弊社のウェブページの改善のためにクッキーを使用しています。弊社のクッキーポリシーをお読みください。

NAS 471

WindowsACLの概要

WindowsACLを使用してASUSTOR NASのデータアクセス権限を管理する方法を学びます

2024-05-31

コースの目標

このコースを修了すると、下記のことができるようになります:

  1. ASUSTOR NASでWindows ACLを使用する基本原則を理解する。
  2. Windows ACLを使用して、ASUSTOR NASのデータアクセス許可を管理します。

前提条件

受講前提条件:

NAS 106:Microsoft WindowsでNASにアクセスする

次の項目についての知識を持つ受講生を対象としています:

共有フォルダ、アクセスコントロール


概要

1. Windows ACLの概要

1.1 Windows ACLを有効にする必要があるか?

2. Windows ACLの構成

2.1 Windows ACLの有効化

2.2 ADMファイルエクスプローラーを使用したWindows ACLアクセス許可の構成

2.3 Windowsエクスプローラーを使用したWindows ACLアクセス許可の構成

2.4 Windows ACLのアクセス規則と注意事項

2.5 ACL権限を維持しながらNASにオブジェクトを移動する





1. Windows ACLの概要

Windows ACL(Access Control List)は、特定のユーザーおよびグループに適用できるNTFSファイルシステム用にMicrosoftによって設計された13種類の異なるファイルアクセス許可です。このタイプのインフラストラクチャ内で、管理者はより詳細で正確なアクセス許可の構成を行うことができます。

さらに、Windows AD(Active Directory)ドメインインフラストラクチャ(企業で広く使用されている)では、Windows ACLアクセス許可をドメイン内のすべてのユーザーとグループに適用できます。ユーザーはネットワーク内の任意のコンピューターを使用してログインでき、同じアカウント名を使用している限り、すべてのアクセス許可は同じままです。ITスタッフは、個々のサーバーおよびPCワークステーションごとにアクセス許可を構成する必要がないため、管理効率が大幅に向上します。

ASUSTOR NASをADドメインとより緊密に統合し、IT管理を簡素化し、生産性を向上させるために、ASUSTORはWindows ACL権限システムをADMと緊密に統合し、次の独自の機能を提供します。

  1. 個々の共有フォルダーに対してWindows ACLを有効にする機能。
  2. 13種類すべてのWindows ACLアクセス許可の包括的なサポート。
  3. ADM内からWindows ACLの有効なアクセス許可を詳細に表示する機能。
  4. ネットワークユーザーとグループのサポート。
  5. ACL権限をSamba、ファイルエクスプローラー、AFP、FTP、WebDAV、Rsyncファイル転送プロトコルに適用する機能。


1.1 Windows ACLを有効にする必要があるか?

前のセクションで説明したように、Windows ACLは、NASおよびドメイン(NASがWindows ADドメインに追加されている場合)のすべてのユーザーとグループに適用できる最大13の異なるアクセス許可設定を提供します。
アクセス許可の計画または構成が不適切な場合、すべてのユーザーが特定のフォルダーまたはファイルにアクセスできなくなる可能性があります。もちろん、この種類のエラーは管理者アカウントを使用することで解決できますが、問題が最初に発生してから解決するまでの無駄な時間は、企業にとって大きな無形のコストと見なすことができます。

ASUSTOR NASはLinuxオペレーティングシステムに基づいて開発されたため、ADMのネイティブ設定はLinuxの権限管理メカニズムを利用しています。

  • 該当する権限:RW(読み取りと書き込み)、RO(読み取り専用)、DA(アクセス拒否)
  • 権限は、「所有者」、所有者が属するグループ、および「その他」に適用できます。オプションの数が少ないほど、構成が簡単になります。

ただし、権限の柔軟性と調整の可能性は非常に限定的です。たとえば、Linuxのアクセス許可メカニズムを使用している場合、ファイルを削除するアクセス許可をユーザーに与えずに、ユーザーにファイルを編集する機能を与えることはできません。

自分と限られた人数の家族や友人の間でのみNASを使用している場合は、ADM独自の権限管理メカニズムを使用することをお勧めします。
ただし、NASをビジネスデータストレージに使用している場合は、まずITスタッフに相談して、Windows ACLアクセス許可を有効にすることが適切かどうかを判断し、使用する場合はアクセス許可の設定を考慮することをお勧めします。

単一の共有フォルダに対してWindows ACLを有効または無効にすることができます。これは、評価と計画に非常に役立ちます。
テスト用の共有フォルダを作成し、Windows ACLを有効にしてから、アクセス許可の設定を構成できます。その後、結果が期待どおりであるかどうかを確認できます。
必要な結果が得られたら、選択した共有フォルダに設定を適用できます。これにより、重要なデータへのアクセスを拒否し、ビジネスの運営に影響を与える可能性のある計画の誤りやエラーを回避できます。




2. Windows ACLの構成


2.1 Windows ACLの有効化


新しい共有フォルダを作成する:

  • ウェブブラウザを使用して、管理者アカウントでADMにログインする。
  • 「アクセスコントロール」 内で 「共有フォルダ」を選択します。
  • 「追加」をクリックします。


  • 新しい共有フォルダの名前を入力し、「次へ」をクリックします。


  • 共有フォルダのアクセス権を設定した後、「Windows ACLを有効にする」チェックボックスを選択し、「次へ」をクリックします。

    注:共有フォルダのアクセス権は、アクセス許可アクセス許可確認の最初のレイヤーです。ここでユーザまたはグループに「読み取りと書き込み」のアクセス許可が割り当てられていない場合、それらに割り当てられているWindows ACLのアクセス許可はすべてブロックされます。
    したがって、Windows ACLが有効になっている共有フォルダに対して、より広範囲なアクセス権を構成し、あとでWindows ACLを使用してより具体的なアクセス許可をさらに構成することをお勧めします。


  • 「スキップ」を選択し、「次へ」をクリックします。


  • 設定を確認し、「終了」をクリックします。


既存の共有フォルダに対してWindowsACLを有効にする:

  • 「アクセスコントロール」 内で 「共有フォルダ」を選択します。
  • Windows ACLを有効にする共有フォルダを選択し、「編集」をクリックする。


  • 「Windows ACL」を選択する。
  • 「Windows ACLを有効にする」を選択し、「閉じる」をクリックする。

Windows ACLについて

  1. 共有フォルダに対して Windows ACL を有効にした後、共有フォルダとすべてのサブフォルダおよびそれに含まれるファイルにはユーザーまたはグループアクセス許可が割り当てられることがあります。
  2. 次の共有フォルダは、ホーム、ユーザーホーム、PhotoGallery、Web、Surveillance、MyArchive、ネットワークごみ箱、仮想デバイス、外部デバイス(USBハードディスク、光学ドライブ)などの Windows ACL アクセス許可をサポートしません。
  3. Windows ACL を有効にした後、ADM のファイルエクスプローラまたは Microsoft Windows Explorer を使用してアクセス許可を構成することができます。 Windows ACL を無効にすると、ADM のファイルエクスプローラ内部からしか構成することができません。
  4. Windows ACL を有効にした後で無効に変更する場合、すべてのファイルとフォルダをすべてのユーザーに「読み取りと書き込み」アクセス許可で割り当て直すことができます。
  5. Windows ACL を使用しているかに関わらず、ユーザーはファイルにアクセスするために共有フォルダやファイルへのアクセス許可が必要です。


2.2 ADMファイルエクスプローラーを使用したWindows ACLアクセス許可の構成


  • ADMのデスクトップから「ファイルエクスプローラ」を選択する。
  • Windows ACLを有効にした共有フォルダ(またはサブフォルダーまたはファイル)を選択します。共有フォルダを右クリックし、「プロパティ」を選択します。


  • プロパティウィンドウから、「許可」タブを選択します。ここで、フォルダに対して現在設定されている権限を確認できます。ここでフォルダの権限を管理することもできます。


共有フォルダのWindows ACLを有効にした後、システムは標準設定で「読み取りと書き込み、ただし削除できません」というアクセス許可を「全員」、「administrators」、および「admin」アカウントに割り当てます。
これらのアクセス許可は共有フォルダにのみ適用され、以下のオブジェクトには継承されません。これらのデフォルトの権限は、[編集]または[削除]ボタンを使用して変更できます。

注:個々のファイルまたはフォルダーは、最大250の Windows ACLアクセス許可(継承されたアクセス許可を含む)を利用できます。


  • このオブジェクトの親から継承可能なアクセス許可を含める:
    このオプションはデフォルトで有効になっています。システムは、その上のオブジェクトからアクセス許可を継承するようにサブフォルダとファイルを自動的に構成します。このオプションを無効にすると、継承する可能なすべてのアクセス許可が拒否され、新しく追加されたアクセス許可のみが保持されます。
  • すべての子オブジェクトのアクセス許可をこのオブジェクトから継承可能なアクセス許可に置き換える:
    このオプションを有効にすると、すべてのサブフォルダとファイルのアクセス許可が親オブジェクトのアクセス許可に置き換えられます。

