NTFS アクセス許可のベストプラクティス 

本記事の対象製品：

• Acronis Access Connect (以前、ExtremeZ-IP)

説明

NTFS アクセス許可のベストプラクティス 

ドライブ文字から継承されるデフォルト権限は以下の通りです：　

• Administrators (管理者), フル コントロール、適用先：フォルダ、サブフォルダ、およびファイル 
• SYSTEM, フル コントロール、適用先：フォルダ、サブフォルダ、およびファイル　
• CREATOR OWNER, フル コントロール、適用先：サブフォルダとファイルのみ　

(!) CREATOR OWNERがサブフォルダとファイルのみに適用しますから、2008（または、それ以前）のバージョンでは「フルコントロール」ではなくて「特別」として表示されます。 

Macの場合、一般的なワークフローを実行するために、すべてのNTFS アクセス許可（「フル コントロール」、「アクセス許可の変更」、「所有権の取得」以外）を持つ必要があります。

必要なアクセス許可のリスト：

• フォルダのスキャンとファイルの実行
• フォルダの一覧/データの読み取り
• 属性の読み取り
• 拡張属性の読み取り
• ファイルの作成/データの書き込み
• フォルダの作成/データの追加
• 属性の書き込み
• 拡張属性の書き込み
• サブフォルダとファイルの削除
• 削除
• アクセス許可の読み取り

一般的な共有は、以下のように表示されます：

共有のルートへのアクセス権を制限する必要がある場合、以下の手順を推奨します。

親フォルダ（一般に共有されるフォルダ）でスタッフ グループに明示的なACEを適用します。このACEに制限された許可（例えば、「読み取り専用」など）を入れます。それから、「適用先」を「このフォルダのみ」にします。それで、クライアントがこの共有をマウントできるようになります。そうすると、スタッフ グループのACEではなくてSYSTEMのACEが継承されます。

それから、子フォルダに格ユーザグループにアクセス許可を与える明示的なACEを適用してください。(!) 格共有のルートにある.TemporaryItemsフォルダの場合、すべてのユーザにフル コントロール権限を与える必要があります。そうすると、「セーフセーブ」機能が正常に動作します。　

以下のスクリーンショットをご参照ください。上記のスクリーンショットに表示された「Share」の読み取り専用ACEは「test」子フォルダに継承されなかったことが分かります。また、この「test」フォルダに、Users グループにフル コントロール権限を与える明示的なACEが適用されています。　

追加情報

Acronis Access Connect: Troubleshooting Windows Server Access from Mac Clients もご参照ください。