この特集のトップページへ
> Deployment Guide for DNS & DHCP

head1.gif セキュリティの設定

 すでに前項でも述べたが,NTFSのパーティションに対してはセキュリティを設定することができる。Windows NTの利用者であればすでにおなじみの概念であろうが,Windows 95やWindows 98のユーザーにとっては,あまりなじみのない機能であるはずだ。

 Windows 95やWindows 98を利用する場合,ログオン時にユーザー認証の画面が表示されるものの,ユーザー名を指定することなくキャンセルボタンを押したり,新たなユーザー名とパスワードを入力したりすることで,そのコンピュータを利用することができた。そのうえ,ファイルシステムレベルのセキュリティ機構がなかったので,このようなゲストユーザーでも自由にコンピュータ内のファイルにアクセスすることができた。

 この点,Windows 2000は大きく改善されている。Windows NT譲りのセキュリティメカニズムを踏襲しているので,登録されていないユーザーはログオンすることはできないし(ユーザーにログオンさせるように設定しておかなければならない),ファイルシステムレベルでユーザーのアクセスを制御することもできる。

 セキュリティは,ドライブ,フォルダ,ファイルを単位として設定することができる。セキュリティ設定を変更する場合に,もしデフォルトで[Everyone](すべてのユーザー)への[フルコントロール]権限が設定されている場合には,これを削除することを忘れないようにしてほしい。

Fig.18 デフォルトの[セキュリティ]パネル
fig18.gif

 たとえば,新たにNTFSでフォーマットしたFドライブ全体のセキュリティ設定で[Everyone]に[フルコントロール]が与えられているとしよう。もし,このなかに作成したF:\Documents and Settings\skanzaki\My Documentsフォルダにアクセスできるユーザーを,管理者グループ(Administrators)のユーザーと特定のユーザー(仮にskanzaki)だけに制限したいときには,F:\Documents and Settings\skanzaki\My Documentsフォルダのプロパティで[セキュリティ]パネルを開き,ダイアログボックス最下部の[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする]のチェックを解除する。このとき,次のような警告画面が表示されるので,内容を確認してから[削除]ボタンを押す。親階層のオブジェクトのセキュリティ権限を参考にしながら新たにセキュリティを設定したければ,[コピー]ボタンを押してもかまわない。

Fig.19 セキュリティ情報の継承にかかわるメッセージ
fig19.gif

 [削除]ボタンを押すことで,[セキュリティ]パネルは白紙の状態となる。

Fig.20 白紙になった[セキュリティ]パネル
fig20.gif

 そのあと,必要なセキュリティを追加してゆく。この場合,Administratorsグループとユーザーskanzakiだけにアクセスを許可したいので,[追加]ボタン押してこの両名をリストに加える。

Fig.21 制御の対象となるユーザーの選択
fig21.gif

 [セキュリティ]パネルに選択したユーザーが表示されるので,それぞれに対して権限を割り当てる。デフォルトでは[読み取りと実行][フォルダの内容の一覧表示][読み取り]だけが選択されている。必要な権限を設定したあと,[適用]ボタンを押す。

Fig.22 セキュリティを設定したところ(Administratorsグループとユーザーskanzakiの設定)

fig22.gif  fig22.gif

 ちなみに,ここでは新設したフォルダのアクセス権限の設定を想定している。デフォルトでWindows 2000は,親オブジェクトに設定されたアクセス権限を引き継ぐので,設定するフォルダによってはデフォルトでまったく異なるアクセス権限が設定されていることもある。実際,デフォルトの[マイドキュメント]フォルダには,Administratorsグループ,ユーザーskanzaki,ユーザーSYSTEMのそれぞれに,[フルコントロール]が割り当てられている。もし,[マイドキュメント]フォルダを上記の新設フォルダに変更する場合は,アクセス権もデフォルトの設定に習って設定しておくべきである。

 セキュリティ設定は,特に複数のユーザーで共用するコンピュータがある場合には特に有用である。しかしながら,生半可な知識で設定してしまうと,アプリケーションをインストールできなくなったり,インストールされているアプリケーションが利用できなくなったりすることもある。十分に注意してもらいたい。たとえば,[Everyone]のアクセス権限を削除するつもりで,誤って[Everyone]の[フルコントロール]権限を[拒否]してしまうと,そのファイルやフォルダの作成者以外はアクセスできなくなってしまう(Everyoneグループには,あらゆるユーザーが含まれているからである)。そのほかにも,設定次第でさまざまなトラブルが起こり得る。特に,Windows 2000をインストールしたシステムドライブやアプリケーションをインストールしたドライブのセキュリティを設定するときには,十分に注意したい。

 厳格なセキュリティ管理は,それだけ使い勝手を悪化させる場合があることも意識する必要がある。もっとも,あなたがそのコンピュータを管理する立場にあるならば,ほかのユーザーがシステムを破壊してしまうことがないように,厳格なセキュリティでシステムを固めてしまうのもよいだろう。どちらを選択するかは,あなたの実力次第である。

 なお,もし権限を設定しているうちによくわからなくなって元に戻したくなったら,再度[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする]をチェックすればよい。この項目をチェックすることにより,親オブジェクトのセキュリティ設定が継承され,元の状態に復元される。

prevpg.gif NTFS 10/10