ソフマップ・ドットコム

Windows Server での仮想環境( Windows Server 2012 と SCVMM )での検証や勉強した事を書き綴る技術色の強いブログです。

特定フォルダへのアクセス制限を設定する。


ファイルサーバなどには様々なフォルダがありますが、そのフォルダに全てのユーザがアクセスできるのは、セキュリティ上、あまり、よろしくありません。例えば、アルバイトのユーザが社員用の重要なフォルダの中身を見たり出来るのは避けたいですね。
今回は、特定のフォルダにアクセス制限をかけ、Active Directory に属している、特定のグループのユーザのみがアクセスできるように設定します。
今回は以下のような環境での例を解説します。
・ファイルサーバの中の営業部フォルダ
・Adminisrtators と営業部のグループに属するユーザのみがアクセスできる。
前回の記事で作成した営業部グループを使用する。
▽ まずは、アクセス制限をかけるフォルダを作成し共有の設定をします。
フォルダを作成し、営業部と名前を付ける。
営業部というフォルダを作成
出来たフォルダを右クリックし、プロパティから共有タブを開き、詳細な共有をクリックすると以下のような画面が現れるので、上部の「このフォルダを共有する」にチェックを入れ、「アクセス許可」をクリックする。
「このフォルダを共有する」にチェックを入れ、「アクセス許可」をクリック
共有アクセス許可の画面でグループ Everyone を選択し、削除をクリック。
 Everyone を選択し、削除
「追加」ボタンをクリックする。
追加ボタンをクリック
下記の画面が表示されるので、場所の指定の箇所が、ドメイン名になっているのを確認し「詳細設定」をクリックする。
「詳細設定」をクリック
検索ボタンをクリックすると、以下のようにユーザとグループの一覧が表示されるので、営業部のグループを選択し、ダブルクリックする。
営業部のグループを選択しダブルクリック
下記の画面のように、営業部が選択されているのを確認し OK をクリック。
営業部が選択されているのを確認
すると、再度、共有アクセス許可の画面が表示される。
グループ名またはユーザ名の欄に、営業部が選択されているのを確認し、営業部のアクセス許可の欄で「変更」にチェックを入れ、適用 → OK の順にクリックする。
そして、詳細な共有の画面でも適用 → OK をクリックする。
営業部のアクセス許可の欄で「変更」にチェック
次に、セキュリティのタブを選択。グループ名またはユーザ名の所に、先ほど削除した、Everone が表示されているのを確認し「詳細設定」をクリック。
「詳細設定」をクリック
えいぎょう部のセキュリティの詳細設定の画面で、アクセス許可エントリの欄に表示されている、Everyone を選択し「アクセス許可の変更」をクリックする。
572.jpg
すると「アクセス許可エントリの詳細を表示または編集するには、エントリを選択してから、編集をクリックしてください」と表示された画面が出るので、下の方にある「このオブジェクトの親からの継承可能なアクセス許可を含める」にチェックを入れて OK をクリックする。
このオブジェクトの親からの継承可能なアクセス許可を含める」にチェックを入れて OK
すると、Windows セキュリティの警告メッセージが表示されますが、追加をクリックする。
追加をクリック
再度、「アクセス許可エントリの詳細を表示または・・・」の画面が表示されるので、アクセス許可エントリのなかの Everone を選択し「削除」をクリックする。
Everone を選択し「削除」をクリック
一覧から、Everyone が削除されたのを確認して適用 → OK をクリックする。
適用 → OK をクリック
次に、共有のタブへ戻り「ネットワークのファイルとフォルダの共有」の部分で共有をクリックする。
共有をクリック
以下の画面のように、ユーザの検索を選択する。
ユーザの検索を選択
検索をクリックし、営業部をダブルクリックする。
検索をクリックし、営業部をダブルクリック
営業部が選択されているのを確認。
営業部が選択されているのを確認
下記の画面で、営業部のグループが追加されているのを確認し、読み取り / 書き込みを選択し共有をクリックする。
読み取り / 書き込みを選択
以下のように「このフォルダは共有されています。」と表示されるので、個別の項目の欄でパスを確認する。
個別の項目の欄でパスを確認
これで、共有フォルダにアクセス制限をかける設定が完了しました。
以下のように、営業部に所属していないユーザがフォルダ「営業部」へアクセスしようとすると、ネットワークエラーが表示され、アクセスする事が出来ません。
営業部に所属していないユーザがフォルダ「営業部」へアクセスしようとすると、ネットワークエラーが表示され、アクセスする事が出来ません
▽ アクセスできるユーザを設定する。
ここからは、営業部グループへユーザを追加し、「営業部」フォルダへアクセスできるように設定します。
Active Directory ユーザとコンピュータを開き、営業部のグループへ新規に所属させるユーザを選択する。
ここでは、 Remote Desktop01 というユーザを使用します。
ユーザ Remote Desktop01 を選択し、右クリックしてプロパティを選択する。
営業部のグループへ新規に所属させるユーザを選択
所属するグループタブを選択し、追加をクリック。
所属するグループタブを選択し、追加をクリック
グループの選択画面が表示されるので、詳細設定をクリックする。
586.jpg
以下の画面で、検索をクリックする。
検索をクリックする
グループの一覧の中から、営業部をダブルクリックする。
営業部をダブルクリック
営業部が選択されているのを確認し OK をクリックする。
<br />
営業部が選択されているのを確認
所属するグループの一覧に営業部が追加されました。
所属するグループの一覧に営業部が追加されました
これで、Remote Desktop01 ユーザで営業部のフォルダにアクセスできました。
591.jpg
以上で設定は完了です。



Facebook ページへの「いいね!」もお願いします。 Facebook ページで最新記事のお知らせと、外部サイトの紹介を行っています。
是非「いいね!」をしていただき、最新の情報を Facebook で受け取ってください。



コメントを残す

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>