2025/07/08 一部修正実施
共有フォルダのトップの下には、通常、部門別の分類フォルダを作成します。
分類フォルダのセキュリティ要件
一般的には、次のような構成をとることが多いでしょう
- 各部門別のフォルダは、部門のメンバがアクセスでき、他部門のユーザはアクセスできないのが原則です。
- 例外として、各部門フォルダの下に公開用フォルダを作成し、他部門に公開するコンテンツを置きます。
- さらに例外として、全社共通領域や、部門またがりのプロジェクト用フォルダを用意します。
部門別フォルダのアクセス権として、各部門ユーザにフルコントロールや変更の強い権限を与える例が多いのですが、
そうしておくと、ユーザが勝手に部門別フォルダの直下に多数のファイルやフォルダを作成してしまう恐れがあります。
そこで、部門別フォルダのトップをはじめ上位の分類フォルダのアクセス権は一般ユーザに与えず、各部門の管理者ユーザにのみ与えることをおすすめします。
アクセス権設定パターン:管理者「変更」・ユーザ「読み取りと実行」
【参考パターン①】
特定のフォルダ(ここでは営業部フォルダ)以下において、管理者以外の一般ユーザがファイルやフォルダを作成・変更できないようにアクセス権の設定をする。
例えば、E:ドライブの E:\Share\Sales を営業部フォルダとする場合、下記のようにフォルダのアクセス権を設定します。例で用いられるグループ名・ユーザ名は、こちらの例で提示しているユーザ・グループです。
E:\Share\Sales
上位フォルダからアクセス権を継承し、次も追加します。
グループ | 適用先 | アクセス権 |
---|---|---|
_sales_user& (営業部社員) | このフォルダ・サブフォルダとファイル | 読み取りと実行 |
_sales_adm& (営業部管理者) | このフォルダ・サブフォルダとファイル | 変更 |
部門別分類フォルダは、各部門の管理者にだけ更新を許可し、一般ユーザには書き込みを禁じてしまいます。
部門別フォルダの直下にファイルを置くと、このファイルも管理者以外は書込み禁止になりますので、一般ユーザに書込みを許可するファイルは必ずサブフォルダを作り、よりセキュリティをゆるめたところに配置しなければなりません。
このように、管理者:「変更」と、一般ユーザ:「読み取りと実行」というパターンはよく使います。
アクセス権設定パターン:このフォルダ「読み取りと実行」+サブフォルダとファイル「変更」
【参考パターン②】
特定のフォルダ(ここでは提案書フォルダ)において、サブフォルダ以下のみ一般ユーザも自由に変更できるように、アクセス権の設定をする。
例えば、F:ドライブの F:\Share\Sales\提案書 フォルダに、「20090413_○×産業提案書」など案件別のサブフォルダを作成し、そこに営業資料を保管するとします。「提案書」フォルダのアクセス権は次のように設定します。
F:\Share\Sales\提案書
上位フォルダから継承し、次も追加します
グループ | 適用先 | アクセス権 |
---|---|---|
_sales_user& (営業部社員) | このフォルダのみ | 読み取りと実行 |
_sales_user& (営業部社員) | サブフォルダとファイル | 変更 |
同じ営業部社員グループに対して、二つのエントリが定義されている点に注目してください。
こうすることで、管理者以外の一般社員は、F:\Share\Sales\提案書フォルダの直下にはファイルもフォルダも作成・書込みできませんが、すべてのサブフォルダ以下については自由に書込みができるのです。実際、管理者が提案書フォルダに案件別のサブフォルダを作成し、各作業者がサブフォルダ内にファイルを作成するという運用形態となるでしょう。
このように、適用先を「サブフォルダとファイル」にして「変更」アクセス権を与えることで、1階層分のフォルダをユーザに散らかされずに済むのです。
アクセス権設定パターン「このフォルダのみ「読み取りと実行」」
【参考パターン③】
他部門とデータを共有するケースを想定して、特定のフォルダ(ここでは新製品企画フォルダ)の直下は他部門を含む管理者のみ変更ができ、サブフォルダ以下では他部門を含む一般社員が変更が可能なように、アクセス権の設定をする。
例えば、G:\Share\Sales\新製品企画 フォルダについて、他部門(開発部)とデータを共有したい場合、このようにアクセス権を設定します。
G:\Share\Sales
上位フォルダから継承し、次も追加します。
グループ | 適用先 | アクセス権 |
---|---|---|
_sales_user& (営業部社員) | このフォルダ・サブフォルダとファイル | 読み取りと実行 |
_sales_adm& (営業部管理者) | このフォルダ・サブフォルダとファイル | 変更 |
_dev_user& (開発部社員) | このフォルダのみ | 読み取りと実行 |
G:\Share\Sales\新製品企画
上位フォルダから継承し、次も追加します。
グループ | 適用先 | アクセス権 |
---|---|---|
_sales_user& (営業部社員) | サブフォルダとファイル | 変更 |
_sales_user& (開発部社員) | このフォルダのみ | 読み取りと実行 |
_dev_user& (開発部社員) | サブフォルダとファイル | 変更 |
_dev_adm& (開発部管理者) | このフォルダ・サブフォルダとファイル | 変更 |
上記のようにすることで、営業部フォルダの下でも「新製品企画」フォルダについては開発部社員がアクセスでき、特に開発部管理者は営業部管理者と同じく新製品企画フォルダ直下へのファイル・フォルダの作成・更新ができ、開発部・営業部の一般ユーザは末端フォルダ以下に対してのみ書込みができるという設定になります。
フォルダツリーの上位階層で、アクセスできないユーザに例外的にアクセス許可を追加する場合、アクセス許可の適用先を「このフォルダのみ」として追加するというのが、このパターンのポイントです。同様の方法は以下のケースなどで使えるでしょう。
- 社員のみがアクセスできるフォルダツリーの一部で、アルバイト・パート社員・取引先ユーザへのアクセス許可を追加する場合
- ○○部門社員のみがアクセスできるフォルダツリーの一部で、別の△△部門社員へのアクセス許可を追加する場合