for e's laboratory
パソコン実習室
共有とアクセス権 - windowsのアクセス制御
≪ previous next ≫

W.共有設定手順

 リモート ユーザーがサーバーのフォルダ(ファイル)にアクセスするには、そのフォルダ(ファイル)にリモート ユーザーのアクセス許可が設定済みでなければなりません。しかし、やみくもにアクセス許可を与えてしまうのも、セキュリティ上問題があります。
 ここではセキュリティを保ちながら、サーバーのフォルダ(ファイル)にリモート ユーザーのアクセス許可を設定する手順を考えてみましょう。

【 簡易ファイルの共有 (共有ウィザードを使用) 】
 windows XP, vista, 7 等の、serverではない製品の場合、共有に関する設定はデフォルトで[簡易ファイルの共有を使用する](共有ウィザードを使用する)が有効になっています。便利な機能ですが、セキュリティが甘くなってしまうため無効にすることを推奨します。
具体的な設定方法は、[W.2.アクセス許可を設定する]を参照して下さい。

※ Home Edithion, Basic Editionは[簡易ファイルの共有を使用する](共有ウィザードを使用する)を無効に
  できません。本章は、Home Edition, Basic Edition は対象外になります。

※ 本章では、情報を提供する(共有設定)側を便宜上サーバーと表記しています。
  リモート ユーザー同士の場合は、情報提供側をサーバーと読み替えて下さい。


W.1.リモート ユーザーを作成する (ワーク グループのサーバー)

※※ この項はドメインに所属しているサーバーには不要です。
   ドメイン所属サーバーの場合は、[W.2.アクセス許可を設定する]を実施して下さい。
※ ドメイン ネットワークではドメイン コントローラーがアカウント名とパスワードを一元管理します。

 ワーク グループを構成している場合は、リモート ユーザーのアカウント追加やパスワード設定を各サーバーごとに行います。
 リモート ユーザーのアクセスを許可しようとするサーバーでは、リモート ユーザーの認証・アクセス制御のために、リモート ユーザーのアカウント名とパスワードを知っている必要があります。次の手順でリモート ユーザーを作成します。
  1. 下記手順を参考に、新アカウント作成のウィンドウを開く。
    • windows XP
      [コントロール パネル] - [ユーザー アカウント] - [新しいアカウントの作成]を選択。
    • windows vista
      [コントロール パネル] - [ユーザー アカウント] - [別のアカウントの管理] -
      [新しいアカウントの作成]を選択。
    • windows 2000 server
      [プログラム] - [管理ツール] - [コンピュータの管理] で
      [ローカルユーザーとグループ] - [ユーザー] を開き、[操作] - [新しいユーザー] を選択。

  2. 次の要領で新しいアカウント(ユーザー)を作成する。
    • アカウント(ユーザー)名
      リモート ユーザー機と同じアカウント(ユーザー)名にする。
    • パスワード
      リモート ユーザー機と同じパスワードを設定する。
    • 所属グループ
      サーバーの実情に沿って設定する。リモート ユーザー機と違っても構わない。
      リモート ユーザー機ではadministratorsグループであっても、セキュリティの観点からサーバーではusersグループとする事が望ましい。

【 参考 】
アカウント(ユーザー)を作成しただけでは、そのサーバー上に(My)Documentsフォルダは作られません。  当該アカウント(ユーザー)名での初回ログオン時に、そのアカウント(ユーザー)の(My)Documentsフォルダが作られます。


W.2.アクセス許可を設定する

 アクセスを許可するフォルダに、リモート ユーザーのアクセス権を設定します。

※ windowsのバージョンと設定状況によって、以下の操作中に[ユーザー アカウント制御]の確認メッセー
  ジが出る事があります。メッセージを確認し、適切な続行処理を行って下さい。

