Q&A
ActiveDirectoryの管理初心者です。
設定がうまくできません。皆様の、お知恵を拝借したく、よろしくおねがいします。
●フォルダ構成
本社共有ー総務部
ー経理部
ー営業部
共有フォルダの直下にはファイル、
各部フォルダの配下にはサブフォルダとファイルがあります
●やりたいこと
総務部の庶務Aさん、Bさんに全てのフォルダ、ファイルに対して編集権限付与(庶務グループ作成済み)
各部のメンバーは共有フォルダ配下のファイル閲覧権限と各部フォルダの閲覧権限を付与
他部のフォルダの中身は閲覧不可としたい
※総務部は多数メンバーがいるため庶務以外の別グループを作ることはメンテナンスの観点からも現実的でない
●やったことの概要と困っていること
総務部を編集(アクセス)拒否、
総務部に所属している庶務メンバーのみ編集(アクセス)許可
とすると総務部で編集拒否しているため庶務も編集(アクセス)できませんでした。
そこで総務部は編集(アクセス)拒否を明示的に行わず(許可も拒否も行わない)、庶務のみ編集(アクセス)許可としたところ、総務部メンバーが他部門のフォルダにアクセスできてしまいます。編集はできないようでした。
また、権限付与がうまく当たりません。
例えば私に総務部メンバー権限付与してもgpresultで確認すると総務部権限が当たっていないです。
gpupdate/forceをかけて再起動しても変わらず、何十回かやっていると稀に更新される感じです。
●質問
①明示的に拒否設定を入れない場合のアクセス権限はどうなるのか?
②上手く設定するにはどうしたら良いか?
③なぜうまく設定が入らない(各部メンバーになりすましができない)のか?
ーーーーーーーーー
以下詳細
実際の構成
★共有フォルダ
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
(総務部グループ)
フォルダ、ファイルの閲覧許可
※1
(経理部グループ、営業部グループ)
フォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルの編集拒否
★総務部フォルダ:継承無効化
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
(総務部グループ)
フォルダ、サブフォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
※2
(経理部グループ、営業部グループ)
フォルダ、サブフォルダ、ファイルのフルアクセル拒否
★経理部フォルダ:継承無効化
(庶務グループ)
フォルダ、サブフォルダ、ファイルの編集許可
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
(総務部グループ)
フォルダ、サブフォルダ、ファイルのアクセス権変更拒否
フォルダの削除拒否
※3
(経理部グループ)
フォルダ、サブフォルダ、ファイルの閲覧許可
フォルダ、サブフォルダ、ファイルの編集拒否
(営業部グループ)
フォルダ、サブフォルダ、ファイルのフルアクセル拒否
どなたかアドバイスください。
よろしくおねがいします。
回答1件
0
Windowsのアクセス権は、
・何も設定していなければ拒否
・許可だけを設定していれば許可
・拒否を設定していれば(許可を設定していても)拒否
です。
なので
総務部は編集(アクセス)拒否を明示的に行わず(許可も拒否も行わない)、庶務のみ編集(アクセス)許可
こちらが正しい設定のはずですが、
他部門のフォルダにアクセスできてしまいます。編集はできないようでした。
というのであればその「他部門のフォルダ」に何らかの許可設定がされているのでしょう。上からの継承を含め不要なものを探して消してください。
また、権限付与がうまく当たりません。
例えば私に総務部メンバー権限付与してもgpresultで確認すると総務部権限が当たっていないです。
こちら分かりません。ただ「私に総務部メンバー権限付与」という言葉の意味が分かりません。具体的に何を行ったのでしょうか。
できることは
・ActiveDirectoryで「私を総務部のメンバーにする」
・Windowsの特定のフォルダ/ファイルで「総務部のメンバーに対する権限を付与」
です。
投稿2021/06/12 05:52
総合スコア3047
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/06/12 12:12
2021/06/13 06:55