既定では、DFS フォルダーに適用されるアクセス許可は、名前空間サーバーのローカル ファイル システムから継承されます。システム ドライブのルート ディレクトリのアクセス許可が継承され、DOMAIN\Users グループに読み取り (Read) のアクセス許可が付与されます。その結果、アクセス ベースの列挙を有効にした後も、名前空間のすべてのフォルダーをドメイン ユーザーが全員表示できる状態になります。

継承されたアクセス許可の利点と制約

DFS 名前空間のフォルダーを表示できるユーザーを、継承されたアクセス許可を使用して制御する場合、主な利点として次の 2 つが挙げられます。

  • スクリプトを使用する必要なく、多数のフォルダーにアクセス許可を継承してすばやく適用できる。

  • 名前空間ルートおよびターゲットを持たないフォルダーにアクセス許可を継承して適用できる。

こうした利点があるにもかかわらず、DFS 名前空間で継承されるアクセス許可には次のように制約が多いため、ほとんどの環境には適していません。

  • 継承されたアクセス許可に変更を加えても、他の名前空間サーバーにレプリケートされない。したがって、継承されたアクセス許可は、スタンドアロンの名前空間、またはすべての名前空間サーバーのアクセス制御リスト (ACL) を同期するサードパーティ製のレプリケーション システムを実装できる環境でのみ使用してください。

  • DFS の管理および Dfsutil では、継承されたアクセス許可の表示や変更ができない。したがって、DFS の管理や Dfsutil のほかに、Windows エクスプローラーや Icacls コマンドを使用して名前空間を管理する必要があります。

  • 継承されたアクセス許可を使用する場合、ターゲットを持つフォルダーのアクセス許可を Dfsutil コマンド以外の方法で変更できない。DFS 名前空間では、ターゲットを持つフォルダーに他のツールや方法で設定されたアクセス許可が自動的に削除されます。

  • 継承されたアクセス許可を使用している場合に、ターゲットを持つフォルダーにアクセス許可を設定すると、そのフォルダーに設定した ACL と、ファイル システム内のそのフォルダーの親から継承されるアクセス許可が組み合わせられる。両方のアクセス許可のセットを確認して、全体のアクセス許可を判断する必要があります。

ヒント

継承されたアクセス許可を使用する場合は、名前空間ルートと、ターゲットを持たないフォルダーに対してアクセス許可を設定する方法が一番簡単です。そのうえで、ターゲットを持つフォルダーに対して継承されたアクセス許可を使用して、これらのフォルダーに親からすべてのアクセス許可を継承します。

継承されたアクセス許可を使用する

DFS フォルダーを表示できるユーザーを制限するには、次のいずれかを実行する必要があります。

  • フォルダーにアクセス許可を明示的に設定して、継承を無効にする。DFS の管理または Dfsutil コマンドを使用して、ターゲット (リンク) を持つフォルダーにアクセス許可を明示的に設定するには、「名前空間でアクセス ベースの列挙を有効にする」を参照してください。

  • 継承されるアクセス許可をローカル ファイル システム内の親側で変更する。ターゲットを持つフォルダーが継承するアクセス許可を変更するには、このフォルダーにアクセス許可を明示的に設定してある場合は、次の手順で説明するように、明示的なアクセス許可から継承されたアクセス許可に切り替えます。その後、Windows エクスプローラーまたは Icacls コマンドを使用して、ターゲットを持つフォルダーがアクセス許可を継承した親フォルダーのアクセス許可を変更します。詳しい手順については、Microsoft の Web サイト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=140259) を参照してください。

アクセス ベースの列挙では、ターゲットを持つフォルダーの DFS パスをユーザーが既に知っている場合、そのフォルダー ターゲットへの紹介を取得しないようにすることはできません。Windows エクスプローラーまたは Icacls コマンドで名前空間ルート、またはターゲットを持たないフォルダーにアクセス許可を設定すると、ユーザーがその DFS フォルダーや名前空間ルートにアクセスできるかどうかを制御できます。ただし、ターゲットを持つフォルダーにユーザーが直接アクセスできないようにすることはできません。共有フォルダー自体に共有または NTFS ファイル システムのアクセス許可が設定されている場合にのみ、フォルダー ターゲットへのアクセスを阻止できます。

明示的なアクセス許可から継承されたアクセス許可に切り替えるには

  1. コンソール ツリーの [名前空間] ノードで、表示レベルを制御するターゲットがあるフォルダーを探し、見つかったフォルダーを右クリックして [プロパティ] をクリックします。

  2. [詳細設定] タブをクリックします。

  3. [ローカル ファイル システムから継承されたアクセス許可を使用する] をクリックし、[継承されたアクセス許可の使用を確認する] ダイアログ ボックスで [OK] をクリックします。

    これにより、選択したフォルダーに明示的に設定されているアクセス許可がすべて削除され、名前空間サーバーのローカル ファイル システムから NTFS アクセス許可が継承されます。

  4. DFS 名前空間のフォルダーまたは名前空間ルートが継承したアクセス許可を変更するには、Windows エクスプローラーまたは ICacls コマンドを使用します。詳しい手順については、Microsoft の Web サイト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=140259) を参照してください。

コマンド プロンプトでアクセス許可の適用方法を変更する手順、ローカル ファイル システムからの NTFS アクセス許可の継承を復元する方法、または DFS の管理で設定したアクセス許可を維持する方法については、Microsoft の Web サイト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=140259) を参照してください。

その他の参照情報

目次