W.2.1.事前設定

 セキュリティ強化のため下記手順を参考に、[簡易ファイルの共有を使用する](共有ウィザードを使用する)を無効にします。
▼ サーバー製品には事前設定は不要です。
  • windows XP の場合
    1. 任意のフォルダを開く。
    2. [ツール] - [フォルダオプション]を選択し[表示]タブをクリック。
    3. [詳細設定] 欄にある[簡易ファイルの共有を使用する]のチェックを外す。
    4. [OK]をクリック。
  • windows vista の場合
    1. 任意のフォルダを開く。
    2. 何れかの方法で[フォルダ オプション]を開き[表示]タブをクリック。
      • [ツール] - [フォルダ オプション]を選択。
      • [整理] - [フォルダと検索のオプション]を選択。
    3. [詳細設定]欄にある[共有ウィザードを使用する]のチェックを外す。

W.2.2.フォルダ共有とアクセス許可の設定

 リモート ユーザーに公開するフォルダの共有設定と、リモート ユーザーに許可するアクセス種類を設定します。
  1. 該当フォルダを右クリックし、[共有とセキュリティ](共有...)を選択する。
    ※ [フォルダのプロパティ]の[共有]タブが開きます。
  2. 共有を有効にする。
    ※ [共有]はネットワーク上にフォルダを公開することを意味します。
    • windows XP, windows 2000 serverの場合
      1. [このフォルダを共有する]を選択する。
    • windows vistaの場合
      1. [詳細な共有]をクリックする。
        ※ [詳細な共有]が開きます。
      2. [このフォルダを共有する]にチェックを付ける。
  3. [共有名]欄にネットワーク上に公開する名称を入力する。
    ※ デフォルトでフォルダ名が入力されています。
    ▼ フォルダを共有にした時の[共有のアクセス権]は、全てのリモート ユーザー(Everyone)に[読み取
      り許可]が設定されています(デフォルト)。
    ▼ リモート ユーザーに[読み取り権]だけ付与する場合は、[W.2.3.セキュリティのアクセス許可]を
      確実に設定することで以降は省略可能です。その時はこのまま最終項目の[共有のアクセス許可設
      定を適用する]に進みます。
  4. [アクセス許可]をクリックする。
    ※ フォルダのアクセス許可が開きます。
  5. [共有アクセス許可]の[グループ名またはユーザー名]欄にある[Everyone]を選択し[削除]をクリックする。
  6. [追加]をクリックする。
    ※ [ユーザーまたはグループの選択]が開きます。
  7. ドメインの場合は[場所]をクリックして、ドメイン名を選択する。
    ▼ ワーク グループの場合は、この項目はパスする。
  8. ユーザー(グループ)の選択と追加を行う。
    • windows XP, vistaの場合
      1. [詳細設定]をクリックする。
        ※ [ユーザーまたはグループの選択]が開きます。
      2. [今すぐ検索]をクリックする。
      3. 表示されるユーザー名、グループ名から該当のリモート ユーザー名を選択し[OK]をクリックする。
      4. [選択するオブジェクト名・・・・]欄に選択したリモート ユーザー名がある事を確認して[OK]をクリックする。
    • windows 2000 serverの場合
      1. 表示されるユーザー名、グループ名から該当のリモート ユーザー名を選択し[追加]をクリックする。
      2. ※ 該当ユーザー(グループ)が複数ある時は、選択・追加を繰り返します。
      3. 追加したユーザー(グループ)名がリストにあることを確認して[OK]をクリックする。
  9. リモート ユーザーに付与(許可)するアクセス種類(フル コントロール、変更、読み取り等)を選択して[OK]をクリックする。
  10. [共有のアクセス許可]設定を適用する。
    • windows XP, 2000 server の場合
      [適用]をクリックする。
    • windows vista の場合
      [OK]をクリックする。
 [フォルダのプロパティ] の画面はまだ閉じません。そのまま[セキュリティ(ローカル)のアクセス許可]に進みます。

