ファイル共有で２階層までしかアクセスできない。

ファイル共有で２階層までしかアクセスできない。

検索してみると、同じ質問がたくさんヒットしました。
しかし、解決策を見つけることができませんでしたので、質問させていただきます。

環境
Windows Xp Sp2

=============================================

例を挙げます。
ＰＣ－Ａ
ＰＣ－Ｂ
Ａさん
Ｂさん

ＡさんはＰＣ－Ａに対してアドミニ権限を持っています（ＰＣ－Ｂに対しては制限ユーザーです）。
ＢさんはＰＣ－Ｂに対してアドミニ権限を持っています（ＰＣ－Ａに対しては制限ユーザーです）。

ＡさんがＰＣ－Ａの"C:\Documents and Settings\A"を共有設定します。
（「簡易ファイルの共有を使用する」は外しています。どこかに書いてありました。）
アクセス権はＡさん・Ｂさんともに（とりあえず）フルコントーロールに設定します。
アクセス権の伝搬は
「子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリーで子オブジェクトに適用するもので置換する」
を選択します。

この設定で、ＰＣ－Ａの共有フォルダーはＰＣ－Ｂから見えるようになり、ＡさんもＢさんも使用できるようになりました。

ＰＣ－Ａの共有フォルダーをＰＣ－Ｂから利用する時のことです。
Ａさんが使うと"C:\Documents and Settings\A"以下のすべてのフォルダー・ファイルへアクセスできます。
Ｂさんが使うと"C:\Documents and Settings\A"以下の２階層下のフォルダー・ファイルへアクセスできますが、それよりも下のフォルダーやファイルに対しては「アクセスが拒否されました」ダイアログが表示されアクセスできません。

=============================================

ＰＣ－Ａのアドミニ権限を持っているＡさんと一般ユーザーのＢさんでアクセスできるフォルダー階層が違うのでしょうか（ＡさんＢさんともにフルコントーロールにしていても）。

「ファイル名の長さ問題」もありましたので、数えてみましたが漢字を含めても１００バイトくらいです。

思いつくものとしては「所有者」の設定があります。
ＰＣ－Ａのフォルダー・ファイルはＡさんの所有になっています。
ＰＣ－Ｂのフォルダー・ファイルはＢさんの所有になっています。

いまのところ、このような状況です。

解決したいのは、アドミニ権限を持っていない状態で「２階層までしかアクセスできない。」
これを「下位層すべてにアクセスできるようにできるようにしたい」です。
「レジストリーのどこかを変更すれば・・・」というような方法でもかまいません。

原因や理由も知りたいです。

よろしくお願いします。

No.1 回答者： foitec 回答日時： 2010/04/24 09:32

＞Windows Xp Sp2

デフォルト（簡易）共有を解除できたようなのでProfessional ですかね。

あなたの設定は親フォルダ（共有リソース）を子フォルダへ「継承」させているので
「孫フォルダ」の階層にはそのままでは継承されません。

従って質問の症状（状況）は全く正常です。

親からみて全ての下位階層までアクセス権を伝承させるには子階層のアクセス権を更にその子の階層（下の親から見れば孫階層）へ継承させる必要があります。
従って階層が深くなるほどその伝承を行う必要があります。

こういう仕様でないと企業のセキュリティ構成が非常に難しくなるのです。（大元のセキュリティを全ての階層に摘要できてしまうなら子階層以下のセキュリティ設定は不要と言うことになってしまいます）
企業ではフォルダ（階層＝ディレクトリ）のアクセス権のほかその配下のファイルごとにきめ細かな設定を行うので親から子への継承は良いにしてもその更に配下にまで継承させるのは帰って面倒なので
そういう設定をしたいときは「明示的に」継承させることが必要になります。

参考URLを開くと下段に設定方法があるので参照してください。

尚、共有資源にアクセスさせるのに意味も無く「フルコントロール」許可を与えてはいけません。
セキュリティの意味がなくなるのと階層自体を消去できます。
ネットワークアクセス上で消去した場合（普通は）ゴミ箱に移ることなく一瞬で鉦鼓されますので注意が必要です。

参考URL：http://www.grot3.com/acl/eacl/eacl.html

この回答への補足

ご回答、ありがとうございます。
いくつか追加質問させてください。

----------------------------
＞デフォルト（簡易）共有を解除できたようなのでProfessional ですかね。

はい、そうです。
----------------------------
＞あなたの設定は親フォルダ（共有リソース）を子フォルダへ「継承」させているので
「孫フォルダ」の階層にはそのままでは継承されません。

参考ＵＲＬを見ると、
「子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリーで子オブジェクトに適用するもので置換する」
の設定にすれば、共有元が「親」となってそれ以下の階層へすべて継承されるように受け取れるのですが、どこか誤解していますでしょうか。
----------------------------
＞親からみて全ての下位階層までアクセス権を伝承させるには子階層のアクセス権を更にその子の階層（下の親から見れば孫階層）へ継承させる必要があります。
従って階層が深くなるほどその伝承を行う必要があります。

