企業内でファイル共有をする際のアクセス制御を考える:仕事で使うNAS 第3回(3/4 ページ)
連載第3回では、WindowsサーバからASUSTOR NASに移行する際のポイントとして「Windows ACL」を取り上げ、アクセス制御の具体例を見ていく。
ASシリーズでWindows ACLを設定する
ASUSTOR製NAS「AS」シリーズでは、Windows ACLはオプション扱いで、共有フォルダ単位で有効/無効を設定する。ただし、初期状態で設定済みのHome、ユーザーホーム、PhotoGallery、Web、Surveillance、MyArchive、Network Recycle Bin、Virtual Devices、外付けデバイスにはWindows ACLは利用できない。
共有フォルダのWindows ACLを有効化すると全ユーザー、administratorsグループ、adminユーザーに対して「Read & Write、ただし削除不可」が設定される。Windows ACLを設定する場合はまず、ADMのパーミッションを「Read&Write」にしておく必要があるからだ。
そのうえでWindows ACLの細かい設定を行う。もしRead&Writeの権限がない場合はそのユーザーに対してWindows ACLは機能しない。なお、これは共有フォルダそのものだけに設定され、共有フォルダ以下のファイルやサブフォルダには継承されない。
Windows ACLが有効化されたフォルダ/ファイルは、ADM上だとFile Explorer、Windows上だとWindowsエクスプローラーからパーミッションの設定を行うことができる。
ただし、ASシリーズに限らず、Windows ACLを利用する場合には十分注意が必要だ。柔軟なアクセス制御ができる半面、設定を間違えると意図したとおりにアクセスできなくなる。それだけでなく、その原因を突き止めることが非常に困難である場合も多い。
ASシリーズの場合、前述したように共有フォルダごとにWindows ACLを利用するかどうかを設定できるので、まずは狙い通りの設定ができるかどうか、フォルダを限定して確認しながら進めていくといいだろう。
また、いったんWindows ACLを無効化すると、その共有フォルダはすべてのユーザーに対しRead&Writeが許可された状態に戻る。「なんでもアリ」になってしまうので、早急に適切な設定を行おう。
Copyright © ITmedia, Inc. All Rights Reserved.