AIと戦って、あなたの人生のリスク診断 >>

こんにちは。

共有アクセス許可のEveryoneについて教えてください。
環境はWindows2000Serverです。

フォルダを共有すると、共有アクセス許可の所にデフォルトでEveryoneのフルコンが設定されると思います。これは、削除した方が良いのでしょうか?
残している場合、どのような問題が起きますか?

現在の設定は、共有アクセス許可の所はデフォルトのままで、NTFSのセキュリティでグループを追加してアクセス権設定をしています。
(NTFSセキュリティの方のEveryoneは外してあります。)

よろしくお願いします。

A 回答 (4件)

 僕は、共有のEveryoneを外す必要は無いと思っています。


 フールプルーフという考え方をしてらっしゃる方が多いようですが、どうやってもミスが出る時は出るし設定項目が増えればミスしやすくなるのではないかと思います。
(ミスが潜在するのが一番怖いですしね)

 通常は、共有もしくはNTFSの片側をEveryoneフルコントロールで良いと思います。 これが原因では問題は出ません。 問題が出るのはむしろ両方をコントロールしようとした場合です。
    • good
    • 1
この回答へのお礼

みなさん回答ありがとうございます。
とても勉強になります。

「管理」と「セキュリティ」のどちらかを選ぶというのはとても難しいですね。

自分としては、やはりEveryoneは外さなくてよいかなと思いました。nickさんの回答にもありますが、両方をコントロールしようとして問題が起きるほうが怖い気がします。

ありがとうございました。

お礼日時:2005/07/08 14:37

>なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな~と感じています。

それに管理も面倒ですし。。
>
>Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。

確かに、『管理』が面倒ですね。『共有アクセス権』と『NTFSアクセス権』の設定が食い違ってしまうと、管理者の予想外に、特定のユーザーがアクセスできなくなってしまったりしますしね。(その時には、設定を見直せば良いだけなのですが・・・、頻発すると参りますョね。)

ANo.#2の方の回答にもあるように、「everyone フルコントロール」の削除は、『アクセス権』を明確に指定することで、『不用意なアクセスの要因を残さない』という意味合いが強いと思います。

『共有アクセス権』が「everyone フルコントロール」でも、『NTFSアクセス権』さえ、きちんと設定されていれば、問題は発生しないはず(←これを断言できないのが辛い所です)なのですが・・・、
『セキュリティパッチ』が毎月のようにリリースされるWindowsですから、『絶対に問題が発生しない』&『絶対に不正なアクセスを受けない』保証はありません。

『管理』しやすさを優先するなら、今のままでも構わないと思いますが、"Server"は安易に『セキュリティパッチ』を適用するわけにもいかないケースもありますから、『セキュリティ』を優先するなら、「everyone フルコントロール」を削除して、個別に設定する方が良いと思います。
    • good
    • 0

こんにちは。



サーバー管理をしたことがあるわけではないですが、アクセスコントロールを多段にして、セキュリティー管理を厳格化するためだと思うんですが。

共有リソース自体のアクセス権とファイルシステムによるアクセス権。

「Everyoneフルコンは削除し」は「必要なサービスだけを稼動させる」というサーバー運用のことと通じてると思うんですが。

要は必要としないものを削除しておくことで、悪用の材料を与えないという理解でいいと思うのですが。どうでしょう。
    • good
    • 0

『共有フォルダ』のネットワーク経由の『アクセス権』は、『共有アクセス権』と『NTFSアクセス権』を論理的に掛け合わせたものが適用されますから、『共有アクセス権』が、



everyone    フルコントロール

になっていれば、各ユーザーごとの『NTFSアクセス権』の設定が適用されます。

↓の『■ ネットワークフォルダの保護』の『Windows NT/2000/XP の場合』の所です。

『Windows.FAQ - 基礎講座:ファイル、フォルダのアクセス権』
http://homepage2.nifty.com/winfaq/accessprivileg …

参考URL:http://homepage2.nifty.com/winfaq/accessprivileg …

この回答への補足

早速の回答ありがとうございます。

文献などを調べると共有アクセス権のEveryoneフルコンは削除し、NTFSアクセス権につけるグループを設定する等と書いてあります。

現在、NTFSアクセス権がきちんと適用されているので
問題は起きていません。なので、わざわざ共有アクセス権のEveryoneを削除する必要があるのかな~と感じています。それに管理も面倒ですし。。

Everyoneを削除する理由、残っている場合に起きる問題点などを教えて頂けると助かります。

よろしくお願いします。

補足日時:2005/07/06 16:00
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qeveryoneがフルコンなら誰でもアクセス可?

