Deployment of Active Directory 3... オブジェクトの作成と管理
共有フォルダオブジェクトの作成
サーバー上に作成した共有フォルダは,Windowsクライアントからアクセスできる共有ディスクとなる。また,設定した共有フォルダをActive Directoryに登録することで,クライアントユーザーはActive Directoryの検索機能を利用して共有フォルダを探索できるようになる。
Active Directoryに共有フォルダを登録するには,あらかじめ共有フォルダを作成しておき,それをActive Directoryへと登録する。ただしActive Directoryは,指定した共有フォルダが実際に存在するかどうかを関知しない。実際には存在していない共有フォルダでも,Active Directoryに登録することはできる。もちろん,その場合,クライアントは共有フォルダにアクセスすることはできない。共有フォルダをActive Directoryに登録するときは,指定した共有フォルダが間違っていないかどうかを十分に確認してほしい。ここでは,共有フォルダの登録手順を説明する。
- [Active Drectoryユーザーとコンピュータ]管理ツールを起動する。次に,コンソールツリーから共有フォルダを登録したいコンテナを右クリックし,表示されたメニューから[新規作成]−[共有フォルダ]を選ぶ。
- [新しいオブジェクトの作成−(共有フォルダ)]画面が表示されるので,[共有フォルダ名]と[ネットワークパス]を指定する。[共有フォルダ名]は,Active Directoryを使って検索するユーザーに表示されるものであり,必ずしも実際の共有フォルダ名と一致している必要はない。ただし,[ネットワークパス]には,実在するネットワークパスを指定する必要がある。ネットワークパスは,「\\サーバー名\共有フォルダ名」という形式で指定する。指定されたネットワークパスが実在するかどうかをActive Directoryはチェックしないので,注意してほしい。逆にいえば,Active Directoryにあらかじめ共有フォルダを登録しておき,あとから実際の共有フォルダを作成してもかまわない。
- 共有フォルダの情報は,共有フォルダのプロパティでさらに細かく設定できる。[全般]パネルでは,その共有フォルダの説明やキーワードを指定できる。また,[管理者]パネルには,その共有フォルダの管理者情報を設定できる。ただし,ここで指定する管理者情報は,実際の管理者と同一である必要はない(指定した名前に応じてアクセス制御されるわけではない)。
なお,共有フォルダに対するアクセス権限を制限したい場合には,ディレクトリ側ではなく,実体である共有フォルダ側のプロパティで適切にアクセス権限を施す必要がある。Active Directoryの共有フォルダオブジェクトにもアクセス権限のプロパティは用意されているが,これはディレクトリオブジェクトの属性値の変更を許可したり,ディレクトリオブジェクトを参照したりできるかどうかを定義するものでしかない。つまり,実体である共有フォルダそのもののアクセスを制御するものではないのである。そのため,Active Directoryの共有フォルダオブジェクトでオブジェクトの参照を拒否しても,共有フォルダ側でアクセス制御していない場合には,UNCパスなどを使用してActive Directoryを介さず直接共有フォルダに接続することで,その共有フォルダを利用できてしまう。アクセス制御は必ず実体側に設定するように注意してもらいたい。
 |
Deployment AD-3 9/13 |  |