これは、現在アクセスを拒否されている階層に、もし１００フォルダあったとしたら
各フォルダーごとにアクセス権の設定をしなければならないということでしょうか。

例えば、共有元フォルダー以下すべてへ「読み、実行」権だけを設定しておいて、
下位の必要なフォルダーへは「変更、書き込み」権を設定していくというやり方
はできないのでしょうか。
----------------------------
＞尚、共有資源にアクセスさせるのに意味も無く「フルコントロール」許可を与えてはいけません。

すみません、これは２階層以下にアクセスできなかったため、試しに設定してみました。
----------------------------

補足日時：2010/04/24 16:23

No.2 ベストアンサー 回答者： foitec 回答日時： 2010/04/25 01:30

＞「子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリーで子オブジェクトに適用するもので置換する」

＞の設定にすれば、共有元が「親」となってそれ以下の階層へすべて継承されるように受け取れるのですが、どこか誤解していますでしょうか。

ルートつまり「親」はその通りです。
かつその直下のフォルダは
「子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める」
のチェックも入れておく必要があります。

ただしこれはデフォルトではチェックされているかと思います。

＞これは、現在アクセスを拒否されている階層に、もし１００フォルダあったとしたら
各フォルダーごとにアクセス権の設定をしなければならないということでしょうか。

いえ、違います。
「親」の配下すべての階層に同じアクセス権を継承させるのは上記のとおりです。
最初の質問では「継承」されないために孫階層化で「拒否」されているように見えますが

そこで
最初の質問での「拒否」される階層でのアクセス権は親と同じなのに拒否されるのかあるいは
アクセス権が継承されていないのかのどちらですか？

継承されない場合は常時方法のほか子階層の「所有権」が「Adminisitrator」になっていますか？
もしかして特定のユーザーになっていませんか？

＞例えば、共有元フォルダー以下すべてへ「読み、実行」権だけを設定しておいて、
＞下位の必要なフォルダーへは「変更、書き込み」権を設定していくというやり方
＞はできないのでしょうか。

できますよ。
というかそういう使い方が普通です。

ただし、「親＝上位階層」から「継承」してきたアクセス権はそのままでは編集変更できません。
そこでセキュリティタブで「詳細設定」を選び「アクセス権の変更」を選びます。
「編集」ボタンはクリックできますが「継承元：が明示されてる名前についてはチェックボックスグレイアウトしてるはずです。

そこで「このオブジェクトの親からの継承可能なアクセス許可を含める」のチェックをはずします。
警告表示の中の「コピー」を選択します。
これで編集ができるようになります。
ただし再度「このオブジェクトの親からの～　をチェックして適用してしまうと親の継承に戻ってしましますからチェックははずしたたままにします。

変更した設定を配下のフォルダに継承するならば
「子オブジェクトのアクセス許可すべてを、このオブジェクトからの継承可能なアクセス許可で置き換える」にチェックを入れ適用します。

なお、アクセス許可の設定は「拒否」が優先されます。

この回答への補足

たびたび、お世話になります。

------------------------------
＞ルートつまり「親」はその通りです。
＞かつその直下のフォルダは
＞「子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める」
＞のチェックも入れておく必要があります。

「自身からの継承」と「親からの継承」の両方にチェックを入れておかなければならないのですね。。
------------------------------
＞ただしこれはデフォルトではチェックされているかと思います。

そうですね。「自身からの継承」だけでいいのかと思い、チェックを外していました。
------------------------------
＞最初の質問での「拒否」される階層でのアクセス権は親と同じなのに拒否されるのかあるいは
アクセス権が継承されていないのかのどちらですか？

何日か商用で不在にしますので、次回出社したときに確認してみます。
------------------------------
＞継承されない場合は常時方法のほか子階層の「所有権」が「Adminisitrator」になっていますか？
＞もしかして特定のユーザーになっていませんか？

もともとは「Adminisitrators」になっていましたが、「拒否された」こともあって
たとえば、ＰＣ－Ａの所有権をＢさん（ＰＣ－Ａのアドミ権限のない）変えたフォルダーも
あります。
これはいったん共有解除して元に戻してみます。
------------------------------
＞＞例えば、共有元フォルダー以下すべてへ「読み、実行」権だけを設定しておいて、
＞＞下位の必要なフォルダーへは「変更、書き込み」権を設定していくというやり方
＞＞はできないのでしょうか。

＞できますよ。
＞というかそういう使い方が普通です。

そうですよね。
おおもとの設定に間違いがあるようですね。
------------------------------
＞ただし、「親＝上位階層」から「継承」してきたアクセス権はそのままでは編集変更できません。
＞そこでセキュリティタブで「詳細設定」を選び「アクセス権の変更」を選びます。
＞「編集」ボタンはクリックできますが「継承元：が明示されてる名前についてはチェックボックスグレイアウトしてるはずです。