Windows 7 Ultimateの「フォルダを右クリックする→プロパティ→セキュリティ」にあるeveryoneをフルコントロールにしておくと、そのworkgroup内のユーザーであればどんなユーザーでもそのフォルダにアクセスできるのでしょうか。

Aベストアンサー

>同じworkgroup内のユーザーでなければ、そもそもLAN上に出てこないですよね。
「ネットワーク」に表示されないだけで、アドレスを直接入力すればアクセスすることはできます。

LAN上の他のコンピュータからのアクセスはローカルのファイルのアクセス権(右クリックのセキュリティから表示される)と、共有のアクセス権の双方に関わります。これらは別々に指定することが可能です。
で、共有ファイルにアクセスするためにはそのコンピュータ上のユーザIDとパスワードが必要です。これを知らなければアクセスできません。

http://mbsupport.dip.jp/watson/network_02.htm
http://win7.jp/h7k1120.htm

Qフォルダの削除について

外付けハードディスクのフォルダを削除したいのですが,

「この操作を実行するアクセス許可が必要です.このフォルダーをh変更するには,Everyoneからのアクセス許可を得る必要があります.」

とでてしまって,削除できないのですが・・・

これを解決するやり方をご存知の方が言えればぜひ教えて下さい.

よろしくお願いします.

Aベストアンサー

フォルダ内のファイルを別の場所にコピーし、元のフォルダの中のファイルを削除、再起動
または、フォルダ右クリック「プロパティ」「セキュリティ」「編集」「Everyoneのフルコントロールを許可」し、削除
フォルダ内にサブフォルダがあれば先に削除し、削除
VistaやWindows 7ならフォルダ右クリック「管理者として実行」削除
XPならアドミ権限でログインし削除またはセーフモードで起動し削除

参考URL:http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1050152220

Q「グループ名またはユーザー名」の"SYSTEM"について

細かくアクセス制限を行おうと思い、セキュリティタブを表示するようにしたのですが、「グループ名またはユーザー名」の中で、ほぼ初期値としてはいっている"SYSTEM"は削除すると支障が出るでしょうか。
たとえば「マイドキュメント」フォルダは"SYSTEM"を削除すると支障が出るでしょうか。
"SYSTEM"が絶対に必要なフォルダとは、どういうフォルダでしょうか。
なんとなく"WINDOWS"フォルダには絶対に必要な気がするのですが、「グループ名またはユーザー名」の"SYSTEM"について詳しく解説していただければありがたいです。

Aベストアンサー

SYSTEM のアクセス許可を削除すると、タスクマネージャのプロセスタブで、ユーザー名が SYSTEM となっているプロセスからそのフォルダへのアクセスが出来なくなります。

Windowsにログインする前から起動してPCの保守などを行うようなプロセスは、基本的にSYSTEMユーザーで動いていますので、たとえば、わたしのPCでは、Norton AntiVirusがSYSTEMユーザーのプロセスとして動いていました。

この場合、マイドキュメントフォルダからSYSTEMユーザーのアクセス制御を削除すると、マイドキュメントフォルダは保護されないことになります。

Qeveryoneとusersって誰のことでしょうか

Windows 7 Ultimateの「フォルダを右クリックする→プロパティ→セキュリティ」にあるeveryoneとusersとは誰のことですか。次の(a)~(c)のような人のことかなと思いましたがよく分かりません。

(1) everyone
(a)パスワードを設定していないユーザーだけ
(b)パスワードを設定しているユーザーだけ
(c)全てのユーザー

(2) users
(a)パスワードを設定していないユーザーだけ
(b)パスワードを設定しているユーザーだけ
(c)全てのユーザー

Aベストアンサー

>「パスワード未設定のGuestユーザーが有効」に設定するにはどうしたらいいのでしょうか。

管理者権限のあるユーザーでログインして、以下のページに従って有効/無効を設定。
http://faq.epsondirect.co.jp/faq/edc/app/servlet/relatedqa?QID=010648

通常、Guestにはパスワードは設定出来ない筈ですが、もし、間違ってパスワードが付いていた場合は、Guestアカウントを有効にしたのち、以下のページに従ってGuestのパスワードを削除して下さい。
http://qa.support.sony.jp/solution/S0907031064291/

正常であれば、ユーザーのアイコン付き一覧が出た段階で、Guestの下に「パスワード保護」と書いてない筈です。

なお、Guestユーザーは、Administratorと同様に、特殊ユーザーアカウントなので、Guestアカウントは削除したり、削除後に再作成したりする事は出来ません。また、パスワードも設定出来ない筈です。

