今回は共有フォルダーの作成とアクセス権限の設定を行います.
移動ユーザープロファイルを対象としているため,Microsoft が案内をしている推奨設定に沿ってアクセス権の設定を行います.
- ファイルサーバーに関するお話
- Windows ファイルサーバー – ファイルサーバーサービスを構成する 「SMBの解説」
- Windows ファイルサーバー – ファイルサーバーサービスを構成する「ファイルサーバーリソースマネージャーの導入」
- Windows ファイルサーバー – DFS (Distributed File System/分散ファイルシステム) と DFSR (DFS Replication/DFS レプリケーション)
- Windows ファイルサーバー – ファイルサーバーサービスを構成する「共有の作成とアクセス権の設定」
- Windows ファイルサーバー – ファイルサーバーサービスを構成する「クォータの設定」
- Windows ファイルサーバー – DFS 名前空間とDFS レプリケーションの構成
- Windows ファイルサーバー – DFS 名前空間とDFS レプリケーションの確認
- Active Directory ドメインサービスに関するお話
共有フォルダーの作成,アクセス権限の設定
共有領域を置く場所,FSRM の導入が終わりましたのでここから共有フォルダーを作成していきます.
今回は「移動ユーザープロファイル」に向けた共有領域を作成する場合となります.
移動ユーザープロファイルに向けたアクセス権設定
移動ユーザープロファイル用のアクセス権の設定は Microsoft が「移動ユーザー プロファイルに必要なアクセス許可」で推奨している権限設定を元に行います.
Microsoft のガイダンスでは管理者は「このフォルダーのみ」ですが,運用上触る必要があるケースが多い為サブフォルダーもつけるのがお薦めです.
| ユーザー アカウント | アクセス権 | 適用対象 |
| SYSTEM | フル コントロール | このフォルダー、サブフォルダー、 およびファイル |
| 管理者 | フル コントロール | このフォルダー、サブフォルダー、 およびファイル |
| 所有者・作成者 | フル コントロール | サブフォルダーとファイルのみ |
| Domain Users | フォルダーの一覧表示/データの読み取り フォルダーの作成/データの追加 | このフォルダーのみ |
共有領域の作成
共有領域を作成するドライブをダブルクリックします.
右クリックで「新規作成」-「フォルダー」をクリックします.
フォルダー名を入力します.今回は移動ユーザープロファイル用なので「RoamingProfiles」としました.
アクセス権の設定 (既存のアクセス権を削除)
作成したフォルダーを右クリックし「プロパティ」をクリックします.
「セキュリティ」タブをクリックし「詳細設定」をクリックします.
今ついている権限を削除していきます.まずは継承のない「Administrators」を選択して「削除」をクリックします.
続いて,継承されている権限を削除します.継承元が記載されているいずれかを選択して「削除」をクリックします.
「継承のブロック」ウィンドウが表示されます.「このオブジェクトから継承されたアクセス許可を全て削除します」をクリックしてアクセス権を削除します.
結果,何もアクセス権がない状態になります.
アクセス権の設定 (SYSTEM へのアクセス権の付与)
新しくアクセス権を付与するため「追加」をクリックします.
「プリンシパルの選択」をクリックします.
ユーザー・グループの検索画面で「SYSTEM」を入力し「名前の確認」をクリックします.
補完されたことを確認して「OK」をクリックします.
種類「許可」,適用先「このフォルダー、サブフォルダーおよびファイル」にし,基本のアクセス許可にて「フルコントロール」をクリックし,全てにチェックがついたことを確認して「OK」をクリックします.
アクセス権の設定 (管理者「Domain Admins」 へのアクセス権の付与)
新しくアクセス権を付与するため「追加」をクリックします.
「プリンシパルの選択」をクリックします.
ユーザー・グループの検索画面で「Domain Admins」を入力し「名前の確認」をクリックします.
補完されたことを確認して「OK」をクリックします.
種類「許可」,適用先「このフォルダー、サブフォルダーおよびファイル」にし,基本のアクセス許可にて「フルコントロール」をクリックし,全てにチェックがついたことを確認して「OK」をクリックします.
アクセス権の設定 (利用者「Domain Users」 へのアクセス権の付与)
新しくアクセス権を付与するため「追加」をクリックします.
「プリンシパルの選択」をクリックします.
ユーザー・グループの検索画面で「Domain Users」を入力し「名前の確認」をクリックします.
補完されたことを確認して「OK」をクリックします.
種類「許可」,適用先「このフォルダーのみ」にし,基本のアクセス許可のチェックを全て外したうえで「高度なアクセス許可を表示する」をクリックします.
高度なアクセス許可にて「フォルダーの一覧/データの読み取り」および「フォルダーの作成/データの追加」を選択して「OK」をクリックします.
アクセス権の設定 (利用者[作成者]「CREATOR OWNER」 へのアクセス権の付与)
新しくアクセス権を付与するため「追加」をクリックします.
「プリンシパルの選択」をクリックします.
ユーザー・グループの検索画面で「CREATOWNER」を入力し「名前の確認」をクリックします.
補完されたことを確認して「OK」をクリックします.
種類「許可」,適用先「サブフォルダーとファイルのみ」にし,基本のアクセス許可にて「フルコントロール」をクリックし,全てにチェックがついたことを確認して「OK」をクリックします.
最終的な結果確認と ACL の継承
このような結果になっていることを確認します.
「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」にチェックを入れて「適用」をクリックします.
確認画面が表示されるので「はい」をクリックします.
継承が完了したら元の画面に戻るので「OK」をクリックして完了します.
以上で NTFS のアクセス権設定は完了です.
SMB共有の作成,アクセス権の設定
作成したフォルダーを SMB で共有を行います.
該当フォルダーを右クリックし「プロパティ」をクリックします.
SMB共有の作成
「共有」タブをクリックし「詳細な共有」をクリックします.
「このフォルダーを共有する」をチェックして「アクセス許可」をクリックします.
アクセス許可の画面が表示されるので「Everyone」を選択して「削除」をクリックします.
アクセス許可の一覧に何もないことを確認し「追加」をクリックします.
ユーザー・グループの検索画面で「Domain Users」を入力し「名前の確認」をクリックします.
補完されたことを確認して「OK」をクリックします.
権限設定を「フルコントロール」をチェックし,すべてにチェックが追加されたことを確認して「適用」をクリックします.
「OK」をクリックしてウィンドウを閉じます.
「詳細な共有」画面に戻るので「適用」をクリックし,その後「OK」をクリックしてウィンドウを閉じます.
「プロパティ」画面にてネットワークパスが表示されていることを確認して「閉じる」をクリックします.
以上で SMB 共有の作成とアクセス権の設定は完了です.
作成した共有に対する容量制限 (クォータ) の設定が必要です.次回はクォータの設定について実施します.
コメント