Windowsのフォルダアクセス権設定で、デフォルトで存在する「CREATOR OWNER」とは何なのでしょう。何に使うものなのでしょうか?そして、アクセス権設定ではそのままにすべきか、変更すべきか、今回はそのあたりを簡単に解説します。
誰なのコイツ?
下図のようなアクセス権の設定画面で、よく「CEATOR OWNER」というユーザー?グループ?…を見かけます。AdministratorsやUsersは分かるとして、こいつの正体がいまいち分からない。
お察しかもしれませんが、そういうユーザーやグループがいるわけではありません。名前の通り「このフォルダーを作ったユーザー」です。例えば「User1」というユーザーが作ったフォルダーであれば「User1」、Administratorが作ったフォルダーならAdministrator、ということを表しています。
私が試した限りでは、上の画面の「所有者」がこれに該当するようです。所有者を変更するとCREATOR OWNERも変わる、というような動きが見られました。
どんな時に役に立つの?
アクセス権の設定でCREATOR OWNERを使うことによって、例えば「複数人が利用する共有フォルダで、自分が作成したフォルダは削除できるが、他人が作ったフォルダは削除できない」というような定義ができます。まあ、便利ではありますよね。
アクセス権には入れていた方がいいの?
ドライブ直下のアクセス権
Cドライブなどのドライブ直下のアクセス権には、デフォルトでCREATOR OWNERにフルコントロール権限が与えられています。これは、そのままにしておく方が便利だと思います。
UAC(ユーザーアカウント制御)の関係で「管理者権限を持つユーザーなのに、ファイルの変更が拒否される」といった煩わしい挙動を経験した方もいるのではないでしょうか?でもCREATOR OWNERのアクセス権設定があるおかげで、自分が作ったフォルダはこの煩わしさから解放されます。この辺りのカラクリは別記事で解説しています。
共有フォルダのアクセス権
ファイルサーバーのように複数人が利用する共有フォルダの場合は、基本的にCREAOR OWNERのアクセス権は削除した方が良いと思います。
その理由は、設定ミスを招きやすく、それによって管理者が想定しないアクセスを許してしまいがちだからです。デフォルトではCREATOR OWNERにフルコントロールを許可していますので、「読み取り専用で共有していたはずのフォルダが、特定ユーザーは変更もできてしまう」といった事態を招きがちです。
共有フォルダのアクセス権設定は、可能な限りシンプルにした方が管理しやすく確実です。CREATOR OWNERのアクセス権(アクセス許可エントリ)は削除して、必要なグループやユーザーを明示的に許可設定した方が良いと思います。もっとも、前述のように「フォルダの削除はその作成者だけが可能」のような設定をする場合は、CREATOR OWNERの定義が必要ですが、それも権限設定が複雑化して設定ミスをするリスクも勘案して、判断すべきでしょう。
なお、「Users」に対するアクセス権設定については、同じような理由で削除したほうが良いと思います。このグループは、Active Directoryドメイン環境下では「ドメイン内に存在するユーザーすべて」のような意味になるため、想定していないユーザーに権限を与えてしまいがちです。
補足
実は「所有者」はアクセス権を変更する権限があります。フォルダのアクセス権の一覧に、CREATOR OWNER含めて許可設定がなくとも、自分が作成したフォルダはアクセス権を変更可能なのです(自分にフルコントロール権限を付与可能)。
この点は、特に共有フォルダのアクセス権設定では注意が必要です。こちらは別記事で解説しています。
おわりに
今回の記事は以上です。
当サイトでは、ITインフラ関連の知識やノウハウをメインに紹介しています。下の関連記事にも役立つ情報があるかもしれませんので、ぜひご覧下さい。
また、知識やノウハウを効率的に学ぶ方法として、Udemy の「ながらセミナー」もおすすめです。三日坊主にならず、普段の生活の中でスキルアップする方法です。これについては下の記事で紹介していますので、良ければご覧下さい。
最後まで読んでいただき、ありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント