こちらは素人です。余ったwindowsserver2016と再インストールしたwindows10のPCで
ネットワークを試しに作ってみようと考えています。
余ったサーバーとPCなので、いろんな設定が残っていて、通常の挙動と違うかも。
使ったハード(サーバー):I-Oデータ HDL-ZWSCRシリーズ LAN DISK(ブレードサーバー)
学校のような組織を参考にサーバー設定してますが、学校ではないので、そのまままねてもは使えません。m(_ _)m
************************************前回まで
「bat処理で、グループ追加、ユーザー追加、共有フォルダの作成をやってみる」の「ユーザー追加」(ステップ2)まで
*********************************
今回:
手作業でなく、bat処理で、共有フォルダ追加(ステップ3)をやってみる。
(共有フォルダと書いているが、個人フォルダです。)
目標のイメージ
今回は、
生徒個人フォルダを設置しようと思う。
親フォルダKojin←アクセス権sensei,seito
子フォルダa2201←アクセス権sensei,a2201
子フォルダa2202←アクセス権sensei,a2202
子フォルダa2203←アクセス権sensei,a2203
という感じ。生徒個人が自由に使うフォルダ(先生も自由に入れる)
準備:
親フォルダKojinを手作業で設置。
ずっと前に書いた
「新 小さなLAN windowsserever2016載せ替え ファイルサーバー その1 インストールと共有フォルダー」を参考にする。
*******************その時の作業1と作業3を改
<作業1>
参考書にあるように、新しい共有ウイザードを使ってみる。
「サーバーマネージャー」「ファイルサービスと記憶域」
「共有」選択
「タスク」「新しい共有」
「SMB -共有・簡易」
「ボリュームで選択」
cトライブを選択する
<作業3>
1のやり方でカスタムパスを使ってみる。C:Kojin
さらに、
共有するローカルパス:C:\Kojin
をこうした。(リモートパスは\\sv01\Kojinと表示された)
****************************
この際に、アクセス権も設定。(今回気づいた。)
「アクセス許可をカスタマイズ」
元からあるものは、
SYSTEM
Administrators
Users
CREATOR OWNERしかない。
とりあえず、「継承は無効化」(明示的の方)
「追加」
「許可エントリ」
「プリンシパルの選択」
seisei
seito
を「変更」で追加。
確認:
Kojinフォルダのプロパティを確認。
共有タブを見ると「読み込み/書き込み」でなく「投稿」になっている。
(投稿でも問題なさそうだが、一応、「読み込み/書き込み」にしておく・・・下の方に少し追加記載あり)
*******************共有タブとセキュリティタブの関係************************
一般的にはフォルダーオプションにて簡易共有を無効にして、
共有アクセス権(共有タブ)では「詳細な共有」でEveryone:Fのみ指定し、
NTFSアクセス権(セキュリティタブ)にて権限制御をします。
本症状は簡易共有が有効になっているためそういう状態になっています。
とネットに出ていた。
つまり、最初のフォルダの設置時に、共有タブを一律上記にしておけば、セキュリティタブのみで制御できるようだ。
****************************************************************************
実際に参考にしたサーバーは、
Kojinに当たるフォルダーのアクセス権は、senseiにあたるアクセス権は「投稿」、seitoにあたるアクセス権は「読み込み/書き込み」で、
子フォルダーのa2201に当たる個人フォルダのアクセス権は、「投稿」だった。
========================================
作業1
「seito.csv」を作成し、デスクトップに置く。(前回のまま)
中味は以下(本来カンマ区切り。1列目はユーザー名、2列目はパスワード、3列目は所属するグループ)
(パスワードは先に個別に作っておく。)
a2201 password a22
a2202 password a22
a2203 password a22
a2204 password a22
a2205 password a22
b2201 password b22
b2202 password b22
b2203 password b22
b2204 password b22
b2205 password b22
c2201 password c22
c2202 password c22
c2203 password c22
c2204 password c22
c2205 password c22
作業2
「useradd_フォルダ作成(ステップ3)bat」を作成し、デスクトップに置く。(名前は何でもいい。)
中味は以下
echo -----------------------------------------------------------------
echo ★ Step.3/3 「個人フォルダを作成しアクセス権を付与します。」
echo -----------------------------------------------------------------
pause
for /f "tokens=1-3 delims=," %%A in (seito.csv) do (
mkdir \\sv01\Kojin\%%A
echo y|cacls \\sv01\Kojin\%%A /T /P administrator:F %%A:C sensei:C
)
echo ・・・Step3/3 作業は成功しました、終了です。
pause
上記の解説だが、
mkdirでディレクトリ作成。
y| は、コマンド途中の質問にyesで答える。
さらにパイプ(|)でつなげる。
バッチで、対話式のコマンド「よろしいですか?(Y/N)?」とか聞かれるやつを、自動で回答できるようする。
caclsについては、以下の通り、コマンドプロンプトで出てくる
==========================================================================
注意: CACLS の使用は推奨されていません。ICACLS を使用してください。
ファイルのアクセス制御リスト (ACL) を表示または変更します。
CACLS ファイル名 [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C]
[/G ユーザー名:アクセス権] [/R ユーザー名 [...]]
[/P ユーザー名:アクセス権 [...]] [/D ユーザー名 [...]]
ファイル名 ACL を表示します。
/T 現在のディレクトリとすべてのサブディレクトリにある
指定されたファイルの ACL を変更します。
/L ターゲットではなくシンボリック リンク自体で動作します
/M ディレクトリにマウントされたボリュームの ACL を変更します
/S DACL の SDDL 文字列を表示します。
/S:SDDL ACL を SDDL 文字列で指定されたもので置き換えます
(/E、/G、/R、/P、または /D では無効)。
/E ACL を置き換えずに編集します。
/C アクセス拒否エラーを無視して、アクセスを続行します。
/G ユーザー名:アクセス権
指定されたユーザーにアクセス権を与えます。
アクセス権: R 読み取り
W 書き込み
C 変更 (書き込み)
F フル コントロール
/R ユーザー名
指定されたユーザーのアクセス権を失効させます
(/E オプションと共に使用)。
/P ユーザー名:アクセス権
指定されたユーザーのアクセス権を置き換えます。
アクセス権: N なし
R 読み取り
W 書き込み
C 変更 (書き込み)
F フル コントロール
/D ユーザー名 指定されたユーザーのアクセスを拒否します。
複数のファイルを指定するには、ワイルドカードを使用できます。
複数のユーザーを指定できます。
省略形:
CI - コンテナー継承。
ACE はディレクトリに継承されます。
OI - オブジェクト継承。
ACE はファイルに継承されます。
IO - 継承のみ。
ACE は現在のファイル/ディレクトリに適用されません。
ID - 継承済み。
ACE は親ディレクトリの ACL から継承されました。
=============================================================
caclsはaccess control listに関するもの。
cacls \\sv01\Kojin\%%A /T /P administrator:F %%A:C sensei:C
)・・・P以下で、各ユーザーに各アクセス権を付与している。(例:生徒a2201(%%A)には「C」変更(書き込み))
確認
子機PCで、入ってみた。共有タブは「投稿」だったが、問題ない。書き込み等OK。
****************次回
共有フォルダーは終了。
DHCPの予定かな。
