フォルダーやボリュームなどの共有リソースへのアクセス許可は、そのリソースに対するローカルの NTFS アクセス許可と、共有リソースへのアクセスに使用するプロトコルで決まります。
-
サーバー メッセージ ブロック (SMB) プロトコル
Windows ベースのファイル システムの場合は、個々のユーザーおよびグループにアクセス許可を付与することで、SMB ベースのアクセス制御を実装します。
-
Network File System (NFS) プロトコル
UNIX ベースのファイル システムの場合は、特定のクライアント コンピューターおよびグループにアクセス許可を付与することで、NFS ベースのアクセス制御を実装します。
共有リソースに対する最終的なアクセス許可が決定される際には、NTFS アクセス許可と共有プロトコルでのアクセス許可の両方が考慮され、制限が厳しい方のアクセス許可が適用されます。SMB ベースの共有フォルダーでアクセス ベースの列挙を有効にした場合は、ユーザーが読み取りアクセス許可を持っていないファイルおよびフォルダーが表示されなくなります。
共有リソースのアクセス許可の構成、およびアクセス ベースの列挙の有効化は、共有フォルダーの準備ウィザードを使用して新しい共有フォルダーまたはボリュームを作成するときに実行できます。または、[操作] ウィンドウで既存の共有リソースを選択し、[プロパティの編集] をクリックして実行することもできます。
このトピックでは次の項目について説明します。
共有フォルダーの準備ウィザードの使用方法については、「リソースを共有する」を参照してください。既存の共有リソースのプロパティを構成する方法については、「共有フォルダーのプロパティを表示および変更する」を参照してください。
NTFS アクセス許可
共有フォルダーまたは共有ボリュームに対するローカルの NTFS アクセス許可は、共有と記憶域の管理を使用して次の方法で構成できます。
-
新しい共有リソース。共有フォルダーの準備ウィザードで、ネットワーク共有プロトコルを選択する前に、共有するフォルダーまたはボリュームに対する NTFS アクセス許可を変更できます。この NTFS アクセス許可は、リソースにローカルにアクセスする場合とネットワーク経由でアクセスする場合の両方に適用されます。NTFS アクセス許可を変更するには、[NTFS アクセス許可] ページで [はい、NTFS アクセス許可を変更します] を選択し、[アクセス許可の編集] をクリックします。
-
既存の共有リソース。[共有] タブに一覧表示される共有フォルダーまたは共有ボリュームに対し、ローカルの NTFS アクセス許可を変更できます。NTFS アクセス許可を変更するには、フォルダーまたはボリュームを選択し、[操作] ウィンドウの [プロパティ] をクリックして、[アクセス許可] タブの [NTFS アクセス許可] をクリックします。
 | 注 |
|
NTFS アクセス許可の詳細については、[NTFS アクセス許可] をクリックしたときに表示されるプロパティ ページの [アクセス制御とアクセス許可の詳細を表示します] をクリックしてください。 |
SMB アクセス許可
共有リソースに対する SMB ベースのアクセス許可は、NTFS アクセス許可および共有アクセス許可の 2 つのアクセス許可セットで決まります。共有アクセス許可は、NTFS ファイル システムを使用しないコンピューターのアクセス制御のみに使用されることがよくあります。
NTFS アクセス許可と共有アクセス許可は、お互いのアクセス許可に影響しないという点で独立しており、共有リソースには、2 つのうち制限が厳しい方のアクセス許可が適用されます。
SMB ベースの共有リソースに対する共有アクセス許可は、共有と記憶域の管理を使用して次の方法で指定できます。
-
[新しい共有リソース]。共有フォルダーの準備ウィザードで、共有プロトコルに SMB を選択した場合は、[SMB アクセス許可] ページで次の SMB ベースのアクセス許可を指定できます。
-
[すべてのユーザーとグループは読み取り専用のアクセスを持つ]。このアクセス許可を指定した場合は、Everyone グループに読み取り許可が付与されます。
-
[Administrators がフル コントロールを持ち、他のユーザーは読み取り専用のアクセスを持つ]。Administrators グループにフル コントロールのアクセス許可が付与され、Everyone グループには読み取りアクセス許可が付与されます。
-
[Administrators がフル コントロールを持ち、他のすべてのユーザーとグループは読み取りと書き込みのみのアクセス権を持つ]。Administrators グループにフル コントロールのアクセス許可が付与され、Everyone グループには読み取りと書き込みの両方のアクセス許可が付与されます。
-
[ユーザーとグループはカスタムの共有アクセス許可を持つ]。このオプションを使用するには、共有アクセス許可を付与する各グループおよびユーザーと、それぞれに対して許可または拒否する特定の共有アクセス許可 (フル コントロール、変更、読み取り) を指定する必要があります。
-
[すべてのユーザーとグループは読み取り専用のアクセスを持つ]。このアクセス許可を指定した場合は、Everyone グループに読み取り許可が付与されます。
-
既存の共有リソース。[共有] タブの [プロトコル: SMB] の下に一覧表示される共有フォルダーまたは共有ボリュームの共有アクセス許可を変更できます。共有アクセス許可を変更するには、フォルダーまたはボリュームを選択し、[操作] ウィンドウの [プロパティ] をクリックして、[アクセス許可] タブの [共有のアクセス許可] をクリックします。
| 注 |
|
共有アクセス許可の詳細については、[共有のアクセス許可] をクリックしたときに表示されるプロパティ ページの [アクセス制御とアクセス許可の詳細を表示します] をクリックしてください。 |
NFS アクセス許可
