企業内でファイル共有をする際のアクセス制御を考える：仕事で使うNAS 第3回（2/4 ページ）

[瓜生聖，ITmedia]

アクセス制御の適用先と継承

　Windows ACLの適用先はフォルダ、サブフォルダ、ファイルの組合せで計7パターンがある。「許可の編集」では「これらの許可をコンテナー内のオブジェクトまたはコンテナーにのみ適用する」というチェックボックスがある。これと「適用先」の2つの組合せによって実際に適用される対象が変化する。

　トップレベルに近いフォルダ（上位のフォルダ）はアクセス制御を厳し目にしておかないと管理が破綻しがちになる。例えば、「\\AS\Documents」直下に「Lv1」など、機密レベルで分類したフォルダを作成していたとする。その同じ階層に勝手にフォルダを作られてしまうと機密管理から外れたものが出てきてしまう。

　その半面、プロジェクトごとのフォルダの下でのサブフォルダ作成をメンバーに許可しない場合、非常に使い勝手の悪い管理になることは明らかだろう。作成されたサブフォルダにはプロジェクトメンバーへのアクセス権を与える必要があるが、そのためにプロジェクトメンバー自身にアクセス許可の変更権限を与えるのは行き過ぎだ。

　このような場合に上位フォルダからのアクセス制御が継承されると、利用者の立場としてフォルダやファイルを作成しながら、管理上破綻しない形で自動的にアクセス制御を行うことができる。「これらの許可をコンテナー内のオブジェクトまたはコンテナーにのみ適用する」のチェックが外れている場合（デフォルト）、指定したアクセス制御は下層フォルダに再帰的に設定される。

このようなフォルダ構成で適用先を変えて「Documents」に適用する

このフォルダのみ。チェックボックスによる変化はない

このフォルダ、サブフォルダ、ファイル。チェックボックスにチェックが入っていない場合はすべてのフォルダ／ファイル、入っていた場合は直下のサブフォルダ／ファイルまで

このフォルダとサブフォルダ。チェックボックスにチェックが入っていない場合はこのフォルダとすべてのサブフォルダ、入っていた場合は直下のサブフォルダまで

このフォルダとファイル。チェックボックスにチェックが入っていた場合はこのフォルダとすべてのファイル、入っていない場合は直下のファイルまで

サブフォルダとファイルのみ。チェックボックスにチェックが入っていない場合はこのフォルダを除くすべて。入っていた場合は直下のサブフォルダ／ファイルのみ

サブフォルダーのみ。チェックボックスにチェックが入っていない場合はすべてのサブフォルダ、入っていた場合は直下のサブフォルダのみ

ファイルのみ。チェックボックスにチェックが入っていない場合はすべてのファイル、入っていた場合は直下のファイルのみ