Windows Server 2016 ADの構築 ~共有フォルダへのアクセス権の設定~

どうも、Miyaです。

今回は、ADのアクセス権限を設定した場合の動きをご紹介いたします。

アクセス権限の中でも馴染み深い、共有フォルダにアクセス権限を設定して見たいと思います。
企業でも、ファイルサーバーに機密ファイルなどを置いてますが、フォルダを開ける社員を制限したい場合にはアクセス権限が設定されていますよね。
つまり、組織のリソースにアクセスできるユーザを制限することで情報漏洩の防止にも繋がります。

今回は、

  • User01 : アクセス許可
  • User02 : アクセス拒否

の2種類のアクセス権限が設定されたユーザオブジェクトを用意して演習します。

スポンサーリンク:

共有フォルダへのアクセス権限の設定

では、まず共有フォルダへのアクセス権限の設定です。
共有フォルダですが、Windows Serverのファイルサーバ機能を使います。
ADにファイルサーバの機能が含まれていますので、今回はADに共有フォルダを作成し、アクセス権限を作成します。

ADの[サーバマネージャ]→[ファイルサービスと記憶域サービス]→[共有]へ進みます。
[タスク]のプルダウンメニューから、[新しい共有]をクリックします。
Windows Server 2016

[SMB共有 – 簡易]を選んで、[次へ]をクリックします。
Windows Server 2016

[共有の場所]でカスタムパスから、共有したいフォルダを選択します。
今回はC:\Sharedを設定したいと思います。
Windows Server 2016

[共有名の指定]で[次へ]をクリックします。
ここで設定した共有名がアクセスする際のパス名になります。
Windows Server 2016

[共有設定の構成]ページで[次へ]をクリックします。
各チェックボックスで共有ファイルの詳細設定が出来ますが、今回は深く考えないで結構です。
Windows Server 2016

さて、ここからアクセス権限の設定に入ります。
[アクセス許可をカスタマイズする]をクリックします。
Windows Server 2016

[共有タブ]から[追加]をクリックします。
Windows Server 2016

[プンシパルの選択]をクリックします。
Windows Server 2016

[選択するオブジェクト名を入力してください]にUser01と入力したら、[名前の確認]をクリックします。
Windows Server 2016

[アクセス許可]から今回は[読み取り]のみとします。
後は、デフォルトで構いません。
設定内容を確認して問題なければ、[作成]をクリックします。
これで、User01にSharedに対する読み取りアクセス権限が付与されました。
Windows Server 2016

共有フォルダへのアクセス

さて、アクセス許可が設定されているUser01でADDCのSharedフォルダにアクセスしましょう。
ドメイン参加したコンピュータにUser01でログインします。
先の手順で設定した内容ですと、User01はSharedフォルダに対して読み取り権限があるので、フォルダへのアクセスはできるのですが、ファイルの作成は拒否されます。
では、実際見て見ましょう。

エクスプローラを立ち上げ、アドレスバーに共有名を入力し、Enterキーを入力します。
Windows Server 2016

アクセスできましたね。
Windows Server 2016

何かファイルを作ろうとすると、このようにアクセス拒否のメッセージが表示されます。

では、User01からサインアウトし、User02でログインします。
※User02を作成していない場合、ADの[ユーザとコンピュータ]から作成してください。
同じように、共有フォルダへアクセスします。すると、、、
アクセス拒否メッセージ

”アクセス許可がありません”と拒否メッセージが表示されましたね。
User02はアクセス権限の設定で、明示的に許可設定をしていないのでアクセスできません。

さて、ユーザ毎へのアクセス権の動きを確認できましたね。
企業の中とはいえ、機密文書などの重要度の高い書類は公開範囲を限定しておいた方がいいですよね〜。
それでは、よきWindows Serverライフを♫

スポンサーリンク