Windows 共有フォルダの設定って結局どうやるの? (2)解説編

Windows全般
スポンサーリンク

前回はWindows、Windows Serverの共有フォルダの設定例を紹介しました。そこで「何でそんな操作をするの?」という疑問を持ったのではないでしょうか。今回はそれをQ&A形式で解説します。



Q&A

Q:「フルコントロール」じゃダメなの?「変更」と同じことでしょ?

A:「フルコントロール」と「変更」は違います。どう違うかは、次のように認識しておけば良いかと思います。

「変更」は読み込み・変更・追加が可能です。「フルコントロール」は、これに加えて「権限の変更」も可能です。

共有フォルダで不用意に「フルコントロール」を許可すると、利用者がアクセス権限の変更ができてしまいます。これは避けた方がいいでしょう。

アクセス権限の変更は、管理者ユーザー(Administratorなど)に限定すべきです。そうでないと極端な話、利用者が「自分だけがアクセスできるフォルダを作ろう。管理者ですらアクセスできないものを。」と思えばやれてしまいます。管理者からするとこれは困りますよ。なにしろ削除すらできないフォルダが勝手に作られるのですから。(まあ、実運用では故意にやられるというよりは、ユーザーが良かれと思って何かしようとした結果、そうなってしまうのでしょうけど)

Q:Everyoneにアクセス許可したら、パスワード無しでアクセスできるんじゃないの?

A:いいえ、そんなことはありません。

Everyoneはあくまで「”登録されている”すべてのユーザー」ということです。もしuser1、user2、user3 が登録されていたとしたら、これら全てということに過ぎません。パスワード無しでアクセスできるという意味ではありません。

本当はActive Directory環境の場合や、GuestやAuthenticated Usersについても補足したいところですが、ややこしくなるのでここでは省略します。

Q:アクセス権を2種類設定してるけど、片方だけじゃだめなの?

A:だめです。両方とも必要なんです。共有フォルダにアクセスするとき、「(1)共有フォルダとしてのアクセス権」と「(2)ファイルシステムのアクセス権」の両方をクリアした操作のみができます。操作編の例では、どちらも「変更」権限を設定しています(「Everyone」はuser1を含む)。なので、読み取りだけでなくファイルの変更ができます。

別のケースとして、例えば次を考えてみましょう。

  • 共有フォルダとしてのアクセス権:user1は「フルコントロール」できる
  • ファイルシステムのアクセス権:user1は「読み取り」のみできる

この設定の場合、user1が共有フォルダにアクセスしたとき、ファイルの変更はできるでしょうか?答えはNOで、「読み取り」しかできません。片方がフルコントロールになっているので、変更可能と誤解する人が多いかもしれません。「読み取り」操作は、両方でクリアしている(フルコントロールに読み取り操作を含む)ので、それは可能です。では「変更」操作はどうかというと、片方でしかクリアしていないので、できないのです。

そういう仕組みですので、両方に適切なアクセス権を設定する必要があるのです。このあたりが、Windowsの共有フォルダの分かりにくい点の一つだと思います。

Q:2種類のアクセス権は、なんで同じ設定にしないの?

A:その方が楽だからです(笑)。真面目な言い方をすると、効率的かつ間違いにくいのは、「片方を緩く、片方を厳しく」する設定だと思うのです。

上で説明したとおり、共有フォルダは「(1)共有フォルダとしてのアクセス権」と「(2)ファイルシステムのアクセス権」の両方をクリアした操作のみが可能です(”OR”ではなく”AND”)。もちろん双方で同ように設定しても間違いではありません。しかし、それだとアクセス権の追加や変更が2か所で必要になり、手間もそうですが、設定ミスを招きやすいでしょう。

なので操作編では、「(1)共有フォルダとしてのアクセス権」はEveryone(登録された全てのユーザー)に変更権限を設定するという緩い設定としています。一方「(2)ファイルシステムのアクセス権」では、user1 には変更で、Administratorsにはフルコントロールで…というように厳しい(詳細な)設定になっています。もし後でアクセス権の追加するとしても、(2)だけで済むでしょう。

Q:もっと簡単な操作で、共有設定できてるけど?

A:そうです、もっと簡単な設定方法があります。本当はそちらを紹介したかったのですが、欠点があるので避けました

簡単な共有設定方法というのは、次のような方法です。

フォルダのプロパティの[共有]タブの「共有」ボタンをクリックして、上図右の画面でユーザーと権限を選択することで、共有設定は一応は完了します。

ただし、この方法を試してみると、「読み取り/書き込み」アクセス権を選択しているにも関わらず、実際のアクセス権は「フルコントロール」権限になりました。

これだと、上の【Q:「フルコントロール」じゃダメなの?「変更」と同じことでしょ?】で解説した通り、利用者にアクセス権限の変更を許すことになります。私はこうでなく「変更」権限にすべきと考えていますので、この後アクセス権限を修正することになってしまいます。それだったら最初から、操作編で示した通りの方法でやった方がいいな、となったわけです。

フィードバック

コメント

タイトルとURLをコピーしました