFSアクセス許可をHRグループの読み取り許可にする。 とあります。アクセス許可は共有アクセス許可とNTFSアクセス許可が重複したとき、NTFS許可が設定されると思っていたのですが・・・誰か、初心者にも解るように教えてください。

  • 共有のアクセス許可とセキュリティ

    こんにちは.とある研究室でサーバ管理しているものです. 現在サーバを構築中なのですが素朴な疑問ですいませんが,「コンピュータの管理」→「共有フォルダ」→「共有」として共有ドライブ(またはフォルダ)のプロパティを見たとき,「全般」,「共有のアクセス許可」,「セキュリティ」というタグがありますが,「共有のアクセス許可」と「セキュリティ」ってどう違うのでしょうか?「共有のアクセス許可」だけに登録しているとサーバにアクセスできず,「セキュリティ」のほうも追加してやるとアクセスできたのですが,理由がわかりません.どなたか親切な方教えてください. サーバPC:Windows 2000 Server クライアントPC:Windws 2000

  • ボリュームに対するEveryoneのアクセス権

    いつも参考にさせていただいてます。 よろしくお願いします。 今回、ファイルサーバ(2000Server)の容量不足に伴い、 新しく2003Serverを導入いたしました。 旧サーバも今後、ファイルサーバとして利用します。 導入は業者様にしていただき、こちらで行う作業は 実際のデータの移動と、アクセス権の設定のみです。 データ移動作業は完了したのですが、 アクセス権の設定作業で、ふと疑問が出てきました。 旧サーバも新サーバも、 CドライブにOS Dボリューム内に共有フォルダを作成するというスタイルです。 Dボリュームを右クリックプロパティ→セキュリティを 確認しましたところ、 旧サーバ → Everyoneフル 新サーバ → Everyone読み取り となっています。 実際にユーザーさんに利用していただく共有フォルダにつきましては、 「共有フォルダのアクセス許可」 「NTFSのセキュリティ設定」 の2点で制御できると思っているのですが、 この、『ボリュームに対するEveryoneのアクセス権の違い』が、 運用セキュリティ上問題となる事はないでしょうか? サーバ本体に対し、ユーザーがAdmin権限以外でアクセスする ということはまず起こりえないと思うのですが、 よりセキュリティ向上が図られている2003サーバの デフォルトアクセス権に従い、 2000サーバのボリュームを同様の設定へと修正した方が安全では? とも思います。 (どうにも、Everyoneフルという響きは危険な感じがしてしまいます。) ただ、行動するとなりますと、 「2003がこうなってるからそれを真似た」 「危険な響きがする」 ではなく、 「~の点でセキュリティ上問題がある」と言った、 明確な根拠が欲しいのです。 どなたかお詳しい方、アドバイスよろしくお願い致します。

  • 共有のアクセス許可のユーザー追加について

     ネットワークを使ってフォルダを共有する際に、ユーザー毎にアクセス許可を設定したいと思っています。  共有したいフォルダの「共有とセキュリティ」→「共有タブ」→「アクセス許可」→「追加」と進み、「ユーザーまたはグループの選択」でネットワーク上のユーザーを追加したいのですが、「場所」の欄に自分のコンピュータしか表示されず、他のユーザーの追加ができません。  共有フォルダはXP Pro上にあります。  ネットワークからアクセスしたいのは、XP Home と2000です。   現在は「Everyone」に読み取りのみ許可をしています。この状態ではWorkgroup上にはお互いのコンピュータが見えており、共有フォルダの読み取りができます。  以前、簡易共有を使用して共有していたらウィルスを投げ込まれた事があり、また、共有フォルダがあるXP Proは会社に持って行って使用する事もあるので、何らかの制限をしたいのです。  解決方法をご存知の方、すみませんが宜しくお願いします。

