アクセス権設定に不自然なものが大量に出来ている

Question

共有ファイルについて質問です。サーバーは、Windows Server 2008 R2です。
ある共有ポイントの下を調べると、上位のフォルダにアクセス権を設定してあるのに、下位にも同じ無駄な設定がしてある、ということが大量にされていることが分かりました。人手ではとうていやれない程の数（千のオーダー）です。
例えば（記憶で書いているので、正確ではないかもしれませんが）Aの下にB、その下にCとして、
　Aフォルダ社員A このフォルダとサブフォルダ
　Bフォルダ社員A <継承無し> このフォルダのみ
　Cフォルダ社員A <継承無し> このフォルダのみ
　　...

これはどうして発生したのでしょうか？
また、こうなってしまったフォルダはどう対策したら良いでしょうか？もちろん、一般的な対策としては、上位フォルダで「子オブジェクトの全てのアクセス許可エントリをここに表示されているエントリで子オブジェクトに適用するもので置き換える」にチェックを入れてOK押すということが考えられます。しかし、下位の中には、
１）継承を切って設定をしているフォルダ
２）本当に必要な設定が継承無しで追加されているフォルダ
もあり得ます。現状ではこれらと、最初に上げたおかしくなって入っているものがごっちゃになり、１）はまだプログラム的（自作）に探せていますが、２）はなかなか判別できません。まあ、この判別するソフトをVBスクリプトで書くか、という所ですが、簡単にやれるならやりたいです。
こんな状態でも一応は動いているのですが、出来ればすっきりさせたいです。

e3tatsu · Accepted Answer

ANo.1です。
共有フォルダのアクセス権管理方式にAGDLPポリシーというものがあります。
社内にActive Directoryドメイン環境があり、ファイルサーバが複数あり、
またその管理者がバラバラの場合に一般的によく使われる管理方式です。
ドメインローカルグループの使用については、「AGDLPポリシー」という
キーワードで調べてみてください。

フォルダアイコンの変更についてはdesktop.iniを読取専用ファイルにするのがポイントです。

アクセス権設定を拾い上げるツールは手作りしなくても以下のような物もありますよ。
ご参考までに。

参考URL：http://www.microsoft.com/japan/visio/2010/tool/default.aspx#pageNav02

e3tatsu · Answer

社内SEやってます。

どうして発生したのかはわかりませんが一度今の状況になってしまったら、
２）を判別するには地道に人に聞いて回る以外にはないと思いますが、
現実的な解ではありません。

それよりもまず今後同じことが起こらないよう共有フォルダに関する運用規定を定めるのが建設的かと。

私のとこでは以下のような規定を定めてます。
・共有フォルダやその配下にあるフォルダのアクセス権設定の変更権をサーバ管理者に限定。
・共有フォルダやその配下にあるフォルダのアクセス権設定をカスタマイズした場合にはフォルダアイコンを変更する。
　※アイコンを変更することでそのフォルダ直下にdesktop.iniという隠しファイルが生成されるので、このファイル名で検索を
　　掛けることで、アクセス権設定をカスタマイズしたフォルダを後から発見できるようにしています。
・アクセス権設定には原則ドメインローカルグループを使用し、グループのメモ欄にグループの使用先フォルダ名
　　(サーバ名を含めたパス)を記録する。

既存共有フォルダ内のファイルについては、規定を定めた後で、上記のような運用規定に沿った共有フォルダを
新たに作成し、そちらにファイルを移していくのが無難ではないかと。

アクセス権設定に不自然なものが大量に出来ている

ANo.1です。

社内SEやってます。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング