こちらは素人です。余ったwindowsserver2016と再インストールしたwindows10のPCで
ネットワークを試しに作ってみようと考えています。
余ったサーバーとPCなので、いろんな設定が残っていて、通常の挙動と違うかも。
使ったハード(サーバー):I-Oデータ HDL-ZWSCRシリーズ LAN DISK(ブレードサーバー)
学校のような組織を参考にサーバー設定してますが、学校ではないので、そのまままねてもは使えません。??m(_ _)m
************************************前回まで
groupフォルダーのサブフォルダと、seitoグループについても、設定。
*********************************
今回:
前回あまり分かってなかった、サブフォルダのアクセス権付与、継承の有効化・無効化。
少し、時間をかけて考えてみる。
(実際のサーバーでの作業は、別途記載になるかも。)
参考サイト:ITtrip様『Windowsフォルダのアクセス権「継承の有効化」「継承の無効化」を図解で超分かり易く解説』
上記参考サイトを見ながら考える。感謝。
<・・・の前の前提のようなこと>
・フォルダのアクセス権の継承は、ファイルのプロパティの「セキュリティタブ」で設定。
(つまりドメインやセキュリティグループに関する設定)
・継承元は、上位フォルダを指す。(違う場合もあるのか?)
**************************
<原則>
・継承はデフォルトで有効化されている。
(だから、上位フォルダに、セキュリティグループを追加すると、デフォルトでは、下位フォルダにアクセス権を継承してしまう)
例:seitoフォルダに、セキュリティグループseitoを付けると、下位の02_a科フォルダにもセキュリティグループseitoがついてしまう。
<原則>
・継承の無効化は2つある。
(方法1)
継承の無効化1.継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。
継承されて作成されたアクセス権を残したまま「継承を無効化」します。
(今まであるアクセス権は使えるまま、今後の継承はしない)
(方法2)
継承の無効化2.このオブジェクトから継承されたアクセス許可をすべて削除します。
アクセス権を削除した状態で「継承を無効化」します。
(全ての継承を消してしまう。アクセスできるのはadministratorとかしかなく、手作業でアクセス権を付ける必要あり。)
************************************
<上記2つの方法での実際の付け方を考える>
方法1:
手順ア
上からアクセス権を付ける前に、付けたくないフォルダを明示的アクセス許可にしてしまう。
手順イ
上からアクセス権を付ける。・・・(後から継承がどうなっているのか分からないか。仕方ないか。)
方法2:
手順ア
上からアクセス権を付ける(追加)。(不要なものにもついてしまう)
手順イ
不要なアクセス権がついたフォルダは、すべて無効化し、手作業で直す。
・・・当該フォルダは、アクセス権全部消える。残るのはadministratorとかか。
*************************************
実際の付け方、具体例1
親フォルダgroup ←アクセス権seito
子フォルダ01_all ←アクセス権seito
子フォルダ02_a ←アクセス権a
子フォルダ03_b ←アクセス権b
子フォルダ04_c ←アクセス権c
にしたい場合(アクセス権senseiは記載していないが全フォルダにアクセス可能)、
方法1だと、
手順ア
02_a、03_b、04_cに明示的アクセス許可。(継承無効化)
02_a、03_b、04_cにそれぞれa b cのアクセス権付与。
手順イ
上位のgroupにアクセス権seito付与
方法2だと、
手順ア
上位のgroupにアクセス権seito付与
手順イ
02_a、03_b、04_cでアクセス権全て削除。(継承無効化)
02_a、03_b、04_cでアクセス権全て付け直し。(senseiなどがついていたらそれらも付ける)
(方法2は、全部付け直しなので、楽かも。
・・・と思ったが、途中で「削除できません」というようなよく分からないメッセージが出るかも。)
***************************************************************
実際の付け方、具体例2
上記のような、コース・科別のフォルダ以外に、生徒個人フォルダも置いてみたいとしたら・・・
(下記、ユーザー名とフォルダー名を一致させています。)
親フォルダkojin ←アクセス権seito
子フォルダa2001 ←アクセス権a2001
子フォルダa2002 ←アクセス権a2002
子フォルダa2003 ←アクセス権a2003
子フォルダa2004 ←アクセス権a2004
(以下b、c、も20、21、22など、コース科・入学年度・番号1~30で構成)
このフォルダは、階層は2段のみ。比較的簡単。
方法1、方法2を当てはめてみる。
方法1だと、
手順ア
フォルダa2001に明示的アクセス許可。(継承無効化)
フォルダa2001にのアクセス権付与。
手順イ
上位のフォルダkojinにseitoのアクセス権付与(子フォルダには継承しない)
方法2だと、
手順ア
上位のフォルダkojinにseitoのアクセス権付与
手順イ
フォルダa2001のアクセス権を全て削除。(継承無効化)
フォルダa2001についてアクセス権全て付け直し。(senseiなどがついていたらそれらも付ける)
(実際はbatでやるとしても、手作業なら方法1が楽か?)
変な考えか?
少し思ったが、継承しないように別のところでフォルダを作成して、中に入れたらどうだろう。
でも、パスなどがややこしいか?(カスタムパス)
/////////////////////////////////////////////////////////
///////////////////////////////////////////////////
ここで、休憩。上記は考え方のみで、実際の作業はない。
この後、実際に、今までのフォルダを削除して作成しなおす。(次回)
が、その前に、もう少し、今のフォルダで、アクセス権の付与・継承を試してみます。
(方法1と方法2の両方を試験的にやってみる。)
<保護者hogosyaというユーザーとフォルダ05_hを作成してみる>
AD、ユーザーとコンピュータで、
OU(組織単位)・・・hogosya
セキュリティグループ・・・hogosya
ユーザー・・・hogosya001
フォルダは、
親フォルダgroup
子フォルダ05_h
(05_hは、作成時点で共有タブseito,sensei、セキュリティタブseito,senseiが入っている。)
方法1
手順ア
フォルダ05_の明示的アクセス許可(継承無効化)
具体的には、セキュリティの詳細設定で外す。
seitoだけを外すことはできず、全部無効化。(もしかしたら個別にできるかもしれない・・・。)
ここで注意するのは、継承は切れても、アクセス権(seito、sensei)は残っている。
ここでseitoとsenseiの共有(アクセス権)を外す。
手順イ
上位のフォルダgroupにhogosyaのアクセス権付与(子フォルダには継承しない)
結果:保護者は、全部のフォルダにアクセス可能。hogosyaフォルダは保護者しか入れない。笑
次に、
<委員会iinkaiというユーザーと06_iフォルダを作成してみる>
AD、ユーザーとコンピュータで、
OU(組織単位)・・・iinkai
セキュリティグループ・・・iinkai
ユーザー・・・iinkai001
(少し違うか?削除したので忘れた。汗。)・・・追記:後で確認したらiinkaiはユーザーを作成しただけで、セキュリティグループは作らなかったです。
フォルダは、
親フォルダgroup
子フォルダ06_i
(06_iは、作成時点で共有タブseito,sensei,hogosya、セキュリティタブseito,sensei,hogosyaが入っている。)
方法2
手順ア
上位のフォルダgroupにiinnkaiのアクセス権付与
手順イ
フォルダ06_iのアクセス権を全て削除。(継承無効化)(全部消える)
フォルダ06_iについてアクセス権全て付け直し。
(注意:「アクセス許可の変更を保存できません」のメッセージが出た。あまり影響はなさそうだが・・・)
(これはNTFS(ファイルシステム)のエラーらしい。セキュリティタブで確認するしかないか?)
結果:というか、05_hは、継承を切っているので、上記の委員会追加には影響されない。
(02_aも継承を切っていたので影響されなかった。要注意だ。)
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
その他の疑問で試したこと:
継承を有効化していると、元でセキュリティタブの共有を外したら、下位(継承先)はどうなる?
→例 groupでsensei外してみる。下位の01_all sensei消えている。
継承を無効化していたのを有効化するとどうなる?
→例 上位のgroupがそのまま入ってくる。
つまり、無効化(明示的)や有効化で簡単に元に戻したりできる。
やっていないが、継承の個別削除もできるらしい。
(いままでは、全部一括の処理なので個別にできると付与しなおすものが少なくなるか。)
