2025/07/08 一部修正実施
フォルダのアクセス権設定で実際に使えるパターンをご紹介します。
まずはフォルダ階層の上位に位置する分類フォルダのアクセス権設定例を示します。
分類フォルダのセキュリティ要件
一般的に次のような構成をとることが多いでしょう。
- 最上位階層のフォルダは全員がアクセスできなければなりません。
- 二階層目の部門別フォルダは、部門別グループにアクセス権を与えるのが原則です。また二階層目に全部門アクセス可能な共通フォルダも作ります。
- 上位二階層・三階層目ぐらいまでのフォルダは、専ら管理者の分類用として一般ユーザが書き込めないようにします。
一般ユーザによる書込みを制限するのは、勝手にフォルダやファイルが作成されると収拾がつかなくなるからです。勝手に作成したフォルダであっても業務上のデータが書き込まれるや否や、たちまち既得権が発生してシステム管理者といえどもデータを消せなくなってしまいます。作らせないのが一番であり、それを確実にする方法はちゃんとあるのです。
アクセス権設定パターン:CREATOR OWNERの権限を「変更」に限定
例えば、E:ドライブの E:\Share を共有フォルダとする場合、次のようにフォルダのアクセス権を設定します。例で用いられるグループ名・ユーザ名は、こちらの例で提示しているユーザ・グループです。
E:\
ドライブの最上位フォルダでは以下のACEを定義します。
グループ | 適用先 | アクセス権 |
---|---|---|
_all_user& (全ユーザ) | このフォルダのみ | 読み取りと実行 |
Administrators | このフォルダ・サブフォルダとファイル | フルコントロール |
CREATOR OWNER | サブフォルダとファイル | 変更 |
通常、新しいドライブをNTFSフォーマットすると、CREATOR OWNER にはデフォルトで「フルコントロール」が割り当てられます。
このままでもほとんど大丈夫なのですが、多数のユーザが利用するファイルサーバを楽に管理するには、CREATOR OWNERの権限を「変更」に落としてしまうことを推奨します。というのも、ここをフルコントロールにしておくと、一般ユーザが自分で作成したフォルダのアクセス権を変更できてしまうため、システム管理者(Administrators)からも見えないフォルダが出来てしまう恐れがあるからです。
CREATOR OWNER というのは仮想ユーザエントリで、フォルダ内にファイルやサブフォルダを作成した際に、実際に作成を行ったユーザに対して権限が与えられます。
なお、ごくまれにファイルのアクセス権変更権限を必要とするアプリケーションが無いとも限りませんので、念のためご注意下さい。
アクセス権設定パターン「適用先を『このフォルダ』に限定」
E:\Share\
ここが共有フォルダのトップになります。上位フォルダのACLを継承して以下を追加します。
グループ | 適用先 | アクセス権 |
---|---|---|
_all_user& (全ユーザ) | このフォルダのみ | 読み取りと実行 |
ここでのポイントは、全ユーザに「読み取りと実行」の権限を与える適用先を「このフォルダのみ」に限定するところです。
適用先を1フォルダに限定するということは、各サブフォルダに対しても権限を与えなければアクセスできず、一見面倒に思われます。しかし、ここでの適用先にサブフォルダを含めてしまうと、全フォルダに対して読み取り権限を与えてしまうことになり、部門別・職階別のアクセス制限が必要な場合、部門別フォルダのACLは素直に親フォルダから継承できなくなってしまいます。
アクセス権の親フォルダからの継承は、原則としてアクセス許可をサブフォルダ内で増やす場合には便利ですが、サブフォルダのセキュリティを親フォルダよりも厳しくする場合に面倒です。次の3つの方法によらざるを得ません。
- 上位フォルダのアクセス権の適用範囲を「このフォルダ」に限定することで、サブフォルダに及ばないようにする→上位フォルダのアクセスのみを許可できる
- 上位フォルダのアクセス権の適用範囲がサブフォルダを含む場合、サブフォルダで上位フォルダのアクセス権を継承せず、アクセス権を再定義すれば権限を制限できる
- 上位フォルダのアクセス権の適用範囲がサブフォルダを含み、サブフォルダのアクセス権が上位フォルダを継承する場合でも、サブフォルダについてアクセス拒否のアクセス制御エントリを定義して、サブフォルダのアクセスを禁止できる
上三つの選択肢の中で、ファイルサーバ管理の初心者でもすぐに思いつき、一番よく使われるのが3番目と2番目であると思います。しかし、将来サブフォルダが増えた際にも上位フォルダの甘いアクセス権限が引き継がれるため、アクセス制限の手間を忘れると情報漏えいの原因となりえます。
特にフォルダ作成権限を部門ユーザに委譲している場合には、管理者の管理が行き届きません。
1.の方法をとる管理者がほとんどいないのは、アクセス権に適用先があるという事実が知られておらず、変更の方法も難しいからでしょう。
私たちがお奨めするのは、1.の方法です。この方法の場合、システム管理者が権限を追加しないかぎり、新しく作成されるサブフォルダのアクセス権限は最小限(フォルダの作成者とシステム管理者のみ)にとどまります。