今日からはじめる Windows Server 2003 サーバー管理入門

ブックマーク

サブメニュー


Windows Server TOP

ネットワーク管理の
基礎の基礎

LAN と WAN
LANカード(NIC)、LANケーブル、スイッチングハブ
通信プロトコル
TCP/IP:IPアドレス編
TCP/IP:サブネットマスク編
TCP/IP:直接通信と間接通信

ファイルサーバー基礎の基礎

共有フォルダとは?
共有フォルダのアクセス制御
NTFS とは?
NTFS アクセス権
アクセス権の評価
共有フォルダのアクセス権のトラブルシューティングを簡素化する方法
Windows Server 2003 の共有フォルダの既定に注意!
NTFS アクセス権の継承
NTFS アクセス権の継承を解除する方法
これは使える Windows Server 2003 R2のファイルサーバーとしての新機能!(クォータ)
これは使える Windows Server 2003 R2のファイルサーバーとしての新機能!パート2(スクリーニング、レポーティング)

Windows Server 入門

専門用語に四苦八苦するあなたへ
Windows Server って何?
エディション
Web Edition と Storage Server
ライセンス
パッケージとボリュームライセンス
プリント サーバー
ターミナル サーバー
Windows Sharepoint Services (WSS)とは?
Windows SharePoint Services (WSS) の文書管理機能
グループポリシーとは?
共有フォルダのボリューム シャドウコピー
共有フォルダのボリュームシャドウコピーとバックアップとの違い
IIS6.0
小規模向けWindowsサーバー
小規模向けWindowsサーバーのライセンス
ASP のグループウェアを検討しよう
これは使える Windows Server 2003 R2の新機能!

ユーザーの管理
コンピュータの管理

ワークグループから Active Directory
OU (組織単位) とは?
ファイルサーバー
Windows Server 2003 の Active Directory
ユーザー アカウントの作成方法 (Active Directory の場合)
OU(組織単位) の作成方法
ユーザー アカウントの属性
ユーザー アカウントのブロパティを一括で変換
憂鬱なコンピュータの管理を自動化せよ

パフォーマンス管理

パフォーマンス チューニングの基礎
メモリのパフォーマンス チューニング

ネットワーク

名前解決
DNS の基本
スタブゾーン
DHCP
DHCPサーバーとDHCPクライントとの通信
DHCP リレーエージェント
DHCP の 80/20 ルール
DHCP サーバーの承認
DHCP オプション
NLB
プロキシ
ネットワークのトラブルシューティングの基礎

サーバー製品

MOM2005

セキュリティ

ウィルス対策

ファイルサーバー

【はじめに】

ファイルサーバーを建てることは、実は非常に簡単なんです。
特に追加のコンポーネントなどありません。

フォルダを作成して、共有設定を行い、アクセス権を設定するだけです。
しかし、初心者の方にしてみれば、この共有さえ難しく感じるかもしれませんね。

実際、私も昔、自分のコンピュータに共有フォルダを作成し、
別のコンピュータからアクセスしようとしましたが、
上手くできませんでした。

で、結局どうしたかと言うと・・・それは、内緒です。(自爆)
過去の話ですよー

そこで今日は、共有フォルダを作成する上で必要となる知識と
ポイントをご紹介しようと思います。

【混乱の根源】

共有フォルダを設定しても、なぜ動かないことがあるのでしょうか?

私の経験からすると、次のことを理解していないことが原因のようです。

  • 共有フォルダのアクセス権と NTFS アクセス権を正しく理解していない。
  • ローカル アカウントとドメイン アカウントの違いを理解していない。

NTFS とは?

NTFS とはファイル システムの一種です。
もっと分かりやすく言うと、フォーマットするときに選択するアレです。

現在の Windows では HDD のフォーマットの種類として FAT32 か NTFS、
またはその両方が扱えます。

NTFS(Ver.5) ではアクセス制御や暗号化など高度な機能を提供しています。
FAT32 はアクセス制御ができませんので、サーバーでは利用されません。

【共有フォルダのアクセス権と NTFS アクセス権】

共有フォルダを作成する上で設定することになるのが、
共有フォルダのアクセス権と NTFS アクセス権です。


共有フォルダのアクセス権は、リモート コンピュータからネットワーク経由で
共有フォルダにアクセスする際、適用されるアクセス権なんです。


NTFS アクセス権は NTFS でフォーマットされたディスクにアクセスする際、
適用されるアクセス権なんです。

NTFS アクセス権はディスクへのアクセス時に適用されるため、
ローカル、リモートに関係なく適用されることになります。


つまり、リモートからフォルダにアクセスしてきたユーザーは共有フォルダの
アクセス権と NTFS アクセス権の両方が適用されることになるのです。
ここが混乱の種になっています。

たとえば営業グループに所属する鈴木さんに
NTFS アクセス権で読み取りを与えたとします。

しかし、共有フォルダのアクセス権で営業グループが拒否されている場合、
鈴木さんはアクセスできないのです。


実運用環境で両方のアクセス権を駆使していては、
最終的にどのようなアクセス権になるのか把握することが困難になります。


この問題を解決する、とっても簡単な方法があります!

