Windows Server 2003 のアクセス権について

この記事は、自分用の覚え書きです。

■「セキュリティ」タブのアクセス権の内容
・フルコントロール
フォルダやファイルを開く、更新（フォルダ名・ファイル名変更含む）、新規作成、コピー、切り取り、削除、実行ファイル（拡張子 exe や bat のファイル）の実行、アクセス権の変更、所有権の取得

・変更
フォルダやファイルを開く、更新、新規作成、コピー、切り取り、削除、実行ファイルの実行

・読み取りと実行
フォルダやファイルを開く、コピー、実行ファイルの実行

・フォルダの内容の一覧表示
フォルダを開く（ファイルは開けられない）

・読み取り
フォルダやファイルを開く、コピー

・書き込み
新規作成、更新
（実際に更新するには「読み取り」も同時に「許可」にする。ファイルを開けないと更新できない）

・特殊なアクセス許可
「詳細設定」でアクセス権や継承を細かく設定するとチェックが入る。

■アクセス権設定の例
フォルダ「A」の中にフォルダ「過去プロジェクト」と「現在プロジェクト」がある。
管理担当者はフォルダ「A」内の全てのデータを「変更」許可。
管理担当者以外は、フォルダ「A」、「過去プロジェクト」は、閲覧できるだけ。

「現在プロジェクト」については次のようにする。
・フォルダを開けることは、管理担当者以外もできる。
・管理担当者以外は、「現在プロジェクト」の削除や切り取りは不可。
・「現在プロジェクト」のさらに下にあるフォルダは、フォルダごとに「変更」と「読み取り」ができるグループを変える。

1.フォルダ「A」で以下を行う。
最初にサーバーで管理担当者を PowerUser へ、その他のメンバーを Users へ登録しておく。
共有タブのアクセス許可で、PowerUser と Users を変更許可。
セキュリティタブで、Everyone を読み取りと実行。 PowerUser を変更許可。

2.「過去プロジェクト」で以下を行う。
セキュリティタブで Users を読み取りと実行。 PowerUser を変更許可。
親からの継承無しにする。

3.「現在プロジェクト」で以下を行う。
セキュリティタブで PoweUuser を変更許可。
Everyone を読み取りと実行にして、適用先を「このフォルダとファイル」にする。
親からの継承無し。

・「現在プロジェクト」のなかの各フォルダについては、以下を行う。
なお、コンピュータの管理で各フォルダごとの変更と読み取りのグループを作っておく。
グループ名は、「Q プロジェクト_変更」「Q プロジェクト_読み取り」というように、フォルダ名とアクセス権の種類を組み合わせた呼称にしておくとグループがもつアクセス権がわかりやすい。
PoweUuser を追加して変更を許可。
親からの継承を無しにする。
あらかじめ作っておいた変更と読み取りのグループを、フォルダごとに追加して、それぞれ変更の権限と読み取り権限を与える。

■アクセス権覚え書きあれこれ
・「許可」にしてなければ、「拒否」を設定していなくても拒否扱いになるのが基本。

・許可と拒否なら、拒否の方が優先される。

・1つのフォルダに複数のグループで異なるアクセス権を与えて、それぞれのグループに同一メンバーが含まれているとき、アクセス権は、その内容の「和」になる。
X グループは「変更」許可。 Y グループは「読み取り」。両方にいるメンバーは、読み取り権限に変更権限が足されたとして「変更」許可になる。

例:ユーザー太郎が、グループ X およびグループ Y に属していて、フォルダ A に対して X と Y にアクセス権を設定する場合。
フォルダ A の「共有」タブで、グループ X について「変更」を「許可」にチェックすると、グループ Y が「読み取り」になっていても、ユーザー太郎はフォルダ A では「変更」の権利を行使できる。
（グループ Y が「読み取り」であっても、「変更」拒否にはなっていないから）
グループ Y について「読み取り」許可に加えて「変更」を「拒否」すると、ユーザー太郎はフォルダ A で「変更」できなくなる。
グループ X と Y に属しているユーザー太郎に対しては、グループ Y が「変更」拒否の設定になったため、「拒否」の方が優先される。

・フォルダの下にフォルダを新規作成すると、新しいフォルダのアクセス権は、上位のフォルダと同じになる。
（アクセス権の継承）

・標準の状態では、上位のフォルダで許可していない権限は、下位のフォルダを「継承無し」にして許可を入れてても許可されない。
（フォルダの「セキュリティ」の「適用先」が、「このフォルダ、サブフォルダおよびファイル」が標準になっているから。）

・「読み取り」と「書き込み」を許可してもそれだけでは、アプリケーションによっては更新ができない。「削除」も許可することで更新ができるようになる。（Excel や Word）

・オフラインファイルなどでサーバーとデータ同期をとるメンバーについては、「削除」を許可しておかないと同期のエラーがおきる。
（手元で削除したデータを、同期の際にサーバー側では削除できないから）

・「ファイルやフォルダの切り取り（移動）はできて、削除はできない」というアクセス権は設定できない。切り取り（移動）とは、「コピーして元のファイルを削除すること」だから。

（Windows Server 2003 R2）