ファイルサーバーとクラウドストレージのアクセス権限の管理:Windows編
今年は、外出がなかなか難しいこともあってか、桜が特に綺麗に感じます。HDDと一緒にお花見、最高ですね。
人は駄目でも、データは密にしたいものです。
さて本日は、WindowsServerのアクセス権限管理について解説します。
ファイルサーバーのアクセス権限の管理では、基本的に共有設定による管理でユーザーのアクセス制御を行います。
WindowsのNTFSというファイルシステムでは、ふたつの共有設定が可能です。
共有アクセス権
簡単な設定で共有が可能です。
権限の種類も3種類とシンプルです。
・フルコントロール
・変更
・読み取り
NTFSアクセス権
かなり細やかなアクセス権の設定が可能です。
権限は13種類もあります。
・フルコントロール
・フォルダーのスキャン/ファイルの実行
・フォルダーの一覧/データの読み取り
・属性の読み取り
・拡張属性の読み取り
・ファイルの作成/データの書き込み
・フォルダーの作成/データの追加
・属性の書き込み
・拡張属性の書き込み
・サブフォルダーのファイルの削除
・削除
・アクセス許可の読み取り
・アクセス許可の変更
・所有者の取得
企業で利用する場合、大抵の場合は下記のように使い分ける場合が多いです。
①共有アクセス権
共有したいTOPフォルダにEveryone、フルコントロールを設定
②NTFSアクセス権
フォルダごとにユーザーやグループ単位のアクセス許可を設定
両方設定されている場合、両方で許可されている場合しかアクセスすることができないため、①共有アクセス権で共有したいTOPフォルダを全員に共有(Everyone/フルコントロール)し、②NTFSアクセス権でアクセスを許可するグループやユーザーを設定をする場合が多いです。
イメージとしては、下記のような感じです。
①共有アクセス権:下のような共有フォルダのTOPフォルダを作成
②NTFSアクセス権:誰がアクセスして良いか制御する
共有アクセス権の設定
shareというフォルダを共有名『share』という名前で共有した例です。
これで、外部からこのフォルダが見えるようになります。
NTFSアクセス権の設定
このままだと誰でもアクセスできてしまう状態なので、NTFSアクセス権で、shareフォルダにアクセス権を設定します。ユーザーやグループを指定し、フルコントロール(最強権限)や、読み取り専用など許可したい権限を設定します。
この画面が非常に複雑でわかりづらく、アクセス権の概念や、継承の概念、適用先など色々と理解しなくてはいけない項目が多く混乱しがちですが、
まず基本的な設定として見るべきところは赤枠で囲ったところだけでOKです。
説明
・一番左の人型アイコン:1人=ユーザー / 2人=グループです
・種類:"許可"か"拒否"が設定できます
・プリンシパル:ユーザーやグループのことです
・アクセス:許可する操作です
・継承元:
"なし"の場合:このフォルダに権限が設定されています
継承元のパスが記載:上位のフォルダから継承されていることになります
・適用先:この設定をサブフォルダなど下位のフォルダにも適用するか
おすすめの方針
・種類:ホワイトリスト方式の"許可"のみで設計する
・プリンシパル:グループのみで設計することで組織変更時や社員の入退者時の変更がグループのメンバー変更のみで済みます
・アクセス:"フルコントロール"と"読み取りと実行"のみで設計するとシンプルになります
・継承元:共有フォルダのTOPのみ、もしくはサブフォルダのみに権限を設定する方針がおすすめです
・適用先:"このフォルダー、サブフォルダーおよびファイル"のみ利用する方針がおすすめです
詳細な説明は割愛しますが、シンプルで変更操作が少ない設計をすることでアクセス権限のメンテナンスや棚卸しが楽になります。
ただし、企業の文化によって細かなアクセス権限の管理が必要な場合もあるため、会社の情報共有方針にあったアクセス権限の設定ルールを作っていく必要があります。
アクセス権の設定に出てくるグループとユーザーって?
ユーザー:ファイルサーバーのフォルダにアクセスするユーザーです。
グループ:そのユーザーをまとめて管理するための仕組みです。
ActiveDirectory(以下AD)を利用している場合は、AD上でこのグループを管理することになります。
ADでは、WindowsのPC端末を管理する上で、色々な設定を共通で管理することができますが、ファイルサーバーの観点ではグループとユーザーを管理する役割を任せている形になります。
また、ADを利用していない環境では、WORKGROUP環境になります。
WORKGROUP環境の場合、そのWindowsサーバー上のみでユーザーやグループを管理することになります。
他のサーバーやクライアントPC端末とはユーザーやグループ情報を共有していないため、そのサーバーで作成されたアカウントの情報をクライアント端末に入力し、ログインする形になります。
AD環境の場合は、自分の端末のWindowsへのログインユーザーの情報を利用し、ファイルサーバーにアクセスするため、上のような認証ダイアログが出ずにログインすることが可能です。
また、WindowsではないNASでAD連携もしていない場合、上記と同様にクライアント端末ではNAS上で作成したユーザーとパスワードを認証情報として入力することで、フォルダへのアクセスができるようになります。
この認証情報は、コントロールパネルの"資格情報マネージャー"という機能で保存されており、一度覚えさせてしまえば、以降はこの情報を使って自動的にログインする仕組みになっています。
今回は、複雑なアクセス権の管理を簡単に説明しようと努力したつもりですが、全然上手に説明できた気がしません・・・。
クラウドストレージでは、もっとシンプルな概念でのアクセス権の管理ができたり、逆にもっとややこしい設定ができたりするのですが、また別の記事で紹介できればと思います。
ここからは営業です!\(^_^)/
ARアドバンストテクノロジ株式会社では、ファイルサーバーやクラウドストレージの分析・可視化・データ移行ツール『ZiDOMA data』を提供しています。
『ZiDOMA data』は、ファイルサーバーのアクセス権の可視化を行うことができる製品で、ファイルサーバーの中身を分析し、容量削減や整理(断捨離)を行ったり、新しく導入したNASへのデータ移行機能などを利用できます。
この記事が気に入ったらサポートをしてみませんか?