ここで使用できる管理機能は次のとおりです。

追加:

  • 「追加」ボタンをクリックして、オブジェクトの新しい権限を作成します。


  • ユーザーまたはグループ:
    権限を適用するユーザーまたはグループを指定します。


  • タイプ:
    「許可」または「拒否」を選択して、ユーザーまたはグループへのアクセス許可を付与または拒否します。
  • 適用先:
    このオプションは、フォルダにアクセス許可を追加する場合にのみ表示されます。ドロップダウンメニューから、権限を適用する場所を選択できます。権限の適用方法は、「これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する」チェックボックスを選択したかどうかによって決まります。
  • これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する:
    • オプションにチェックが入っていない場合:
      適用先 現在のフォルダに権限を適用する 現在のフォルダ内のサブフォルダにアクセス許可を適用する 現在のフォルダ内のファイルにアクセス許可を適用する 後続のすべてのサブフォルダにアクセス許可を適用する 後続のすべてのサブフォルダ内のファイルにアクセス許可を適用する
      このフォルダのみ
      このフォルダ、サブフォルダ、およびファイル
      このフォルダとサブフォルダ
      このフォルダとファイルのみ
      サブフォルダとファイルのみ
      サブフォルダのみ
      ファイルのみ
    • チェックが入っている場合:
      適用先 現在のフォルダに権限を適用する 現在のフォルダ内のサブフォルダにアクセス許可を適用する 現在のフォルダ内のファイルにアクセス許可を適用する 後続のすべてのサブフォルダにアクセス許可を適用する 後続のすべてのサブフォルダ内のファイルにアクセス許可を適用する
      このフォルダのみ
      このフォルダ、サブフォルダ、およびファイル
      このフォルダとサブフォルダ
      このフォルダとファイルのみ
      サブフォルダとファイルのみ
      サブフォルダのみ
      ファイルのみ

13種類のWindows ACL権限について以下に説明します。

  • トラバースフォルダ/ファイルの実行:トラバースフォルダは、ユーザーがトラバースされたフォルダに対するアクセス許可を持っていない場合でも、フォルダ内を移動して他のファイルまたはフォルダに到達することを許可または拒否します(フォルダにのみ適用されます)。ファイルの実行は、実行中のプログラムファイルを許可または拒否します(ファイルにのみ適用されます)。
  • フォルダの一覧表示/データの読み取り:フォルダの一覧表示では、フォルダ内のファイル名とサブフォルダ名の表示が許可または拒否されます(フォルダにのみ適用されます)。データの読み取りは、ファイル内のデータの表示を許可または拒否します(ファイルにのみ適用されます)。
  • 属性の読み取り:読み取り専用、非表示、圧縮、暗号化など、ファイルまたはフォルダの属性の表示を許可または拒否します。
  • 拡張属性の読み取り:ファイルまたはフォルダの拡張属性の表示を許可または拒否します。拡張属性はプログラムによって定義され、プログラムによって異なる場合があります。
  • ファイルの作成/データの書き込み:ファイルの作成は、フォルダ内でのファイルの作成を許可または拒否します(フォルダにのみ適用されます)。データの書き込みは、ファイルへの変更と既存のコンテンツの上書きを許可または拒否します(ファイルにのみ適用されます)。
  • フォルダの作成/データの追加:フォルダの作成は、フォルダ内でのフォルダの作成を許可または拒否します(フォルダにのみ適用されます)。データの追加は、ファイルの末尾への変更を許可または拒否しますが、既存のデータの変更、削除、または上書きは許可しません(ファイルにのみ適用されます)。
  • 属性の書き込み:ファイルまたはフォルダの属性の変更を許可または拒否します。
  • 拡張属性の書き込み:ファイルまたはフォルダの拡張属性の変更を許可または拒否します。拡張属性はプログラムによって定義され、プログラムによって異なる場合があります。
  • サブフォルダとファイルの削除:サブフォルダまたはファイルに削除権限が付与されていない場合でも、サブフォルダとファイルの削除を許可または拒否します(フォルダに適用されます)。
  • 削除:ファイルまたはフォルダの削除を許可または拒否します。
  • 読み取りアクセス許可:ファイルまたはフォルダの読み取りアクセス許可を許可または拒否します。
  • アクセス許可の変更:ファイルまたはフォルダのアクセス許可の変更を許可または拒否します。
  • 所有権の取得:ファイルまたはフォルダの所有権の取得を許可または拒否します。ファイルまたはフォルダの所有者は、ファイルまたはフォルダを保護する既存のアクセス許可に関係なく、常にそのアクセス許可を変更できます。

