セキュリティタブでの設定について

セキュリティタブで他のPCからアクセスを許可する際の【グループ名またはユーザー名】についての質問です。

以前の質問：「アクセス出来ない共有ドライブについて」　http://oshiete.goo.ne.jp/qa/6523937.html

が解決した後、新たに確認したい事ができましたので別に質問を立てさせていただきます。

全ての共有ドライブにアクセスできるようになったわけですが、

その方法はコマンドプロンプトからCACLSコマンドを使ったり、共有フォルダのプロパティ＞セキュリティタブの【everyone】のアクセス制限の内容を変更することでした。

（いままでは共有タブのアクセス許可しかみてなかったみたいです。）

別のドライブでは【everyone】がなかったので、フォルダのプロパティ＞セキュリティタブ＞編集＞追加 から【everyone】を追加してアクセス可能になりました。


それで質問なのですが

他のPCからのアクセス許可する際の【グループ名またはユーザー名】は【everyone】でするのが普通なのででしょうか。

例えば私の環境　PC1：Windows7 UL　、　PC2：WindowsVista HPで、PC2からPC1の共有フォルダを見たい場合なのですが（現在はeveryoneでアクセス可能にしています。）

PC1の共有フォルダのプロパティ＞セキュリティタブ＞編集＞追加＞（ユーザー、グループ名の）場所

とみるとPC1しかでていません。PC2も選択肢としてあるのなら、PC2のユーザー名を登録して別にアクセス許可ができそうですし

【everyone】を使うよりも、そうしたした方がいいように思うのですが、、

セキュリティについては詳しくないので勘違いとか有りましたらご指摘ください。

それではよろしくお願い致します。

No.3 ベストアンサー 回答者： Ctrl-Z727 回答日時： 2011/02/16 09:35

＞セキュリティタブの「グループ名またはユーザー名」の欄に

＞PC2のアカウントを表示しなくてはならないと思うのですが、
[グループ名またはユーザー名] 欄にユーザー名を追加するためには、当該PC にそのユーザーアカウントを作成する必要があります。
具体的には、PC2 のユーザー名と同じユーザー（パスワードも同一にする）を PC1 に作成します。
新規作成したユーザーで１回ログオンすれば、そのユーザー名のプロファイルが作成されるので、セキュリティタブの [グループ名またはユーザー名] 欄に、当該ユーザー名を追加することが可能になります。
手順は下記ページを参照してください。
http://homepage2.nifty.com/o-nikko/soft/windows/ …

上記手順の中でユーザー名を [選択するオブジェクト名を入力して・・・] 欄に、入力する方法として [検索] をクリックしていますが、ユーザー名を直接キー入力してもできます。
※ 基本手順としては[検索] をクリックする方法でしょう。

この回答へのお礼

遅くなりましてすいません。

なるほどです。

色々教えていただきできるようになりました。

ありがとうございました。＾＾

お礼日時：2011/02/17 02:20

No.2 回答者： logner 回答日時： 2011/02/15 22:50

セキュリティを考えるのであればeveryoneというのは好ましくないんです。

ただ、アクセス権の設定はそのPCに作成されたアカウントしか設定できません。
例えば
PC１　で　test1 test2 というアカウントがあるとします。
PC２　で　test2 というアカウントがあるとします。test2はパスワードも同じ設定
PC1でフォルダを作り、アクセス権をtest1 test2でつけます。
PC1、PC2ともにtest2でログオンするときはそのままひらけますよね。
だけとPC1が test1でログオンしていると　PC2からフォルダを開こうとすると
アカウント名：test1　パスワード：test1のパスワードを入力しなければいけないですよね。
ようはアクセスされる側のIDやパスワードがわからなければいけないのでeveryoneを使うのが普通になるんじゃないでしょうか。両方のPCに同じアカウントとパスワードを作成しなければいけませんし。
私はWEBサーバーを構築し外部に公開しているためセキュリティのためeveryoneのアクセス権のあるフォルダは作っていません。どのPCにも同じアカウントを作成しています。

会社のPCなどでActiveDirectryなどを使っていればアクセス権もドメインサーバー上で検索をかけれるので他人のアカウントでも簡単に設定ができるんです。

この回答への補足

色々例を上げていただきありがとうございます。

私の環境は PC1とPC2はアカウント名は同じですがパスワードは違うようにしています。
（特に理由はなく別のほうがいいかな、、、という気持ちです。）

コンピューター名 PC1：アカウント名 TARO パスワード 0000
コンピューター名 PC2：アカウント名 TARO パスワード 9999　とすると

現在、PC1の共有フォルダのセキュリティタブの「グループ名またはユーザー名」に
質問にも書いた理由で
【TARO（PC1￥TARO)】は作れるけど【TARO（PC2￥TARO)】は作れないのです。
【TARO（PC2￥TARO)】が作れないと【everyone】を使わないPC2からのアクセスは出来ないと考えているんですが当っていますでしょうか。
当っていましたら、【TARO（PC2￥TARO)】を追加できる方法ありましたら教えてください。
勘違いしていれば指摘していただけると助かります。

-----------
ActiveDirectry　初めて聞きました。

軽く調べてみましたが難しそうですね。

OS標準でPC2からPC1の共有フォルダへ【everyone】以外からのアクセスが出来なければ考えてみたいと思います。；；

よろしくお願い致します。

補足日時：2011/02/16 01:57

No.1 回答者： Ctrl-Z727 回答日時： 2011/02/15 22:50

＞【everyone】でするのが普通なのででしょうか。

そのフォルダ（ファイル）に必要なセキュリティレベルによります。
例えば、誰にでも「読み取り」を許可する場合には、Everyone：R に設定することが必要です。反対に、特定なユーザーだけに書き込み許可を与える場合は、その "ユーザー名"：W の設定になります。
Everyone は文字通り誰でもアクセス可能になるので、アクセスを許可するユーザーを限定したい場合には適切ではありません。
即ち、アクセス権は「必要なセキュリティレベル」に基づいて、対象の"ユーザー・ユーザーグループ" と "許可の種類" の組み合わせで設定します。

（注1）Everyone に「拒否」を付与すると、誰もアクセスが不可能になります。
　尚、Authenticated Users についても同様なことが言えます。
　基本的には「拒否」の設定はしないことが賢明です。
（注２）cacls コマンドは十分理解した上で使用しないと、無用なトラブルに陥りますので注意が必要です。

＞PC2のユーザー名を登録して別にアクセス許可ができそうですし
アクセスするユーザーを限定する場合には、その通りの設定が必要です。
この場合には Everyone を削除します。

この回答への補足

度々ありがとうございます。

試しに【everyone】でアクセスできているPC1の共有フォルダのセキュリティタブから

【everyone】を削除してみました。当然アクセスはできなくなりましたが

PC1の共有フォルダのプロパティ＞セキュリティタブ＞編集＞追加＞（ユーザー、グループ名の）場所

でPC2が一覧にないのは変わりませんでした。

【everyone】を使わずにPC2からアクセスするためには、セキュリティタブの「グループ名またはユーザー名」の欄にPC2のアカウントを表示しなくてはならないと思うのですが、

具体的にどうすばいいでしょうか。

今しばらくよろしくお願い致します。

補足日時：2011/02/16 01:03