それは 「共有フォルダのアクセス権は変更しか使わない!
というルールです。


そうすることで、NTFS アクセス権だけに集中できるので、混乱も少なくなります。
非常に簡単なルールです。

ぜひ、お試しを!

ちなみに変更ではなく、フルコントロールでも良いのですが、
少しでもセキュリティを高めるために、変更で運用することをお薦めします。

変更のアクセス権があれば、読み書き、削除が行えます。
できないのは、アクセス権の変更や所有権の奪取です。

これらの操作は管理者がリモート デスクトップ接続で行えば良いのですから。

補足

Windows Server 2003 では共有フォルダのアクセス権の既定値が見直されています。

以前は everyone フルコントロールが共有フォルダの既定値でしたが、
Windows Server 2003 では everyone 読み取りに変更されています。


はじめて Windows Server 2003 で共有フォルダを作成された方は、
ここに気づかずハマッた方もいるのではないでしょうか?

既定値が見直されたということは、
セキュリティの観点からして望ましい状態ではなかったということでしょう。


以前の既定値は誰でも簡単にフォルダを共有できるように、
既定ですべて許可されており、
必要に応じアクセス権を厳しくしていく方法が取られていました。


しかし、この方法では思わぬ人物にファイルを書き換えられたり、
削除されるリスクがあるのです。


Windows Server 2003 はその辺を見直され、アクセス権が無い状態
から必要に応じてアクセス権を与えていく方法に切り替わっています。

ちなみにファイアウォール製品では、以前から既定はすべて拒否。
必要なプロトコルやポートを一つ一つ開けていく方法が取られていました。


そりゃそうですよね。
既定ではすべて許可。不要なプロトコルやポートを一つ一つ閉じていくような
製品なんて怖くて使えません。(笑)

【ローカルアカウントとドメインアカウント】

次はローカルアカウントとドメインアカウントについてお話しますね。

このローカルアカウントとドメインアカウントを正しく理解していない方は、
総じて究極の力技である Guest を有効にしようとします。
(汗)

笑い話ではなく、本当にいらっしゃいます。
私がそうでした。(あ、言っちまった・・・)

上手く共有できないからという理由で Guest を有効にすることはしてはいけません。

共有できないのは設定に間違いがあるからです。
まずはしっかり基本を理解しましょう。


ローカルアカウントとは、その名前のとおり自分のコンピュータで
作成され登録されたアカウントのことです。


ドメインアカウントとは、ドメインに登録されているアカウントのことで、
そのドメインに参加しているコンピュータにアクセスするときに利用できます。


ローカルアカウントを利用するか、ドメインアカウントを利用するかは、
コンピュータがドメインに参加しているか、していないかによって違います。


ドメインに参加せず、ワークグループ環境で利用している場合は、
必然的にローカルアカウントのみを使用することになりますので、
特に混乱はないでしょう。


しかし、ドメイン環境では両方のアカウントが利用可能なんです。

そのためドメインのアカウントを利用すべき場面で、
サーバーにドメインアカウントと同じ名前のローカルアカウントを作成して、
そのアカウントにアクセス権を設定しているケースがあるのです。


上記ケースでもアカウント名とパスワードがローカルとドメインで
一致しているアクセスできてしまいます。

ただし、パスワードを変更したとたんに接続できなくなりますので、ご注意ください。


理解している方は、ありえねーって思われるかもしれませんが、
知らない人にしてみれば、その違いすら気づかないものなんですよ。

【まとめ】

アクセス権は 「共有フォルダのアクセス権は変更しか使わない!」 ルールで運用する。

ローカル アカウントとドメイン アカウントの違いを理解し、正しく使用すること。

ひと目でわかる Microsoft Windows 2003 マイクロソフト公式解説書
おすすめ度:5段階評価で 4!
初心者向け



Windowsサーバー管理入門

Virtual PC

エミュレータソフト:Virtual PC の使いこなし術、Windows Server 2003 のインストール、Active Directory のセットアップなどを画像付きでご紹介しています。
Virtual PC とは? | 競合比較 | ゲスト OS 作成 | Windows Server 2003 のインストール | Windows Server 2003 イメージコピーの作成方法 | Active Directory のインストール | LAN 環境のシミュレート

MCP70-290 対策

MCP試験 70-290 の情報ページです。
Windows Server 2003 の管理についての試験ですから、管理に関する情報は Windowsサーバー管理入門よりも細かく掲載しています。
ユーザー、コンピュータ、およびグループの管理 | 障害回復の管理と実装 | グループポリシー | その他

コラム

勉強法、ベンダー資格などをご紹介しています。
学ぶこと | ベンダー資格 | TechNet

おすすめ書籍たち

サーバー管理の書籍からビジネス書までご紹介しています。
運用管理 | MCP資格 | ビジネス・自己啓発

リンク集

.
今日からはじめる Windows Server 2003 サーバー管理入門 | 免責事項更新情報 | コンセプト | サイトマップ
Copyright (C) 2004-2011 今日からはじめる Windows Server 2003 サーバー管理入門 All Rights Reserved.
当サイトの内容を無断転載、複製、画像を直リンクで表示することを禁じます。
.
template by Net Mania