編集:

  • 権限を選択して「編集」ボタンをクリックすると、権限を変更できます。



削除する:

  • 権限を選択して「削除」をクリックすると、現在のオブジェクトから権限が削除されます。

有効な権限:

  • 「有効なアクセス許可」ボタンをクリックしてリストからユーザを選択すると、指定したフォルダまたはファイルに関するユーザの有効なアクセス許可を表示できます。 有効なアクセス許可は、Windows ACLアクセス許可と共有フォルダアクセス権の組み合わせから決定されます。



2.3 Windowsエクスプローラーを使用したWindows ACLアクセス許可の構成

まず、Windows管理者アカウントを使用して、Windows ACL対応の共有フォルダーをネットワークドライブとしてマップします。詳細については、NAS 106:Microsoft WindowsでNASにアクセスする を参照してください。


  • 共有フォルダ内のファイルまたはサブフォルダを右クリックし、「プロパティ」を選択します。


  • 「セキュリティ」タブを選択します。ここでは、ユーザーとグループのリスト、およびファイルまたはサブフォルダーに対するそれらのACLアクセス許可を確認できます。


オブジェクトがその親からのアクセス許可と明示的なアクセス許可を同時に継承している場合、継承されたアクセス許可は灰色でチェックされ、明示的なアクセス許可は黒でチェックされます。


  • 「編集」 「追加」をクリックします。


  • 「この場所から:」フィールドに次の情報が表示されます。
    • NASがWindows ADドメインに追加されている場合は、ADドメイン名が表示されます。
    • NASがWindows ADドメインに追加されていない場合は、NASのIPアドレスが表示されます。


  • 「選択するオブジェクト名を入力してください」フィールドに、次の情報を入力します。
    • NASがWindows ADドメインに追加されている場合は、ドメインのユーザー名またはグループ名を入力し、「名前の確認」をクリックしてユーザー/グループ名を確認します。 次に、「OK」]をクリックします。
    • NASがWindows ADドメインに追加されていない場合は、ADMローカルユーザーまたはグループ名を入力し、「名前の確認」をクリックしてユーザー/グループ名を確認します。 次に、「OK」をクリックします。


  • これで、「グループまたはユーザー名:」リストに新しく追加されたユーザーまたはグループが表示されるはずです。ユーザーまたはグループを選択し、「許可」および「拒否」]チェックボックスを使用して、オブジェクトへのアクセス許可を構成します。 完了したら、「適用」をクリックします。



2.4 Windows ACLのアクセス規則と注意事項


競合するACL権限:

  • 競合するWindows ACL権限が発生した場合、オブジェクトの明示的な権限が優先されます。たとえば、ユーザー「testuser」がファイルの「読み取りと実行を許可」権限を継承しているが、ファイルに指定された明示的な権限が「読み取りと実行を拒否」である場合、「testuser」はファイルにアクセスできません。
  • 逆に、「testuser」が「読み取り拒否」権限を継承しているが、ファイルに付与されている明示的な権限が「読み取り許可」である場合、「testuser」はファイルにアクセスできます。



ファイルとフォルダを移動するためのルール:

コピー 移動
同じ共有フォルダ内を移動する A1. ACLが無効 既存の権限を保持する 既存の権限を保持する
A2. ACLが有効
  • ソースフォルダから継承されたACL権限を削除します
  • 明示的なACL権限を削除する
  • 宛先フォルダーから継承されたACLアクセス許可を適用します
  • ソースフォルダから継承されたACL権限を削除します
  • 明示的なACL権限を保持する
  • 宛先フォルダーから継承されたACLアクセス許可を適用します
異なる共有フォルダ間を移動する B1. ACLが無効 ACLが無効 既存の権限を保持する 既存の権限を保持する
B2. ACLが無効 ACLが有効 宛先フォルダーから継承されたACLアクセス許可を適用します 宛先フォルダーから継承されたACLアクセス許可を適用します
B3. ACLが有効 ACLが無効
  • すべてのACL権限を削除します
  • アクセス許可は「すべてのユーザーのフルアクセス」としてリセットされます
  • すべてのACL権限を削除します
  • アクセス許可は「すべてのユーザーのフルアクセス」としてリセットされます
B4. ACLが有効 ACLが有効
  • ソースフォルダから継承されたACL権限を削除します
  • 明示的なACL権限を削除する
  • 宛先フォルダーから継承されたACLアクセス許可を適用します
  • ソースフォルダから継承されたACL権限を削除します
  • 明示的なACL権限を削除する
  • 宛先フォルダーから継承されたACLアクセス許可を適用します

例外:データがACL対応の共有フォルダーから削除され、ネットワークごみ箱に移動された場合、上の表の「B3」のルールは適用されません。これは、「アクセスの拒否」権限を持つファイルが削除されてネットワークごみ箱に移動され、すべてのユーザーが完全にアクセスできるようになるのを防ぐためです。
プライバシーとセキュリティを考慮して、ネットワークごみ箱に移動されたACL対応フォルダーのファイルには、「所有者の読み取りと書き込み、他のすべてのユーザーのアクセスの拒否」のアクセス許可が割り当てられます。


ファイル削除権限:

ファイルの削除に関連する2つの権限があります。

  1. ユーザーはファイルに対する明示的な「削除」権限を持っています。
  2. ユーザーには、ファイルの親フォルダーに対する「サブフォルダーとファイルの削除」権限があります。

上記の権限のいずれかが「拒否」として設定されている場合、ユーザーはファイルを削除できません。上記の権限のいずれも「拒否」として構成されておらず、そのうちの少なくとも1つが「許可」として構成されている場合にのみ、ユーザーはファイルを削除できます。


オブジェクトのアクセス権:

共有フォルダーに対してWindows ACLを有効にすると、フォルダー内に含まれる各オブジェクト(サブフォルダーとファイル)にアクセス権が付与されます。

  • オブジェクトを表示するには、ADMファイルエクスプローラーからオブジェクトを選択し、右クリックして「プロパティ」を選択します。「全般」タブの「共有フォルダアクセス権」セクションに編集リンクがあります。



アクセス権を持つ人は、そのACL権限を構成できます。
たとえば、上の図のユーザーadminは、ACL_Testフォルダーの所有者です。したがって、adminは、フォルダーとサブフォルダー、およびその中に含まれるファイルのACLアクセス許可を構成できるようになります。新しく追加されたオブジェクトごとに、オブジェクトの作成者がデフォルトでアクセス権として設定されます。
さらに、管理者グループのユーザーは、アクセス権を変更することができます。たとえば、上の図のACL_Testフォルダーの所有権を他のユーザー(testuserなど)に譲渡する場合、adminと管理者グループのすべてのユーザーが所有権を譲渡できます。testuserがACL_Testフォルダーの所有者になると、元々アクセス許可がなかった場合でも、サブフォルダーとファイルのアクセス許可を再構成できるようになります。




2.5 ACL権限を維持しながらNASにオブジェクトを移動する

ネットワーク環境内のすべてのWindows PCとNASデバイスが同じWindows ADドメインに追加されている場合、ドメイン上のすべてのユーザーアカウントとアクセス許可を組み合わせることができます。
ただし、ファイルまたはフォルダをPCサーバーからNASに移動する場合、既存のACLアクセス許可は保持されません(前のセクションのルールを使用して)。 これにより、ITスタッフは権限を再構成する必要があります。

ファイルまたはフォルダをNASに移動するときに既存のACL権限を維持したい場合は、サードパーティのソフトウェアであるFastcopyを利用できます。以下の例では、このFastcopyの使用方法を示します。


  • まず、Windows管理者アカウントを使用して、Windows ACL対応の共有フォルダーをネットワークドライブとしてマップします。詳細については、NAS 106:Microsoft WindowsでNASにアクセスする を参照してください。


  • Fastcopyを開きます。
  • 「ソース」:ここでソースフォルダを指定します。
  • 「DestDir」:ここで宛先フォルダーを指定します(前のステップでマップされたネットワークドライブ)
  • 「ACL」チェックボックスを選択して、ファイルを移動するときにFastcopyがファイルの元のACL権限を保持するようにします。
  • 「実行」をクリックしてフォルダの移動を開始します。


  • フォルダーが正常に移動された後、宛先に移動されたすべてのデータは、ソースからのACLアクセス許可(すべての明示的および継承されたアクセス許可を含む)を保持します。このデータは、ソースの親オブジェクトから権限を継承しません。

この説明は役に立ちましたか? はい / いいえ