- ベストアンサー
ボリュームに対するEveryoneのアクセス権
- ファイルサーバの容量不足に伴い、新たに導入した2003Serverと旧サーバの共有フォルダのアクセス権について疑問が生じています。
- 旧サーバと新サーバのアクセス権設定には差異があり、旧サーバのEveryoneフルという設定がセキュリティ上の問題となる可能性があります。
- より安全なセキュリティ向上のため、2000Serverのボリューム設定を2003Serverに合わせるかどうかを検討しています。
- ta-ko1114
- お礼率100% (32/32)
- ハードウェア・サーバー
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>「2重ロックなのに、1重ロックしか機能 >していませんよ。」 これはその通りです。 しかし… >「DドライブにEveryoneフルを与えている >事による弊害は発生しない。 これは違います。 どちらもちゃんとアクセス権を設定しておけば(二重ロック状態)、万が一、共有フォルダのセキュリティを破られても、NTFSのセキュリティ設定で不正アクセスを防止できます。しかし、共有フォルダのアクセス許可しか設定していなければ、共有フォルダのセキュリティをやぶられたら、すべておしまいです。 何のために多重ロックが必要なのか、よく考えましょう。 また、セキュリティを高めるためには、グループポリシーの設定でユーザーに複雑なパスワードを強制したり、パスワードを定期的に強制変更させるなど、他にもいろいろな工夫が必要です。 (そのあたりはWindows Serverの解説書を参考にしてみてください) たとえば、こんな本とか
その他の回答 (2)
- ok2ok
- ベストアンサー率38% (97/255)
#1の回答を投稿した者です。 重要書類を保管している書庫にたどり着くまで、2つのドアがあるとします。どちらにも鍵を掛けることが出来ます。 書庫の書類を閲覧できるのは2つのドアの両方の鍵を持っている人だけです。鍵を全く持っていない人、鍵を1つしか持っていない人は書庫にたどり着くことは出来ません。 共有フォルダのアクセス許可の設定と、NTFSによるアクセス許可の設定は、全く別の機能です。お互いに関係ありません。上記の例の2つのドアに相当します。 共有フォルダに対するアクセス許可、NTFSによるアクセス許可の、両方のアクセス許可を持つユーザーだけがファイルにアクセスできます。 現在のDドライブの設定は、 共有フォルダのアクセス許可=きちんと設定されている NTFSによるアクセス許可=ちゃんと設定されていない(誰でもアクセスできる) という状態です。 2つあるドアのうち、1つはきちんと管理しているけれども、1つは解放したままになっている…という状態です。 もちろん、できれば両方ちゃんと管理すべきです。ドライブのルートにEveryoneのアクセス許可を設定すべきではありません。(読み取り専用であっても)
お礼
おはようございます。 非常に分かりやすい例えを出していただき感激です。 つまり私の状態は、 「2つの鍵のうち1つを全員に配ってしまっているが、 ファイルを見る為にはもう1つの鍵が必要で、 それは然るべき人物に渡されている」 「結果として、然るべき人物がファイルを見れて、 そうでない人物(全員に配られた1つ目の鍵のみ持つ人物)は ファイルが見れない。」 こう考えてよろしいでしょうか? くだけて言うと、 「2重ロックなのに、1重ロックしか機能していませんよ。」 「情報は守られていますが、鍵を1つEveryoneに提供する必要 もないでしょう。」 という事ですね、、、納得です。 お教えいただきました内容を踏まえて結論を出すと、 「DドライブにEveryoneフルを与えている事による弊害は発生しない。 (共有フォルダのアクセス許可がきちんと機能している為) だが、ドライブのルートにはEveryoneのアクセス許可を 設定すべきではない」 という事になるんですね(^-^)。
- ok2ok
- ベストアンサー率38% (97/255)
