共有アクセス権は、ユーザからネットワーク経由でアクセスされる場合に適用され、NTFSアクセス権は、ファイルやフォルダにアクセスされる際に適用されます。
共有アクセス権とNTFSアクセス権が組み合わさった場合の動作について確認します。
共有アクセス権とNTFSアクセス権の連携
共有フォルダに対して、共有アクセス権を設定し、共有フォルダ内のフォルダやファイルにNTFSアクセス権を適用したとします。この場合、ネットワークユーザからフォルダやファイルへの共有アクセスは、両方のアクセス権が適用され、2つのアクセス権のうち、制限が厳しいものが適用されます。
ローカルログオンしたユーザからのアクセスは、NTFSアクセス権で制限されます。
つまり、NTFSアクセス権は、ネットワークユーザからの共有アクセスでも、ローカルログオンユーザからのアクセスであっても常に適用されます。
適用例
共有という名前の共有フォルダの中に営業部というフォルダを作成します。
パターン1
営業グループに対して、共有アクセス権は読み取り 営業部フォルダのNTFSアクセス権はフルコントロールとします。
営業グループに所属するユーザ yamada から営業部フォルダへ共有アクセスし、新しくフォルダを作成しようとすると、拒否されます。
これは、共有アクセス権の読み取りとNTFSアクセス権のフルコントロールで、より制限の強い読み取りが適用されているためです。
パターン2
今度は、共有フォルダは、Everyoneにフルコントロールに設定し、営業部フォルダは、そのまま営業グループに対してフルコントロールにします。
営業グループに所属するユーザ yamada から営業部フォルダへ共有アクセスし、新しくフォルダ/ファイルを作成できます。
営業グループ以外のユーザsuzukiから共有アクセスを試みます。共有アクセス権はEveryoneフルコントロールですが、NTFSアクセス権で営業グループ以外からのアクセス権を許可しておらず、アクセス拒否されます。
実務での設定方法
実務では、共有アクセス権をEveryoneフルコントロールとし、NTFSアクセス権を用いて制限するのが一般的な方法だと思います。共有アクセス権とNTFSアクセス権の両方を用いて制限をかけると、どちらのアクセス権も意識する必要があり、管理が煩雑になりがちです。
コメント
こんにちは。
両方フルにすると、ユーザーからアクセス権変更ができてしまうので、わたしは基本的に共有アクセス権は「変更」か「読み取り」にしています。(ユーザーが意図せずともNTFSの変な仕様によってファイル移動のときにアクセス権がメチャクチャになることがあります)
あと、NTFSアクセス権は継承など細かく設定できるのですけど、その反面、アクセス権を変更したいときにそれぞれのファイル・フォルダへ変更をかけにゆくので大量のファイルがあると時間がかかり、その点で共有アクセス権はサクッと反映できるのが嬉しいです。