QEveryone拒否したら自分がアクセスできません

外付けhddのプロパティからセキュリティのグループ名みたいな欄のEveryoneを拒否したら自分がアクセスできなくなってしまいました!!!!!
どうやって元に戻せばいいのでしょうか!!!!助けてください。。。。

Aベストアンサー

連投すいません。NO.2です。
takeown /F E:\ /R
icacls E:\ /setowner %USERNAME%
cacls E:\ /C /T /E /P Everyone:F
の「E:\」は外付けHDDのドライブ名に変更してください。

Q共有フォルダに対するアクセス制限について

Windows7(Pro)x3台でフォルダ共有を利用しています。

そのうち、Aに共有フォルダを作って、Bからはアクセス可能で、Cからはアクセスできない
ようにしたいのですが、どうもうまくいきません。

いろいろFAQなどを読むと、だいたい、新しくユーザアカウントを作成して、それにアクセス
制限をかけるようなやり方なのですが、うまくいきません。

もっと簡単な方法はないのでしょうか。
(なんで最近のWindowsはこんなに難しくなってしまったのでしょうか。。。)

※フォルダにパスワードをかけるだけでもイイです。

宜しくお願い致します。

Aベストアンサー

拒否ではなく、許可で設定するのが基本です。

QCドライブ全てをEveryoneフルコントロールにする方法を教えてくだ

Cドライブ全てをEveryoneフルコントロールにする方法を教えてください

今までは当方のOSはWindowsXPかWindows2000でした。
Windows2000やWindowsXPでCドライブ(ルートディレクトリ)のセキュリティのアクセス許可を「Everyoneフルコントロール」にし、「子オブジェクトのアクセス許可全てをこのオブジェクトからの継承可能なアクセス許可で置き換え」をしていました。
これでWindowsフォルダやProgram FilesフォルダもEveryoneフルコントロールになっているのを確認できていました。

Windows7を導入する事になりました。
上記と同じ事を行なうと…
Cドライブ(ルートディレクトリ)上ではEveryoneフルコントロールにはなっています。が…
「子オブジェクトのアクセス許可全てをこのオブジェクトからの継承可能なアクセス許可で置き換える」をすると…
> c:\windows C:\Program Files
> アクセスが拒否されました
となってしまいます。

確認の為にWindowsフォルダやProgram Filesフォルダでセキュリティを確認すると…
CREATER OWNER、SYSTEM、Administrator、Users、TrustedInstallerはありますがEveryoneがありません。
またこれらのユーザ達どれもフルコントロールになっていません。
ルートディレクトリではEveryoneフルコントロールになっているのに下位階層に反映されません。

どうにかして、WindowsフォルダやProgram FilesフォルダをEveryoneフルコントロールにする事ができないでしょうか?

教えてください。よろしくお願いいたします。

Cドライブ全てをEveryoneフルコントロールにする方法を教えてください

今までは当方のOSはWindowsXPかWindows2000でした。
Windows2000やWindowsXPでCドライブ(ルートディレクトリ)のセキュリティのアクセス許可を「Everyoneフルコントロール」にし、「子オブジェクトのアクセス許可全てをこのオブジェクトからの継承可能なアクセス許可で置き換え」をしていました。
これでWindowsフォルダやProgram FilesフォルダもEveryoneフルコントロールになっているのを確認できていました。

Windows7を導入する事にな...続きを読む

Aベストアンサー

No.4 の補足です。
やってみることが肝心、ということでやってみました。
icacls "C:\Program Files" /grant Everyone:(F) /T
を実行してみると、親フォルダも含めて傘下のフォルダ、ファイルにEveryoneが付与され、フルコントロールになりました。
ただし、予想通りでしたが、うまくいかないフォルダも存在して、その時点で処理停止します。
うまくいかない場合は、いったん takeownコマンドで所有者を管理者に変更して行なえばOKでした。
とりあえず Program Files だけ試しましたが、
おそらく Windowsフォルダ、Cドライブにも通用するものと思います。
自己責任で試してみてください。

QAuthenticated Userって何ですか?

Windows系サーバにあるAuthenticated Userって何ですか?
ネットで調べてもいまいちよく理解できません。
わかりやすく説明してくれる方がいらっしゃいましたらお願いします。

Aベストアンサー

ドメインに参加することを許可されたユーザ。
(ドメインにアカウントのあるユーザ)
ローカルで言えば一般ユーザ(User)と変わりないです。

Q社内LANでのフォルダ共有の危険性は?対策は?

