Q&A
ドメイン環境ですか?また、PC単位での書き込みに言及しているように見えますが、ユーザ制御は関係しない環境ですか?加えて、ファイルサーバ側ではユーザ単位での共有アクセス権、NTFSアクセス権はどのように設定されているのでしょうか?さらに加えて、$を付与するファイルサーバの運用は基本しないと思いますが、何か理由はありますか
###前提・実現したいこと
前提として、LAN上にWindows Server2012があります。 機能はファイルサーバーです。
\\Server01 共有フォルダ+営業部 +総務部 +制作部+社員 +パート +SOHO+指示書 +納品物
サーバー内は、このようなフォルダ構成になっているとしてください。
例えば、制作部の社員のServer01上のユーザー名は、共有フォルダアクセス権があって他部のフォルダも閲覧できますが、パートさんやSOHOが使用するユーザー名に営業部や総務部のデータは見せられないので、この人のユーザー名にはServer01の共有フォルダのアクセス権を与えていません。
しかし、それではServer01の共有フォルダ内にアクセス出来ないため、SOHO$ や、パート$という共有を作成し、パートさんやSOHOが使用するユーザー名のアクセス権を設定。サーバーへの接続は
\Server01\SOHO$(共有フォルダ\制作部\SOHO)
\Server01\パート$(共有フォルダ\制作部\パート)
で行わせています。
さらに、納品物$(共有フォルダ\制作部\SOHO\納品物) という共有も作成してあります。 SOHOフォルダは読み取りと実行のアクセス権なので、継承は無効にしてあり、アクセス権をフルコントロールにしてあります。
なお、SOHOはVPN経由でサーバーに接続します。VPN以外の出入り口はなく、サーバーは一般には公開していません。
###発生している問題・エラーメッセージ
\Server01\SOHO$ で接続後、その中の納品物フォルダへ移動し、ファイルの書き込みをしようとすると
「対象のフォルダへのアクセスは拒否されました この操作を実行するアクセス権が必要となります」
と表示されるServer01上のユーザー名が3つ確認されています。
\Server01\納品物$ でフォルダを開くと書き込みできますが、
\Server01\SOHO$で接続して下位の納品物へ移動して書き込もうとしてもアクセス権が必要との表示がでます。
###試したこと
1.検証のため、\Server01にユーザーを追加。SOHO$のアクセス許可にプリンシバルを追加しました。、また納品物$のアクセス許可にもプリンシバルを追加。こちらはフルアクセス権としました。
予備PCを用意し、追加したユーザでで\Server01に接続。
\Server01\SOHO$\納品物へ移動すると、納品物フォルダへ正常にファイルを書き込む事ができました。
SOHOフォルダは閲覧出来ますが書き込みできず、共有フォルダはアクセス権がないため閲覧不能で希望通りの動作です。
2.逆に、納品物$ のアクセス権エントリから追加したのと異常3つの合計4つのプリンシバルを削除しました。すると、4つのユーザー名でServer01に接続しているどのPCでも、\Server01\SOHO$へアクセス不能になりました。
3.もう一度、4つのプリンシバル納品物$に設定しました。権限は読み取りと実行にしました。すると、4つのユーザー名でServer01に接続しているどのPCでも\Server01\SOHO$ファイルの閲覧はできますが、\Server01\SOHO$納品物へのファイル書き込みはエラーがでました。
4.納品物$の4つのプリンシバルのアクセス権をフルコントロールに変更しました。すると、1の検証で追加したユーザーを使用するPCは\Server01\SOHO$\納品物へ移動すると書き込みができますが、異常3つのユーザーを使用するPCは、\Server01\SOHO$\納品物へ移動すると書き込みができませんでした。
上記検証から、サーバー上のアクセス権の変更に追随していますので、設定は正常と思われるのですが、3つのアカウントだけ設定されたアクセス権を無視して「アクセス権が必要」と表示される理由がわからず、困っております。
googleでアクセス権の設定などは調べましたが、設定したアクセス権を無視されるような事例に遭遇できなかったため、質問させていただきます。
なお、NTFSアクセス権はどうなっているのか? との修正依頼を頂きましたが、アクセス権の設定はすべて、サーバーマネージャーのファイルサービスと記憶域サービスの共有から設定しており、各フォルダのプロパティからそのフォルダやファイルの独自アクセス権設定は全く行っておりません。あらためて納品物$のフォルダのプロパティから共有やセキュリティを調べてみましたが、ファイルサービスと記憶域サービスで設定した値と同じです。
