アクセス権の評価
個々のアクセス権についてはお話しましたので、次は最終的にどのアクセス権が適用されるかのお話です。
共有フォルダに適用されるアクセス権には二つあります。
すでにお話したとおり、共有フォルダのアクセス権と NTFS のアクセス権です。
二つあるわけですから、どちらのアクセス権が適用されるかが問題ですね。
答えから申し上げると、より
厳しい(権利の低い)アクセス権が適用されることになります。
ちなみに最も厳しいアクセス権は拒否になります。
では、次に一人の人が複数のグループに所属し、いろいろな権利が付与されている場合に
ついて考えてみましょう。
これは共有フォルダのアクセス権も NTFS のアクセス権も同じですから、NTFS としてお話します。
例えば、鈴木さんが次の二つのグループに所属し、アクセス権が設定されているとします。
営業: 読み取り
営業管理:フルコントロール
このとき鈴木さんに適用されるアクセス権は何になるのでしょうか?
答えは、フルコントロールです。
NTFS だけで見た場合は、もっとも
権利の大きいものが適用されるのです。
これは先ほどの共有フォルダのアクセス権と NTFS のアクセス権の評価とは違いますね。
ただし、やっぱり拒否のアクセス権は、すべてにおいて優先されます。
では、より実践的な例で考えて見ましょう。
鈴木さんは、営業、営業管理グループに所属しているとします。
それぞれ以下のようなアクセス権がある場合、ネットワーク経由での共有フォルダへの
アクセス権として何が適用されるのでしょうか?
NTFS
・営業: 読み取り
・営業管理: フルコントロール
共有フォルダ
・everyone: 読み取り
・営業: 変更
さー、みんなで考えよう!
パラパラ、スカスカカッチン、スチャスチャ、ドッカン!
さー、答えは分かったかな?
ファイナル アンサー?
答えは、変更のアクセス権です。
さて、解説です。
まずは、共有フォルダのアクセス権と NTFS のアクセス権で別々に評価するんです。
この評価では、最も権利があるものが適用されるわけですから、
NTFS では、フルコントロール。
共有フォルダのアクセス権では変更が適用されます。
次に、この二つの権利の評価です。
共有フォルダのアクセス権と NTFS のアクセス権の評価では、より権利が低いものが適用される
わけですから、このケースでは変更が適用されるんですね。
お分かりいただけましたか?
最後に運用に関するヒントを差し上げます。
共有フォルダとNTFS のアクセス権を駆使することは、実際の運用では混乱することが多々あります。
両方のアクセス権をチェックする必要があるわけですから当然ですよね。
そこで共有フォルダのアクセス権は everyone に対してフルコントロールを与え、
NTFS のみで制御することをオススメします。
こうすることで、NTFS のみでアクセス権を評価できるので、アクセス権にまつわる
トラブルシューティングを簡素化できるんですね。