分類フォルダのアクセス権設定パターン

フォルダのアクセス権設定で実際に使えるパターンをご紹介します。まずはフォルダ階層の上位に位置する
分類フォルダのアクセス権設定例を示します。

分類フォルダのセキュリティ要件

一般的には、下記のような構成をとることが多いでしょう

1. 最上位階層のフォルダは全員がアクセスできなければなりません
2. 二階層目の部門別フォルダは、原則部門別グループにアクセス権を与えます。また二階層目に全部門アクセス可能な共通フォルダも作ります。
3. 上位二階層・三階層目ぐらいまでのフォルダは、専ら管理者の分類用として、一般ユーザが書き込めないようにします。

一般ユーザによる書込みを制限するのは、勝手にフォルダやファイルが作成されるのを放置していると収拾がつかなくなるからです。
勝手に作成したフォルダであっても業務上のデータが書き込まれるや否や、たちまち既得権が発生し、システム管理者といえども勝手にデータを消せなくなってしまいます。
作らせないのが一番であり、それを確実にする方法はちゃんとあるのです。

アクセス権設定パターン「CREATOR OWNERの権限を「変更」に限定」

例えば、E:ドライブの E:\Share を共有フォルダとする場合、下記のようにフォルダのアクセス権を設定します。例で用いられるグループ名・ユーザ名は、
こちらの例で提示しているユーザ・グループです。

通常、新しいドライブをNTFSフォーマットすると、CREATOR OWNER にはデフォルトで「フルコントロール」が割り当てられます。
このままでもほとんど大丈夫なのですが、多数のユーザが利用するファイルサーバを楽に管理するには、CREATOR OWNERの権限を「変更」に
落としてしまうことを推奨します。というのも、ここをフルコントロールにしておくと、一般ユーザが自分で作成したフォルダのアクセス権を変更できてしまうため、
システム管理者(Administrators)からも見えないフォルダが出来てしまう恐れがあるからです。

※ CREATOR OWNER というのは仮想ユーザエントリで、フォルダ内にファイルやサブフォルダを作成した際に、実際に作成を行ったユーザに対して
権限が与えられます。

なお、ごくまれにファイルのアクセス権変更権限を必要とするアプリケーションが無いとも限りませんので、念のためご注意下さい

アクセス権設定パターン「適用先を『このフォルダ』に限定」

ここでのポイントは、全ユーザに読み取りと実行の権限を与える適用先を「このフォルダのみ」に限定するところです。
適用先を１フォルダに限定するということは、各サブフォルダに対しても権限を与えなければアクセスできず、一見面倒に思われます。
しかし、ここでの適用先にサブフォルダを含めてしまうと、全フォルダに対して読み取り権限を与えてしまうことになり、部門別・職階別の
アクセス制限が必要な場合、部門別フォルダのACLは素直に親フォルダから継承できなくなってしまいます。

アクセス権の親フォルダからの継承は、原則としてアクセス許可をサブフォルダ内で増やす場合には便利ですが、サブフォルダのセキュリティを親フォルダよりも厳しくする場合に面倒です。下記の３つの方法によらざるを得ません。

1. 上位フォルダのアクセス権の適用範囲を「このフォルダ」に限定することで、サブフォルダに及ばないようにする→上位フォルダのアクセスのみを許可できる
2. 上位フォルダのアクセス権の適用範囲がサブフォルダを含む場合、サブフォルダで上位フォルダのアクセス権を継承せず、アクセス権を再定義すれば、権限を制限できる
3. 上位フォルダのアクセス権の適用範囲がサブフォルダを含み、サブフォルダのアクセス権が上位フォルダを継承する場合でも、サブフォルダについてアクセス拒否のアクセス制御エントリを定義して、サブフォルダのアクセスを禁止できる

上記の三つの選択肢の中で、ファイルサーバ管理の初心者でもすぐに思いつき、一番よく使われるのが3番目と2番目であると思います。
しかし、将来サブフォルダが増えた際にも上位フォルダの甘いアクセス権限が引き継がれるため、アクセス制限の手間を忘れると情報漏えいの原因となりえます。
特に、フォルダ作成権限を部門ユーザに委譲している場合には、管理者の管理が行き届きません。

1.の方法を思いつく管理者がほとんどいないのは、アクセス権に適用先があるという事実が知られておらず、変更の方法も難しいからでしょう。

しかし、私たちがお奨めするのは、1.の方法です。この方法の場合、システム管理者が権限を追加しないかぎり、新しく作成されるサブフォルダの
アクセス権限は最小限(フォルダの作成者とシステム管理者のみ)にとどまります。