W.2.3.セキュリティ(ローカル)のアクセス許可を設定する

 セキュリティのアクセス権は、サーバーに直接(ローカル)ログインしたユーザーと、ネットワーク経由(リモート)ユーザーの両方に作用します。
 ここではリモート ユーザーの外に、フォルダの所有者またはサーバーの管理者(Administrator)のアクセス権を設定します。
  1. [セキュリティ]タブを選択し、[詳細設定]([共有...])をクリックする。
  2. windows vistaは[編集]をクリックする。
  3. 次の項目のチェックを外す。
    • windows 2000 serverの場合
      [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする]
    • windows XPの場合
      [子オブジェクトに適用するアクセス許可エントリを親から継承し、・・・・]
    • windows vistaの場合
      [このオブジェクトの親からの継承可能なアクセス許可を含める]
  4. セキュリティの警告[このオプションを選択すると、子オブジェクトに適用される・・・]あるいは[継承可能なアクセス許可を親からこのオブジェクトに・・・・・]が表示されるので[削除]をクリックする。
  5. [アクセス許可エントリ]欄からエントリが消えたことを確認して[OK]をクリック。
  6. セキュリティの警告[・・・へのアクセスをすべて拒否しました(すべてのアクセスが禁止されました)・・・所有者だけがアクセス許可を変更できます。]が表示されるので[はい]をクリックする。
  7. windows vistaは次の操作をする。
    1. もう一度[OK]をクリックする。
    2. [編集]をクリックする。
  8. [追加]をクリックする。
    ※ [ユーザーまたはグループの選択]が開きます。
  9. ドメインの場合は[場所]をクリックしてドメイン名を選択する。
    ※ ワーク グループの場合はこの項目はパスする。
  10. ユーザー(グループ)の選択と追加を行う。
    • windows XP, vistaの場合
      1. [詳細設定]をクリックする。
        ※ [ユーザーまたはグループの選択]が開きます。
      2. [今すぐ検索]をクリックする。
      3. 表示されるユーザー名、グループ名から自分のユーザー名(または Administorators)を選択し[OK]をクリックする。
      4. もう一度[詳細設定]をクリックする。
        ※ [ユーザーまたはグループの選択]が開きます。
      5. [今すぐ検索]をクリックする。
      6. 表示されるユーザー名、グループ名からアクセスを許可するリモート ユーザー名を選択し[OK]をクリックする。
      7. [選択するオブジェクト名・・・・]欄に自分のユーザー名(または Administorators)とリモート ユーザー名がある事を確認して[OK]をクリックする。
    • windows 2000 serverの場合
      1. 表示されるユーザー名、グループ名から自分のユーザー名(または Administorators)を選択し[追加]をクリックする。
      2. さらにアクセスを許可するリモート ユーザー名を選択して[追加]をクリックする。
      3. 追加したユーザー(グループ)名がリストにあることを確認して[OK]をクリックする。
  11. [グループ名またはユーザー名]欄で自分のユーザー名(または Administorators)を選択し[フル コントロール]にチェックを入れる。
  12. [グループ名またはユーザー名]欄でリモート ユーザー名を選択し、許可するアクセス種類(フル コントロール、変更、読み取り等)を選択する。
    ※ 特殊なアクセス許可を設定する場合は[詳細設定]で行う。
  13. セキュリティのアクセス許可設定を終了する。
    • windows XP, windows 2000 serverの場合
      [OK]をクリックする。
    • windows vista の場合
      1. [OK]をクリックする。
      2. [閉じる]をクリックする。


【 参考 】
▼ サーバーあるいはドメイン コントローラーに、リモート ユーザーのアカウントが存在しないとアクセ
  スは拒否されます。
▼ 設定パスワードに相違があると、アクセス時に[ユーザー名とパスワード]の入力画面が表示されます。
▼ ドメイン所属の場合であっても、サーバーにリモート ユーザーのアカウント名を登録してアクセスを
  許可することは可能です。この方法はドメインに所属していないリモート ユーザーに有効です。




≪ previous [[ 共有とアクセス権 ]] next ≫