＞そこで「このオブジェクトの親からの継承可能なアクセス許可を含める」のチェックをはずします。
＞警告表示の中の「コピー」を選択します。
＞これで編集ができるようになります。
＞ただし再度「このオブジェクトの親からの～　をチェックして適用してしまうと親の継承に戻って＞しましますからチェックははずしたたままにします。

＞変更した設定を配下のフォルダに継承するならば
＞「子オブジェクトのアクセス許可すべてを、このオブジェクトからの継承可能なアクセス許可で置き換える」にチェックを入れ適用します。

これも、次回出社したときに確認してみます。
------------------------------

補足日時：2010/04/25 06:57

No.3 回答者： yosuke3a 回答日時： 2010/04/25 18:36

基本的にやり方は正しいように見えるのですが、一つ質問です。

ユーザーはドメインユーザーですか？ローカルユーザーですか？
ローカルの場合、PCAの「ユーザーA」とPCBの「ユーザーA」は別人ですので、その点注意いただければ問題ない筈です。
「子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリーで子オブジェクトに適用するもので置換する」にチェックを入れて適応ボタンを押した時点で、下位フォルダ・ファイルのアクセス権は「継承」に置き換わるはずです。

この回答への補足

ありがとうございます。
---
＞ユーザーはドメインユーザーですか？ローカルユーザーですか？

ドメインユーザーです。
---
＞ローカルの場合、PCAの「ユーザーA」とPCBの「ユーザーA」は別人ですので、その点注意いただければ問題ない筈です。

はい、そのように認識しています。
---
＞「子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリーで子オブジェクトに適用するもので置換する」にチェックを入れて適応ボタンを押した時点で、下位フォルダ・ファイルのアクセス権は「継承」に置き換わるはずです。

はい、これも確認しました。
共有元が「継承なし」、それ以下の下層フォルダ等は「継承」になっています。
---
少しだけ時間が取れたので、試したところ、
「ＰＣ－Ａのマイドキュメント」をＰＣ－ＢからＢさん権限でアクセスすると、
２層よりも深いところまでアクセスできるようです（何層までかは確認できませんでした）。
「ＰＣ－Ａのマイドキュメント以外」をＰＣ－ＢからＢさん権限でアクセスすると、
２層まででそれ以下は「アクセス拒否」となります。

デフォルトの設定か何かがあるのでしょうか。

---
次回、試せるのはＧＷ明けになります。
もし、よろしければお付き合いください。

補足日時：2010/04/29 08:01

No.4 回答者： foitec 回答日時： 2010/04/30 08:19

確認です。

ドメイン構成と言うことですので　間違いなく　件のPCはドメインコンピュータとしてリストされていますよね？

でアクセス権を追加する際にBさんを登録したと思いますが間違いなく　Bさん￥ドメイン　で表示されていますよね？？

この回答への補足

たびたび、お世話になります。

「Bさん￥ドメイン」だったか「ドメイン￥Bさん」だったか覚えていませんが、
「ユーザーまたはグループの選択」ダイアログで「名前の確認」ボタンを押した時、
ドメイン名とユーザー名の組み合わせで表示され、
「ｘｘｘのセキュリティの詳細設定」の「アクセス許可」タブで、
そのドメインと名前の組み合わせで「フルコントロール」（とりあえず）にしました。
そのフォルダーが
「継承元」＝「継承なし」
「適用先」＝「子のフォルダー、サブフォルダーおよびファイル」
で、
下層フォルダーが
「継承元」＝「指定したフォルダー」
「適用先」＝「子のフォルダー、サブフォルダーおよびファイル」
となっていたことは確認しました。

補足日時：2010/04/30 09:55

この回答へのお礼

遅くなってしまい申し訳ありません。

新たに、わかったことがあります。
例えば、
C:\Documents and Settings\user_name
を"A"という名前で共有します。

セキュリティのところで、
「継承元」＝「継承なし」
「適用先」＝「子のフォルダー、サブフォルダーおよびファイル」
を選択して適用すると、深いフォルダーまで「フルコントロール」で継承されていました。
しかし、２階層以下になると「アクセス拒否」になるフォルダーもあれば、
５階層以下で「アクセス拒否」になるフォルダーもありました。

どこかのＨＰに「トータルのファイル名の長さが長すぎる」と書かれていましたが、
５階層でも５０文字に満たないフォルダーもあります。
それでも「アクセス拒否」になります。

他に設定しなければならないところがあるのでしょうか。

ちなみに、WinXp Pro　同士の自宅ＰＣ（ドメインは無し）ですと、問題なく深い階層までアクセスできています。

何か思いつくことがあればよろしくお願いします。

お礼日時：2010/05/10 17:49