共有リソースに対する NFS ベースのアクセス許可は、ネットワーク名とグループで決まります。NFS アクセス許可を使用するには、まずサーバー マネージャーを使用して、NFS (Network File System) 用サービスの役割サービスをインストールする必要があります。NFS 用サービスをインストールしたら、NFS 共有アクセス許可を構成する前に、NFSAdmin.exe を使用してクライアント グループを作成し、クライアント コンピューターをこれらのグループに追加します。
| 注 |
|
Kerberos 認証オプションの詳細については、 |
NFS ベースの共有リソースに対する共有アクセス許可は、共有と記憶域の管理を使用して次の方法で指定できます。
-
新しい共有リソース。共有フォルダーの準備ウィザードで、共有プロトコルに NFS を選択した場合は、[NFS アクセス許可] ページが表示されます。特定のクライアント コンピューター (ホスト) ごとにアクセスを制御するか、クライアント グループごとにアクセスを制御するかを指定します。共有リソースに NFS アクセス許可を設定する際には、次のことを実行できます。
-
クライアント グループおよびホストに対するアクセス許可を追加、編集、または削除する。既定では、ALL MACHINES グループに読み取り専用アクセスが与えられています。NFSAdmin.exe で事前に作成した任意のクライアント グループまたはホストを追加できます。また、それぞれに適切なアクセス許可 (アクセスなし、読み取り専用、読み取りおよび書き込み) を付与できます。
各クライアント グループおよびホストに対して、[ルート アクセスを許可する] オプションを選択することもできます。ただし、セキュリティ上の問題を招く恐れがあるため、この設定はお勧めしません。
-
共有リソースに対する匿名アクセスを許可するかどうかを指定する。セキュリティ上の理由から、共有リソースに対する匿名アクセスは既定では有効になっていません。匿名アクセスはトラブルシューティングやテスト環境で役に立ちますが、通常の使用ではお勧めしません。
匿名アクセスを許可するには、共有フォルダーの準備ウィザードでフォルダーまたはボリュームの NTFS アクセス許可を変更し、Everyone セキュリティ グループにアクセス許可を与えます。
匿名アクセスを有効にすると、[Everyone のアクセス許可を匿名ユーザーに適用する] セキュリティ ポリシーも有効になります。この結果、Everyone セキュリティ グループに匿名ログオンの原則が追加されることになります。つまり、アクセス許可のないフォルダーの内容をユーザーが一覧表示できないようにしていても、匿名ユーザーは共有フォルダーのオブジェクト パスを経由して、本来アクセスできないフォルダーにアクセスすることが可能です。
注 匿名アクセスを無効にしても、[Everyone のアクセス許可を匿名ユーザーに適用する] セキュリティ ポリシーは無効になりません。
-
クライアント グループおよびホストに対するアクセス許可を追加、編集、または削除する。既定では、ALL MACHINES グループに読み取り専用アクセスが与えられています。NFSAdmin.exe で事前に作成した任意のクライアント グループまたはホストを追加できます。また、それぞれに適切なアクセス許可 (アクセスなし、読み取り専用、読み取りおよび書き込み) を付与できます。
-
既存の共有リソース。[共有] タブの [プロトコル: NFS] の下に一覧表示される共有フォルダーまたは共有ボリュームの NFS アクセス許可を変更できます。共有アクセス許可を変更するには、フォルダーまたはボリュームをクリックし、[操作] ウィンドウの [プロパティ] をクリックして、[アクセス許可] タブの [NFS アクセス許可] をクリックします。アクセス許可を構成するには、構成が必要なクライアント グループまたはホストに対し、個別にアクセス許可を追加、編集、または削除します。
アクセス ベースの列挙
アクセス ベースの列挙を使用すると、SMB ベースの共有フォルダー内で、ユーザーがアクセス許可を持つファイルおよびフォルダーしか表示されないようにすることができます。ユーザーがフォルダーに対する読み取りアクセス許可を持っていない場合、そのフォルダーはそのユーザーには表示されません。この機能は、多数のユーザーのホーム ディレクトリが含まれている共有フォルダーなどで便利です。
 | 共有フォルダーでアクセス ベースの列挙を有効にするには |
共有と記憶域の管理で、対象の共有フォルダーを右クリックし、[プロパティ] をクリックします。
[共有] タブで、[詳細設定] をクリックします。
[アクセス ベースの列挙を有効にする] チェック ボックスをオンにし、[OK] をクリックします。
その他の考慮事項
-
共有リソースのフル コントロール NTFS アクセス許可をユーザーに与えると、別の方法で制限しない限り、ユーザーはフォルダーまたはボリュームの所有権を取得できるようになります。フル コントロールを付与する場合は十分に注意してください。
-
NTFS アクセス許可だけを使用してフォルダーおよびボリュームのアクセスを管理する場合は、Everyone の共有アクセス許可をフル コントロールに設定します。こうすると、共有アクセス許可の管理は簡単になりますが、NTFS アクセス許可の管理は共有アクセス許可よりも複雑になります。
-
NTFS アクセス許可は、ローカルおよびリモートの両方のアクセスに影響します。NTFS アクセス許可は、プロトコルに関係なく適用されます。これに対して、共有アクセス許可は共有ネットワーク リソースだけに適用されます。共有アクセス許可では、ローカル ユーザーまたはターミナル サーバー ユーザーのアクセスは制限されません。したがって、複数のユーザーが使用するコンピューター上では、共有アクセス許可でユーザー間のプライバシーを保護することはできません。
-
既定では、Everyone グループに Anonymous グループは含まれていないため、Everyone グループに適用されているアクセス許可が Anonymous グループに影響することはありません。
-
C$ や ADMIN$ など、管理用として共有されているフォルダーやファイルのアクセス許可は変更できません。
-
共有と記憶域の管理を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[共有と記憶域の管理] をクリックします。