「さくらのクラウド」上にファイルサーバーを構築する手順について解説するTIPSの第3回です。第1回はさくらのクラウド上にVPCを構築する手順と、CentOS6.7にSambaをインストールしてファイルサーバーを構築する手順をご紹介しました。第2回では、Windows Server 2012 R2をファイルサーバーとしてセットアップする手順についてご紹介しました。今回はWindows Server 2012 R2でファイルサーバーを運用するうえで必要になるアクセス権の設定についてご紹介します。
今回はWindowsサーバにローカルユーザーとローカルグループを作成し、各共有フォルダにアクセス権の設定していく手順についてご紹介します。Windowsサーバのユーザー管理には一般的にActiveDirectoryが使用されますが、運用する上で高度な知識が要求されるため小規模環境ではかえって管理が煩雑になるケースもあります。そのため今回は比較的簡単に適切なアクセス管理が行えるローカルユーザーとローカルグループを使用した手順についてご説明します。
1.ファイルサーバーにおけるアクセス権限管理
各部署ごとの共有フォルダを作成し、他の部署のフォルダは閲覧できないようアクセス制御を行います。
営業部用に「sales」フォルダ、管理部用に「management」フォルダを作成します。
「sales」フォルダは「sales」グループに所属しているユーザのみが、「management」フォルダは「management」グループに所属しているユーザのみがアクセスできるように設定します。
今回の解説では、グループとユーザーは以下の通り設定を行います。
グループ:sales ユーザー:y-akiyama ユーザー:s-takebe グループ:management ユーザー:a-kadotani ユーザー:m-kawashima
2.ユーザーの作成
「コントロールパネル->ユーザーアカウント->アカウントの管理」画面にて、[ユーザーアカウントの追加]をクリックします。
下記スクリーンショットの要領でユーザーアカウントを作成していきます。
対象のユーザーアカウント4つの作成が完了すると以下のように表示されます。
3.グループの作成
「コンピューターの管理->ローカルユーザーとグループ」画面にて、[グループ]アイコンにカーソルを合わせ右クリックし[グループの作成]をクリックします。
まず最初にsalesグループを作成します。グループ名と説明を入力し、[追加]をクリックします。
追加対象のユーザー名を入力し、[名前の確認]をクリックします。
Windowsは自らが管理するユーザーの一覧から該当するユーザーを検索し、以下のように表示します。こうすることで、ユーザー名を間違えたりして正しく追加できていなかったというようなミスを防ぐことができます。
次の追加対象のユーザー名を入力し、[名前の確認]をクリックします。
これで2つのユーザーアカウントがWindowsに正しく認識されていることがわかります。[OK]をクリックして画面を閉じます。
ユーザーの追加が正しく行われている場合、以下のように表示されます。
同じ要領でmanagementグループの作成とユーザー追加を行います。
4.共有フォルダの作成とアクセス権管理
データ用に追加したドライブに「sales」と「management」との2つのフォルダを作成します。
salesフォルダにカーソルを合わせ右クリックし[プロパティ]をクリックします。
初期状態ではeveryoneにアクセス権が付与されているので、上の「グループ名またはユーザ名」の欄からeveryoneを選択して[削除]ボタンをクリックします。その後、[追加]をクリックし、設定したグループを追加します。
ユーザーをグループに追加した際と同じ要領で、グループ名を入力し[名前の確認]をクリックします。
以下のように正しくグループが認識されていることを確認し、[OK]をクリックします。
グループを追加したばかりの状態では、[読み取り]の権限しか付与されていません。
今回はそれぞれのグループに、各フォルダ上での操作をすべて許可する設定としますので、[フルコントロール]にチェックを入れ、[OK]をクリックします
managementフォルダにも同様の手順でアクセス権の変更を行います。
5.アクセス権のテスト
(Windows 7での例)[スタート]ボタンをクリックし、[プログラムとファイルの検索]欄に「\\10.0.0.110」を入力し、enterキーを押下します。
salesグループに所属するユーザーでファイルサーバに接続します。
以下の通り2つの共有フォルダが表示されているはずです。
salesグループに所属するユーザはsalesフォルダを開いたりファイルを追加/削除したりすることができますが、managementフォルダにはアクセスすることができません。
ローカルユーザーとローカルグループを使用したWindowsファイルサーバーのアクセス管理手順は以上です。