  • Everyoneフルコントロールでアクセス拒否されます

    WinXPproSP1です。 OSとは別のパーティション「D」の下に、複数のフォルダがあり、そのうちの一つを「aaa」と仮定します。 なお、下記設定は、全てフォルダのプロパティのセキュリティタブで行っています。 初めに、「aaa」フォルダのアクセス許可および所有者を“name1”さん(Administratorsグループ)に設定しました。 なお、親からの継承は削除しました。 次に、誤って“name1”さんのアカウントを削除したため、デフォルトの“Administrator”でログインして、「aaa」フォルダの所有者を“Administrator”に、アクセス許可をEveryoneフルコントロールにしました。 しかし、新しいユーザー“name2”さん(Administratorsグループ)は、「aaa」フォルダ内のサブフォルダやファイルまでは見えるのですが、そのファイルを開こうとすると、拒否されてしまいます。 “name2”でログインして、所有者を、再度“Administrator”に設定し直すと、「権限がない。アクセス許可を全て変更する」という内容のダイアログが出て、“はい”をクリックしたところ、アクセス許可をやり直しているようでした。 ファイルは開けるようになったのですが、Everyoneでフルコントロールにしているのに、なぜアクセスできなかったのでしょうか? なお、拒否の設定は一切行っておりません。 ローカルセキュリティポリシーも見ましたがわかりませんでした。

  • Xpフォルダの共有(特定アクセス許可)

    いつもお世話になっております。 WinXpProの機種です。 社内のドメイン環境に入っており、特定の人だけにフォルダを共有許可をしようとしていますが、 フォルダの共有画面から、アクセス許可に入り、「共有アクセス許可」の「追加」をクリックし、 「ユーザーまたはグループの選択」画面で、場所がドメイン名ではなく、PC名になっており、 他のユーザーを指定することが出来ません。 他のWin2000PCでは、問題なく作業ができます。 場所をドメイン名にする方法を教えてください。 なお、Xpの環境は以下の状態です。 全てのXpの機種で、同様の設定が出来ない。 追加せず、ユーザー名がEveryoneで共有した場合、全てのPCから、共有ファイルを見ることが出来る。 NTFS環境 マイネットワークから、全てのPCが確認でき、共有されたほかのPCのフォルダは閲覧・作業できる。 Guestsは有効になっており、Xpのインターネット接続ファイアウォールは、チェックされていない。 ウイルスバスターコーポレートエディションが、組み込まれている。 質問以外の作業は、基本的にWin2000同様の作業ができ、支障はない。 サーバーはWin2000Serverです。 以上のような状態です。よろしくお願いします。

  • 継承可能なアクセス許可って?

     Windows2000Professionalの、ファイルやフォルダのセキュリティで、Everyoneを削除しようとすると「継承可能なアクセス許可をこのオブジェクトに継承することはできません」というダイアログボックスが出ますよね。ここのチェックを外せば削除できるのですが、これの意味は何でしょうか?  ネットワークでドメインにログオンしている端末の場合、サーバで設定したアクセス許可の権利を,今セキュリティを操作しようとしているユーザーに継承するよ、という意味ですか? あるいはAdministratorの権利を継承するよという意味ですか? 教えてください。よろしくお願い致します。

  • フォルダの共有

    マイネットワークでファイルを共有しています。 アクセス権を設定して見れないようにしてあるフォルダがいくつかあります。 会社のPCが現在6台あり、これらのPCからは見ることができないんですが、 本日ノートPCをつなげたところアクセス権を設定してあるフォルダが開けてしまいました。 どうすれば開けないようになるでしょうか… ホスト(共有フォルダのあるPC)のOS→Windows 2000 server 既存のクライアントPCのOS→Windows XP 閲覧ができたノートPCのOS→Windows XP セキュリティ設定の詳細な内容→共有アクセスの許可:administerとserver\○○(すべて許可) セキュリティ→everyone(すべて許可)

  • アクセス許可 EVERYONEとGUESTの違い

    Vistaでファイル共有の設定をしたいのですが、 ユーザーをいちいち登録するのは、人数が多く大変な状況ですし、 いちいちパスワードを入力するほどの内容ではありません。 アクセス許可をEVERYONEまたは、GUESTアカウントに設定すれば、 目的に合った共有環境になると思いますが、 EVERYONEとGUESTの違いがよくわかりません。 どちらを設定したらよいのか、 情報をいただければ助かります。 よろしくお願いします。