したがって、今回の質問は「共有アクセス権」を設定したフォルダ共有アクセス権の許可があるにも関わらず、許可が無いと判断される現象について、なにか情報がありましたら教えていただきたいと思います。
なお、そのフォルダはNTFSアクセス権については設定していないため、「NTFSアクセス権で弾かれている」という事はあたらないと思われます。
ありがとうございます。ドメインは使用していません。作業者1:PC1台なので、PC名でアクセス権制御しています。$を付与するファイルサーバの運用はネットを参考に設定したものです。一覧に表示されないので重宝しているのですが…NTFSアクセス権はフォルダアクセス権の事だと思いますが、こちらも対象PC毎に設定してあります
「$を付与するファイルサーバの運用はネットを参考に設定したものです。一覧に表示されないので重宝しているのですが」← Windowsネットワークの一覧に表示されないということをおっしゃっていますか? 「NTFSアクセス権はフォルダアクセス権の事だと思いますが、こちらも対象PC毎に設定してあります」←NTFSアクセス権はWindowsOSで使用されるものであり、ディレクトリだけでなくファイルも対象になります。「対象PC毎に設定」とありますが、アクセス権の評価をするのはファイルサーバ側なのファイル共有フォルダに設定すべきだと思います。
誤解を招いたら申し訳ありません。設定はすべてファイルサーバー上のフォルダに対してです。クライアントのPC名を「ユーザー」として登録し、クライアントPC毎にサーバー上のフォルダやファイルの権限を設定しています。
「クライアントのPC名を「ユーザー」として登録」 ← こちら何かの文献を参考に設定されていますか?こんな設定ができることを初めてしりました。文献を示してもらえますか?
??文献はありません。上記の例なら、営業部のPCをeigyo01 としてWindows Server2012にユーザー登録しているだけですが? そしてeigyo01はサーバー内のどのフォルダを読めるか設定しているだけです。上記もそのように書いたつもりですが、読めませんか?
WindowsOSにおいて、PCオブジェクトとユーザオブジェクトは別物です。通常はクライアント端末にログインしたユーザ名で評価されるものです。それをPC名(これはホスト名のことを言われている?)と同一のユーザ名をファイルサーバに登録の上、アクセス権を付与していると読めたので確認している次第です。
判りにくくて申し訳ありません。慣習的にパソコンを単位として、サーバーのアクセス権を設定する内部ルールになっていたもので、判りにくい表現になったら申し訳ないです。
各所で「共有アクセス権」「アクセス権」という単語がでてきています。これは明示的に使い分けていますか?共有ファイルの制御は「共有アクセス権」でまず評価され、後に「NTFSアクセス権」で制御されます。これを理解されているのであれば、ご質問文もそのように記載しないと適切な回答を得るのは難しいと思います。
追記しましたが、NTFSアクセス権は、フォルダーやファイルのプロパティーを開き、セキュリティータブから行うアクセス権設定と理解しています。私の環境では、どっちで設定したかの混乱を防ぐ意味と、アクセス権制御はフォルダ単位でよく、許可フォルダ内のファイルはすべて許可で制限の必要がないため、フォルダのプロパティからの設定はまったく行っていません。念のため確認しましたが、サーバーマネージャー設定のアクセス権と同じでした。
NTFSアクセス権の扱いを明確にしたいのではなく、ご質問者様が「アクセス権/許可」といわれているものが「共有アクセス権」なのか「NTFSアクセス権」かが明示的に示されていないため、どこの制限にかかっているのかが読み取れないことを指摘しています。
各フォルダのプロパティからそのフォルダやファイルの独自アクセス権設定は全く行っておりません と記載していますので、共有アクセス権のみの質問という事になるかと思いますので、その点強調追記しました。
では、ご質問者様としては、共有アクセス権でさえ許可していれば、NTFSアクセス権は関与しないという理解でいるとのことでしょうか?今回の問題がこれにあたるかは不明ですが、原因切り分けとしては重要な情報になると考えております。一度検証されてみては?前にも記載したとおり、「共有ファイルの制御は「共有アクセス権」でまず評価され、後に「NTFSアクセス権」で制御されます」という理解でいます。
サーバー個々にセッティングがあるでしょうが、今回の私のところのサーバーでは、共有アクセス権の制御以外行っておこなっていませんので、関与していないという理解です。また記載済みですが、念のためフォルダから設定するNTFSアクセス権も確認していますが、共有アクセス権と同じになっています。それでも共有アクセス権の「評価」とNTFSアクセス権の「制御」がズレることがあるのでしたら、それこそ、そのズレる事があるという情報が欲しいので、それをお持ちでしたら回答に入れていただきたいと思いますがいかがでしょうか?
あなたの回答
tips
プレビュー