PC素人に毛が生えた程度の者です。
ネットワークやセキュリティの知識はほとんどありません。

現在、社内には5台のPCがあり、ルーターを介してすべて有線でインターネットに接続していて、また、社内LANでプリンタ共有とフォルダ共有を行っています。


質問は表題の通りです。

社内LANで共有フォルダにいろいろなファイルを入れた時にセキュリティ的にどの様な問題があるか教えて頂きたいです。
(共有フォルダにあった重要ファイルを社員が間違えて消してしまった、という人為的?な問題は除いて頂いて結構です。)

また、そのような問題に対してどのような対策を講じれば良いのでしょうか?


インターネットに接続している時点でハッキング等のセキュリティ上のリスクはあると思いますが、共有フォルダを使うことでそういったリスクが極端に増えるものなのか気になるのです。

もしそうでなければ、会社の比較的重要なファイルもすべて共有フォルダに入れて、自由に閲覧・編集できるようにしたいと思っています。


ご返答よろしくお願いします。

Aベストアンサー

>また、そのような問題に対してどのような対策を講じれば良いのでしょうか?
あなたはその会社でどのような立場の方ですか?
管理責任の無い従業員であれば無視して与えられた作業に専念してください。
経営者または社内情報の管理者であれば情報管理の在り方を学習して目的に合った運用の仕方を考えてください。

>インターネットに接続している時点でハッキング等のセキュリティ上のリスクはあると思いますが、
あなたの会社は特殊な情報を大量に扱っているのでしょうか?
普通の中小企業であればインターネットから攻撃を受ける心配はありません。
また、ブロードバンドルーターを使ってインターネットに繋いでいても通常の場合はルーター越しにLAN内のPCへ接続してファイルを読むことは困難です。
価値の高い情報が無ければ困難な接続を試す人はいないと思います。

>会社の比較的重要なファイルもすべて共有フォルダに入れて、自由に閲覧・編集できるようにしたいと思っています。
重要書類には閲覧許可を限定する必要があると思います。
また、それらのファイルを編集可能な社員を限定することも必要なはずです。
誤って削除したり、故意に改竄されたときのチェックを如何するかの方が重要なことのように思います。
社内の運用について約束事は相互に理解されているのでしょうか?
デジタルデータの管理は紙ファイルのデータより扱い難いこともありますので誤った判断にならないよう注意すべきです。

>また、そのような問題に対してどのような対策を講じれば良いのでしょうか?
あなたはその会社でどのような立場の方ですか?
管理責任の無い従業員であれば無視して与えられた作業に専念してください。
経営者または社内情報の管理者であれば情報管理の在り方を学習して目的に合った運用の仕方を考えてください。

>インターネットに接続している時点でハッキング等のセキュリティ上のリスクはあると思いますが、
あなたの会社は特殊な情報を大量に扱っているのでしょうか?
普通の中小企業であればインターネット...続きを読む

Q管理者としてログインしているのに、なぜかファイルを削除できない。

管理者としてログインしているのに、なぜかファイルを削除できない。
windows7で、管理者として入っているのにファイルが削除できません。所有者の変更はしてみましたが、うまくいきません。所有者の変更はできるのですが、読み取り専用のチェックをはずそうとすると管理者の権限を求められます。何か他の方法はないでしょうか?

あと、後学のためになぜこうなるのか簡単に説明してくださると助かりますが、問題を解決する方法が特に知りたいです。
このPCははじめからwindows7が入っていました。

Aベストアンサー

No.3 の補足です。
質問には何も書いてないので、システム動作中には操作できないファイルかとも考えて、DVD(CD)起動での操作を回答しました。
普通のファイルのようですので、No.3 に書いたツールはWin7動作中のコマンドプロンプトでいいです。
(コマンドプロンプト右クリック->管理者として実行)

補足ですが「管理者としてログイン」していても、いわゆる最高レベルの管理者ではありません。
アクセス許可されないファイルもありますので「管理者として実行」でレベルを昇格して使用してください。

質問には何も書いてないのですが、エクスプローラで操作しているのですか?
エクスプローラを「管理者として実行」で実行していますか?
(スタート->アクセサリ->エクスプローラ右クリック->管理者として実行)

> 所有者の変更はしてみましたが、うまくいきません。

どのようにうまくいかないのですか。
どのファイルでも管理者に変更後にはEveryone フルコントロールを追加できるはずです。


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング