アクセス権の無いフォルダ表示について意見をください

Question

お世話になります。

年度替わりで、ファイルサーバ内の整理を行いますが、
アクセス権がないフォルダを表示させるか、非表示にするかで
迷っています。

以前は非表示にした方が不要なアクセスを心配することがない気がしていましたが、

アクセス権の違うユーザー同士の話がかみ合わない。
（○○にファイルを入れてと言われても、そんなフォルダはないなどです）

アクセス権のあるユーザ特有のフォルダと勘違いし、勝手に削除。

などの問題がでました。

一応、ユーザーには入れないところは見えないと説明はしたうえでしたが
十分に理解されていなかったための結果と反省しました。

そこで、先回の整理時に、逆にアクセス権の無いところも表示させるようにしました。
セキュリティ意識の向上を図ろうと考え、
入れる所と、入れないところの存在を意識してもらおうと考えてです。

しかし、今度は、入りたいのに入れないので、設定ミスだと言われたり、
今まで見えなかった物が見えるようになったことで
そんなフォルダがあったのか・・・。と変に興味をそそったり・・・。
（これはフォルダ名の付け方が悪かった部分もあるのですが）

ユーザーレベルがこういう感じです。

今回、いったいどちらの設定がよいのか、迷っています。

サーバはＷＳ２００８。クライアントにＸＰ　ＨＯＭＥなどがあるため、
ＡＤは組んではいますが、ドメイン構成にしていません。
（グループポリシーもドメインで設定できないので、個別）

どちらの設定がよいのでしょうか？

また、現状このような感じで、改善すべき点があれば（私の運営方法を含んで）
アドバイス頂ければありがたいです。

よろしくお願い申し上げます。

axel_eye · Accepted Answer

そうですね。

ちょっと、気になったのは、チームＡの人が読み書きできて
チームＢの人が見る事すらできないフォルダーがあると
言うことですね。

フォルダー内部のファイルに関しては、チームＢの人も見えるかも
しれませんが、これは、管理者の質問者様の問題ではなく、
どちらかと言うとチームＡ，Ｂ間の運用の問題ですね。

チームＡのフォルダー内のファイルをチームＢの人が必要と
するならやはり、読み込み許可を付けた方が無難かと思います。

チームＡ，Ｂ共にリーダーさんが居ると思いますから
データのやりとりをどのようにするか、本来であれば
リーダーさんに決めてもらうのが妥当かと思います。

個人的にも、ネットワーク管理は予算の都合から外部の方に
お願いできなかったので自分達の工数を裂いてやっていた事が
あります。

私の職場はそうでもありませんでしたが、一般的には
上司がなかなか理解してくれないという会社が多いようですね。

もし仮に上記のチームＢの方からは、見えないフォルダーが
あるけれど、チームＡの方とデータのやり取りをする事が
ある管理方法が無難とお考えでしたら、
やはり、これはそういうフォルダーがあると言う事を
周知しないといけませんね。

もしかすると、立場的に質問者様の立場では言いにくい事も
あるかもしれませんが、手段としては、セキュリティの設定による
メリット・デメリットをきちんと、チームＡ、Ｂの皆さんに
説明した上で、チームＡ、Ｂの皆さんに選択して頂くという
方法もあります。

言い方が乱暴になりますが、選択する責任をチームＡ、Ｂの方に
委ねてしまえば、後から問題になっても
「あなた達が決めた事だから」
と言う事ができます。

要は、自分のデータは自分で守ると言う意識を技術的に疎かろうが
そうでなかろうが根付かせる事が重要です。
管理者のあなたがそれを全て背負い込めるはずはないですし、
それを背負い込む必要は全くありません。

チームＡ、Ｂの業務が円滑に行えるように、
管理を行うためのスキルを養ったり、それに伴い、どのような
メリット、デメリットが発生するのかが疎い方でもわかるように
『説明できる事』が管理者としては重要です。

大変かと思いますが、頑張ってくださいね。応援してます。

axel_eye · Answer

まず、会社での業務であると推測した上でお話します。
また、業務を行う人が技術者でなく、基幹業務を行う
経理、人事、企画などの比較的、技術的な話に疎い方をと仮定して
お話します。

どちらの設定かと言われたらセキュリティの観点からも
前者の設定が良いと思います。

複数人で仕事をしている場合、チームを組む訳ですから
チームで遂行するタスク名を設定したフォルダーを作る方が良いと
思います。

このタスク名を設定したフォルダーには、対象となるチームメンバー
全てがアクセスできるように設定します。アクセス権は読み書き両方できるように
します。(二人いて片方が読み書きできて、片方が読むだけしかできない
場合ってどのような場合でしょう？)

アクセス権の設定方法は、ユーザー・グループの名前にタスク名と同じ
メンバーを追加したものを作り上記のフォルダーにアクセス権を
かける事です。

そして、関連するファイルは全て上記のフォルダーに入れる事にします。
ファイルを編集するのは一人のみとし編集作業が終わったら
更新が終わった事を必ずメールでチームメンバー全員に送る事をルール化します。

本当は、ここは、Windows版のCVSや、Subversionを皆さんに使えるように
なってもらった方が断然いいです。
あるいは、SharePointでもチェックイン、チェックアウトが使えて
ファイルのロックができるのでコストに見合えばそうした方がよいです。

もしCVSやSharePointが使えないのならファイルを直接各人が
ファイルサーバー上で編集してもいいとは思いますが、余り賢明な策とは
思えません。かと言って、ファイルをローカルに移動するのも間違って
消した時に対処が必要になりますね。
と、いうことでファイルをサーバー上で編集する事を選んで、
もし間違って消した時のリスクヘッジとして一日一回、フルバックアップを
取るのはどうでしょう。本当は一週間単位くらいで増分バックアップとか
した方がいいのですが、ここはコストとの兼ね合いで。

とりあえず、これらの話はなかなか浸透しませんから、
ネットワークポリシーとして、わかりやすい資料を作って、
上司を説得した上で出来れば、部会などの全員が集まる会合や、
皆さんにメールでポリシー周知のお願いと言う形で送って読んで
もらうのはいかがでしょう。(これ大事だとおもいますよ)

細かいレベルの話がわからないので提案しかねる所があるのですが、
不都合とかありますか？

管理者って大変ですよね。

アクセス権の無いフォルダ表示について意見をください

そうですね。

まず、会社での業務であると推測した上でお話します。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング