【はじめに】
ファイルサーバーを建てることは、実は非常に簡単なんです。
特に追加のコンポーネントなどありません。
フォルダを作成して、共有設定を行い、アクセス権を設定するだけです。
しかし、初心者の方にしてみれば、この共有さえ難しく感じるかもしれませんね。
実際、私も昔、自分のコンピュータに共有フォルダを作成し、
別のコンピュータからアクセスしようとしましたが、上手くできませんでした。
で、結局どうしたかと言うと・・・それは、内緒です。(自爆)
過去の話ですよー
そこで今日は、共有フォルダを作成する上で必要となる知識と
ポイントをご紹介しようと思います。
【混乱の根源】
共有フォルダを設定しても、なぜ動かないことがあるのでしょうか?
私の経験からすると、次のことを理解していないことが原因のようです。
- 共有フォルダのアクセス権と NTFS アクセス権を正しく理解していない。
- ローカル アカウントとドメイン アカウントの違いを理解していない。
NTFS とは?
NTFS とはファイル システムの一種です。
もっと分かりやすく言うと、フォーマットするときに選択するアレです。
現在の Windows では HDD のフォーマットの種類として FAT32 か NTFS、
またはその両方が扱えます。
NTFS(Ver.5) ではアクセス制御や暗号化など高度な機能を提供しています。
FAT32 はアクセス制御ができませんので、サーバーでは利用されません。
【共有フォルダのアクセス権と NTFS アクセス権】
共有フォルダを作成する上で設定することになるのが、
共有フォルダのアクセス権と NTFS アクセス権です。
共有フォルダのアクセス権は、リモート コンピュータからネットワーク経由で
共有フォルダにアクセスする際、適用されるアクセス権なんです。
NTFS アクセス権は NTFS でフォーマットされたディスクにアクセスする際、
適用されるアクセス権なんです。
NTFS アクセス権はディスクへのアクセス時に適用されるため、
ローカル、リモートに関係なく適用されることになります。
つまり、リモートからフォルダにアクセスしてきたユーザーは共有フォルダの
アクセス権と NTFS アクセス権の両方が適用されることになるのです。
ここが混乱の種になっています。
たとえば営業グループに所属する鈴木さんに
NTFS アクセス権で読み取りを与えたとします。
しかし、共有フォルダのアクセス権で営業グループが拒否されている場合、
鈴木さんはアクセスできないのです。
実運用環境で両方のアクセス権を駆使していては、
最終的にどのようなアクセス権になるのか把握することが困難になります。
この問題を解決する、とっても簡単な方法があります!
それは 「共有フォルダのアクセス権は変更しか使わない!」
というルールです。
そうすることで、NTFS アクセス権だけに集中できるので、混乱も少なくなります。
非常に簡単なルールです。
ぜひ、お試しを!
ちなみに変更ではなく、フルコントロールでも良いのですが、
少しでもセキュリティを高めるために、変更で運用することをお薦めします。
変更のアクセス権があれば、読み書き、削除が行えます。
できないのは、アクセス権の変更や所有権の奪取です。
これらの操作は管理者がリモート デスクトップ接続で行えば良いのですから。
補足
Windows Server 2003 では共有フォルダのアクセス権の既定値が見直されています。
以前は everyone フルコントロールが共有フォルダの既定値でしたが、
Windows Server 2003 では everyone 読み取りに変更されています。
はじめて Windows Server 2003 で共有フォルダを作成された方は、
ここに気づかずハマッた方もいるのではないでしょうか?
既定値が見直されたということは、
セキュリティの観点からして望ましい状態ではなかったということでしょう。
以前の既定値は誰でも簡単にフォルダを共有できるように、
既定ですべて許可されており、
必要に応じアクセス権を厳しくしていく方法が取られていました。
しかし、この方法では思わぬ人物にファイルを書き換えられたり、
削除されるリスクがあるのです。
Windows Server 2003 はその辺を見直され、アクセス権が無い状態
から必要に応じてアクセス権を与えていく方法に切り替わっています。
ちなみにファイアウォール製品では、以前から既定はすべて拒否。
必要なプロトコルやポートを一つ一つ開けていく方法が取られていました。
そりゃそうですよね。
既定ではすべて許可。不要なプロトコルやポートを一つ一つ閉じていくような
製品なんて怖くて使えません。(笑)
【ローカルアカウントとドメインアカウント】
次はローカルアカウントとドメインアカウントについてお話しますね。
このローカルアカウントとドメインアカウントを正しく理解していない方は、
総じて究極の力技である Guest を有効にしようとします。(汗)
笑い話ではなく、本当にいらっしゃいます。
私がそうでした。(あ、言っちまった・・・)
上手く共有できないからという理由で Guest を有効にすることはしてはいけません。
共有できないのは設定に間違いがあるからです。
まずはしっかり基本を理解しましょう。
ローカルアカウントとは、その名前のとおり自分のコンピュータで
作成され登録されたアカウントのことです。
ドメインアカウントとは、ドメインに登録されているアカウントのことで、
そのドメインに参加しているコンピュータにアクセスするときに利用できます。
ローカルアカウントを利用するか、ドメインアカウントを利用するかは、
コンピュータがドメインに参加しているか、していないかによって違います。
ドメインに参加せず、ワークグループ環境で利用している場合は、
必然的にローカルアカウントのみを使用することになりますので、
特に混乱はないでしょう。
しかし、ドメイン環境では両方のアカウントが利用可能なんです。
そのためドメインのアカウントを利用すべき場面で、
サーバーにドメインアカウントと同じ名前のローカルアカウントを作成して、
そのアカウントにアクセス権を設定しているケースがあるのです。
上記ケースでもアカウント名とパスワードがローカルとドメインで
一致しているアクセスできてしまいます。
ただし、パスワードを変更したとたんに接続できなくなりますので、ご注意ください。
理解している方は、ありえねーって思われるかもしれませんが、
知らない人にしてみれば、その違いすら気づかないものなんですよ。
【まとめ】
アクセス権は 「共有フォルダのアクセス権は変更しか使わない!」 ルールで運用する。
ローカル アカウントとドメイン アカウントの違いを理解し、正しく使用すること。