>「共有フォルダのアクセス許可」 >「NTFSのセキュリティ設定」 以上、2つが基本です。間違いありません。 ネットワーク経由で共有フォルダにアクセスするユーザーは、まず「共有フォルダのアクセス許可」でアクセス権利があるかどうか判断され、さらに「NTFSのセキュリティ設定」で判断され、そのどちらかで「不可」となればアクセスできないことになります。 なお、WebDAVによる共有Webフォルダを設定すると、上記の2つに加えて、IIS(アプリケーションサーバー)のアクセス許可も設定することになります。 さて、問題の「Everyone」のアクセス許可というのは「NTFSのセキュリティ設定」の中の1つです。 Everyoneは文字通り「誰でも」を意味する特別なアクセス許可設定用のキーワードです。 Everyoneに対してアクセス許可を与えると、「誰でも」そのファイルをアクセスできるようになります。非常に危険ですので、よっぽどのことがない限り、Everyoneにアクセス許可を与えるようなことはしないでください。 さて、Windows 2000 ServerとWindows Server 2003の既定の設定の違いですが、Windows 2000 Server(それ以前のWindows NT ServerやWindows NT Advanced Serverも)では、利便性を優先して、誰でもすぐに使えるように、既定の設定が「誰でもOK」になっています。 ただし、これはセキュリティ上非常に危険ですので(たとえば社外の人間が勝手にパソコンを使って、重要なファイルを削除・改ざんできます)、Windows Server 2003では、既定の設定で何も許可しない、必要があれば自分で許可を設定する、という方針にかわりました。 特別な理由がない限り、ファイルのアクセス許可の設定からはEveryoneを削除し、明示的にそれぞれのユーザーに対して(あるいはユーザーグループに対して)アクセス許可を設定するのが本筋です。 なお、Windows Server 2003で共有フォルダを設定するのであれば、フォルダのプロパティの「セキュリティ」で設定することも出来ますが、それよりも、共有フォルダの管理コンソールを使った方がいいと思います。 スタートメニューの「サーバーの役割管理」をクリックして、「サーバーの役割管理」ウィンドウのメニューから、「このファイルサーバーを管理する」や「共有フォルダを追加する」をクリックして、ウィザードや管理コンソールで設定を行った方が、間違いが少なくなりますし、使いやすいと思います。
お礼
早速のお返事、ありがとうございます。 >以上、2つが基本です。間違いありません。 >ネットワーク経由で共有フォルダにアクセスするユーザーは、 >まず「共有フォルダのアクセス許可」で >アクセス権利があるかどうか判断され、 >さらに「NTFSのセキュリティ設定」で判断され、 >そのどちらかで「不可」となればアクセスできない。 まだまだ未熟なのでそう言ってもらえるとほっとします。 今回特に分からないのが、この共有フォルダの上にあり、 なおかつアクセス権を引き継ぐようにはなっていない、 ボリューム本体に対するEveryoneフルに セキュリティ問題があるのでしょうか、、、 エクスプローラだと下図のようになります。 マイコンピュータ Dボリューム←ここを右クリプロパティ→セキュリティ 共有フォルダ 各フォルダ・ファイル ・・・・・・・・・ ・・・・・・ ・・・ 旧サーバでも新サーバでも、上図の共有フォルダのところで セキュリティを設定しておりますので、その設定に反する ユーザーでは各フォルダ・ファイルが見えないように なっております。 つまり現状で、 DボリュームにEveryoneフルが付いている旧サーバも DボリュームにEveryone読みが付いている新サーバも 共有フォルダのセキュリティ設定が正しく機能し、 セキュリティを持たないユーザーはフォルダにアクセス できなくなっています。 =運用できている。 とすれば、このDボリューム自体に対するセキュリティを どう考えれば良いのか? これが分からず困っております。 どうかよろしくお願い致します。
お礼
こんにちはok2okさん。 お返事ありがとうございます。 >どちらもちゃんとアクセス権を設定しておけば(二重ロック状態) >万が一、共有フォルダのセキュリティを破られても、 >NTFSのセキュリティ設定で不正アクセスを防止できます。 >しかし、共有フォルダのアクセス許可しか設定していなければ、 >共有フォルダのセキュリティをやぶられたら、すべておしまいです。 >何のために多重ロックが必要なのか、よく考えましょう。 うう、、、ご指導ありがとうございます。 早急にセキュリティ設定を見直します。 グループポリシーに関しましては、私も社内で提案したのですが 「現状のままでよい」 との結論に至っております。 ですが、参考URL、拝見いたします。 最初の返信で教えていただきました、「サーバの役割管理」 による設定方法なども、勉強させていただきます。 今回は、本当にありがとうございましたm(__)m