NTFSアクセス権と共有アクセス権の関係

NTFSアクセス権と共有アクセス権の優先順位や競合した時の扱いについて教えてください。

あるファイルに共有アクセス権でeveryoneにフルコントロールを与え、NTFSアクセス権でAというユーザーにだけフルコントロールを与えた場合、A以外はフルコントロールできてしまいますか？
また逆はどうですか？

また、Aが(1)と(2)の二つのグループに所属している場合、(1)ではフルコントロールで(2)では拒否を与えているとAはアクセスできますか？

わかりやすく解説しているサイトの紹介でも構いません。宜しくお願い致します。

No.1 ベストアンサー 回答者： maesen 回答日時： 2013/06/07 18:08

共有アクセスつまりネットワーク経由でのアクセスであるとの前提で書かせて頂きます。

＞あるファイルに共有アクセス権でeveryoneにフルコントロールを与え、NTFSアクセス権でAというユーザーにだけフルコントロールを与えた場合、A以外はフルコントロールできてしまいますか？

A以外はフルコントロールにはなりません。

＞また逆はどうですか？

こちらもA以外はフルコントロールにはなりません。

まず、共有アクセス権が評価されこれを通過したものだけ、NTFSアクセス権が評価されるとイメージすればいいでしょう。

＞また、Aが(1)と(2)の二つのグループに所属している場合、(1)ではフルコントロールで(2)では拒否を与えているとAはアクセスできますか？

Aはアクセスできません。
拒否は必ず優先されます。
所属するグループのどれか一つでも拒否があればこの拒否が優先されます。

共有アクセス権とNTFSアクセス権の両方でアクセスコントロールを行うを運用が大変になります。
ちなみにマイクロソフトは、共有アクセス権はeveryoneフルコントロールとし、アクセスコントロールはNTFSアクセス権で行うことを推奨しています。

この回答へのお礼

ご回答ありがとうございます。
とても参考になりました。

お礼日時：2013/06/11 13:12

No.2 回答者： lupin-333333 回答日時： 2013/06/07 21:48

そもそも、ちゃんと単語の元の意味をかみしめませんか？　マイクロソフトのソフトのほとんどが意訳ではないが、たいていは的を得て訳され命名されています。

共有アクセス権

共有　＝　エクスポート　＝＞　外部からのアクセス　＝　リモートアクセス

などと関連用語がつきます。この反意語が、

ローカルアクセス

ですね。それが

NTFSアクセス権　であり、ローカルポリシーです。ＮＴＦＳアクセス権とは、ファイルシステムの機能です。ローカルポリシーとは、ＯＳ、つまりシステムが制御する制約の事を指します。ファイルやフォルダーはファイルシステムの上に在るものです。ファイルシステムをＨＤＤなどのストレージに作成するということは、ＯＳがアクセスできるようにフォーマットする事です。

その辺から勉強してください。

それから投稿してください。まず、ＨＤＤをＯＳで使えるようにするには、ＯＳが認識する論理ボリュームに区分けする必要があります。そのボリューム上にファイルシステムを作成するわけです。

つまり、ファイルシステム＝NTFS　ということを忘れていませんか？　ファイルシステムのひとつがＮＴＦＳで、そのファイルシステムの機能にアクセス権を設定できるようになっているだけのことです。

質問者さんの性格とか、人間性とか好きな物、などこれは、どこの団体、部署に属しても、同じですよね。その人物固有なことと、ファイル固有なことと同じ事を意味します。



一方、共有アクセス権は、ローカルポリシーなど、ＯＳ側の機能で動作しています。人間社会で言えば、会社とか学校とか、あなたが属する団体ですね。

例えば、あなたが警察の人間だったとして、警察の人間でも悪いやつは、死んでも悪いやつです。制服をきているからといって、みてくれは清廉潔白に見えても、中身は悪人であれば、悪人です。その関係は、ＮＴＦＳのアクセス権と、共有アクセス権との関係ににています。

どっちが上位にあるかといえば、共有アクセス権ですね。しかし、この見方は相対的なもので、外部から見ると、共有アクセス権が上位で、それが機能してしまいます。

内部から見ると、共有アクセス権は全く無効で、何の意味もありません。

そうやってみると、あなたの質問の答えがおのずとわかるはずなんですがね？？？？？？？

「共有アクセス権でeveryoneにフルコントロール」とあるが、ファイルシステムでＮＯといっていれば、ファイルの存在は確認できるが（いやできないか）、削除、更新、移動はできません。

通常共有アクセス権はフォルダー単位で行う事で、便利に機能します。その中で、こいつには変更してもらいたくないとか、みせたくないとか、このチームだけには見せてあげるとか、ファイル単位で細かくつけることになります。その場合、共有アクセス権はファイル単位で与える物ではありません（できるんだっけ？）。

検索例は下記の通り

http://search.yahoo.co.jp/search?p=NTFS++%E5%85% …

http://news.mynavi.jp/column/winserver/010/index …

などです。ツリー構造を意識すれば、おのずと上位は、単純な選択肢になるでしょう。誰に対して共有するかではなく、

するか、しないか

それらを自由自在にあやつるのがＬＤＡＰです。

この回答へのお礼

ご回答ありがとうございます。
参考にさせていただきます。

お礼日時：2013/06/13 15:51