- ベストアンサー
WIN2000_SERVER NTFSアクセス権の設定
こんにちは。 WIN2000_SERVERのディレクトリアクセス権をちゃんと把握していないのだと思います。 以下の例について、「これがスマートな方法」というのを提示していただけれがありがたいです。 ・ディレクトリA→B→Cの順で階層になっていて、Aを共有ルートにする ・社員Xさんのアクセス権を以下のようにしたい A:読み取り B:読み取り C:変更 NT_SERVERでは社員Xさんの権限を Aの共有アクセス権: 変更 Aのディレクトリアクセス権:読み取り Bのディレクトリアクセス権:読み取り Cのディレクトリアクセス権:変更 というように、共有ルートのアクセス権をベースに、そのディレクトリアクセス権とあわせて きびしいほうを適用、となっていましたよね。 2000_SERVERで、上記のようなアクセス権を設定しようとすると、「アクセス許可を継承」機能を活用できないし、変にルートの共有アクセス権が優位になっているような 気がするのですが。。。
- raly-raly
- お礼率39% (25/64)
- Windows NT・2000
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
アクセス権の演算は「共有アクセス権」が最優先です。 たとえば 共有アクセス権...読み取り ディレクトリアクセス権...フルコントロール の場合、ネットワーク経由では、決して書き込みは出来ません。 また、Micro$oftは「きびしいほうを適用」とはいっておらず、「制限の大きい権限を適用」と行っています。 今回のraly-ralyさんの例だと、Cのディレクトリにのみ書き込みが出来ます。A、Bのディレクトリには書き込めません。(手元では書き込めませんでした) この条件で書き込めるとすると、「共有アクセス権」と「ディレクトリアクセス権」に関して、アカウント、グループ設定を再度見直してみましょう。 他のグループで書き込み権限が付いていたりしていませんか?
その他の回答 (1)
- haporun
- ベストアンサー率40% (230/562)
ファイルのアクセス権マニアのhaporunです(笑)。 趣味で勉強しているだけなのですが、 A: このフォルダ、サブフォルダおよびファイル: 読み取り B: (継承されたものだけ) C: (継承されたものに加えてもいいし継承しなくても良いが) このフォルダ、サブフォルダおよびファイル: 変更 アクセス権はAND演算みたいなものだから、共有アクセス権があっても、中身のアクセス権がなければ、アクセスできませんよ。 ちなみにCREATE_OWNERというのを使うと、多少便利かも。 さらに言うと、どうも継承ってのはコピーしてるだけみたいです。 多量のファイルが入っているディレクトリのアクセス権を変更すると、中のファイルも全部更新されますから・・・。 継承したからって、内部ではスマートではないようです。 これ以上変えようはないと思いますよ。 はずしてたらごめんなさい。
補足
2000_SERVERでも、共有ルートのアクセス権が最大限のアクセス権になることはNTと変わりがないです。 が、 「共有ルートのアクセス権をベースに、そのディレクトリアクセス権とあわせて きびしいほうを適用」 になっておらず、どうも共有ルートのアクセス権が強権発動しているようなのです。 (これってすごーくオカシイこと?!なんじゃないかなぁ) おそらくhaporunの回答は、スタンドアロンの場合、ですよね。 LANでファイルサーバとして運用するので、ネットワーク経由のアクセス権を考慮したかたちでアドバイスいただけると助かります。
補足
『他のグループで書き込み権限が付いていたりしていませんか?』 ↑どうもこの部分だったようです。 共有ルートフォルダが、その親フォルダの「ディレクトリアクセス権」を継承していたために期待しない結果になっていました。 共有ルートで一端継承を断って、アクセス権を付け直したらちゃんとできました!(^Q^)