NTFS アクセス許可のベストプラクティス
本記事の対象製品:
- Acronis Access Connect (以前、ExtremeZ-IP)
説明
NTFS アクセス許可のベストプラクティス
ドライブ文字から継承されるデフォルト権限は以下の通りです:
- Administrators (管理者), フル コントロール、適用先:フォルダ、サブフォルダ、およびファイル
- SYSTEM, フル コントロール、適用先:フォルダ、サブフォルダ、およびファイル
- CREATOR OWNER, フル コントロール、適用先:サブフォルダとファイルのみ
(!) CREATOR OWNERがサブフォルダとファイルのみに適用しますから、2008(または、それ以前)のバージョンでは「フルコントロール」ではなくて「特別」として表示されます。
Macの場合、一般的なワークフローを実行するために、すべてのNTFS アクセス許可(「フル コントロール」、「アクセス許可の変更」、「所有権の取得」以外)を持つ必要があります。
必要なアクセス許可のリスト:
- フォルダのスキャンとファイルの実行
- フォルダの一覧/データの読み取り
- 属性の読み取り
- 拡張属性の読み取り
- ファイルの作成/データの書き込み
- フォルダの作成/データの追加
- 属性の書き込み
- 拡張属性の書き込み
- サブフォルダとファイルの削除
- 削除
- アクセス許可の読み取り
一般的な共有は、以下のように表示されます:
共有のルートへのアクセス権を制限する必要がある場合、以下の手順を推奨します。
親フォルダ(一般に共有されるフォルダ)でスタッフ グループに明示的なACEを適用します。このACEに制限された許可(例えば、「読み取り専用」など)を入れます。それから、「適用先」を「このフォルダのみ」にします。それで、クライアントがこの共有をマウントできるようになります。そうすると、スタッフ グループのACEではなくてSYSTEMのACEが継承されます。
それから、子フォルダに格ユーザグループにアクセス許可を与える明示的なACEを適用してください。(!) 格共有のルートにある.TemporaryItemsフォルダの場合、すべてのユーザにフル コントロール権限を与える必要があります。そうすると、「セーフセーブ」機能が正常に動作します。
以下のスクリーンショットをご参照ください。上記のスクリーンショットに表示された「Share」の読み取り専用ACEは「test」子フォルダに継承されなかったことが分かります。また、この「test」フォルダに、Users グループにフル コントロール権限を与える明示的なACEが適用されています。
追加情報
Acronis Access Connect: Troubleshooting Windows Server Access from Mac Clients もご参照ください。