共有アクセス許可のEveryoneについて

こんにちは。

共有アクセス許可のEveryoneについて教えてください。
環境はWindows2000Serverです。

フォルダを共有すると、共有アクセス許可の所にデフォルトでEveryoneのフルコンが設定されると思います。これは、削除した方が良いのでしょうか？
残している場合、どのような問題が起きますか？

現在の設定は、共有アクセス許可の所はデフォルトのままで、NTFSのセキュリティでグループを追加してアクセス権設定をしています。
(NTFSセキュリティの方のEveryoneは外してあります。)

よろしくお願いします。

No.4 回答者： nick2038 回答日時： 2005/07/06 22:18

　僕は、共有のEveryoneを外す必要は無いと思っています。

　フールプルーフという考え方をしてらっしゃる方が多いようですが、どうやってもミスが出る時は出るし設定項目が増えればミスしやすくなるのではないかと思います。
（ミスが潜在するのが一番怖いですしね）

　通常は、共有もしくはNTFSの片側をEveryoneフルコントロールで良いと思います。　これが原因では問題は出ません。　問題が出るのはむしろ両方をコントロールしようとした場合です。

この回答へのお礼

みなさん回答ありがとうございます。
とても勉強になります。

「管理」と「セキュリティ」のどちらかを選ぶというのはとても難しいですね。

自分としては、やはりEveryoneは外さなくてよいかなと思いました。nickさんの回答にもありますが、両方をコントロールしようとして問題が起きるほうが怖い気がします。

ありがとうございました。

お礼日時：2005/07/08 14:37

No.3 回答者： deadline 回答日時： 2005/07/06 18:29

>なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな～と感じています。

それに管理も面倒ですし。。
>
>Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。

確かに、『管理』が面倒ですね。『共有アクセス権』と『NTFSアクセス権』の設定が食い違ってしまうと、管理者の予想外に、特定のユーザーがアクセスできなくなってしまったりしますしね。（その時には、設定を見直せば良いだけなのですが・・・、頻発すると参りますョね。）

ANo.#2の方の回答にもあるように、「everyone　フルコントロール」の削除は、『アクセス権』を明確に指定することで、『不用意なアクセスの要因を残さない』という意味合いが強いと思います。

『共有アクセス権』が「everyone　フルコントロール」でも、『NTFSアクセス権』さえ、きちんと設定されていれば、問題は発生しないはず（←これを断言できないのが辛い所です）なのですが・・・、
『セキュリティパッチ』が毎月のようにリリースされるWindowsですから、『絶対に問題が発生しない』＆『絶対に不正なアクセスを受けない』保証はありません。

『管理』しやすさを優先するなら、今のままでも構わないと思いますが、"Server"は安易に『セキュリティパッチ』を適用するわけにもいかないケースもありますから、『セキュリティ』を優先するなら、「everyone　フルコントロール」を削除して、個別に設定する方が良いと思います。

No.2 回答者： hoihence 回答日時： 2005/07/06 17:23

こんにちは。

サーバー管理をしたことがあるわけではないですが、アクセスコントロールを多段にして、セキュリティー管理を厳格化するためだと思うんですが。

共有リソース自体のアクセス権とファイルシステムによるアクセス権。

「Everyoneフルコンは削除し」は「必要なサービスだけを稼動させる」というサーバー運用のことと通じてると思うんですが。

要は必要としないものを削除しておくことで、悪用の材料を与えないという理解でいいと思うのですが。どうでしょう。

No.1 回答者： deadline 回答日時： 2005/07/06 14:56

『共有フォルダ』のネットワーク経由の『アクセス権』は、『共有アクセス権』と『NTFSアクセス権』を論理的に掛け合わせたものが適用されますから、『共有アクセス権』が、

everyone　　　　フルコントロール

になっていれば、各ユーザーごとの『NTFSアクセス権』の設定が適用されます。

↓の『■ ネットワークフォルダの保護』の『Windows NT/2000/XP の場合』の所です。

『Windows.FAQ - 基礎講座：ファイル、フォルダのアクセス権』
http://homepage2.nifty.com/winfaq/accessprivileg …

参考URL：http://homepage2.nifty.com/winfaq/accessprivileg …

この回答への補足

早速の回答ありがとうございます。

文献などを調べると共有アクセス権のEveryoneフルコンは削除し、NTFSアクセス権につけるグループを設定する等と書いてあります。

現在、NTFSアクセス権がきちんと適用されているので
問題は起きていません。なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな～と感じています。それに管理も面倒ですし。。

Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。

よろしくお願いします。

補足日時：2005/07/06 16:00