さくらのクラウドニュース

さくらのクラウドの最新情報や、開発に役立つ技術情報をお届けします。

活用TIPS

【TIPS】Windowsファイルサーバーにおけるアクセス権の設定

「さくらのクラウド」上にファイルサーバーを構築する手順について解説するTIPSの第3回です。第1回はさくらのクラウド上にVPCを構築する手順と、CentOS6.7にSambaをインストールしてファイルサーバーを構築する手順をご紹介しました。第2回では、Windows Server 2012 R2をファイルサーバーとしてセットアップする手順についてご紹介しました。今回はWindows Server 2012 R2でファイルサーバーを運用するうえで必要になるアクセス権の設定についてご紹介します。

今回はWindowsサーバにローカルユーザーとローカルグループを作成し、各共有フォルダにアクセス権の設定していく手順についてご紹介します。Windowsサーバのユーザー管理には一般的にActiveDirectoryが使用されますが、運用する上で高度な知識が要求されるため小規模環境ではかえって管理が煩雑になるケースもあります。そのため今回は比較的簡単に適切なアクセス管理が行えるローカルユーザーとローカルグループを使用した手順についてご説明します。

1.ファイルサーバーにおけるアクセス権限管理

各部署ごとの共有フォルダを作成し、他の部署のフォルダは閲覧できないようアクセス制御を行います。
営業部用に「sales」フォルダ、管理部用に「management」フォルダを作成します。
「sales」フォルダは「sales」グループに所属しているユーザのみが、「management」フォルダは「management」グループに所属しているユーザのみがアクセスできるように設定します。
access

今回の解説では、グループとユーザーは以下の通り設定を行います。

グループ:sales
 ユーザー:y-akiyama
 ユーザー:s-takebe
グループ:management
 ユーザー:a-kadotani
 ユーザー:m-kawashima

2.ユーザーの作成

「コントロールパネル->ユーザーアカウント->アカウントの管理」画面にて、[ユーザーアカウントの追加]をクリックします。
WS000475

下記スクリーンショットの要領でユーザーアカウントを作成していきます。
WS000476

対象のユーザーアカウント4つの作成が完了すると以下のように表示されます。
WS000477

3.グループの作成

「コンピューターの管理->ローカルユーザーとグループ」画面にて、[グループ]アイコンにカーソルを合わせ右クリックし[グループの作成]をクリックします。
WS000478

まず最初にsalesグループを作成します。グループ名と説明を入力し、[追加]をクリックします。
WS000479

追加対象のユーザー名を入力し、[名前の確認]をクリックします。
WS000480

Windowsは自らが管理するユーザーの一覧から該当するユーザーを検索し、以下のように表示します。こうすることで、ユーザー名を間違えたりして正しく追加できていなかったというようなミスを防ぐことができます。
WS000481

次の追加対象のユーザー名を入力し、[名前の確認]をクリックします。
WS000482

これで2つのユーザーアカウントがWindowsに正しく認識されていることがわかります。[OK]をクリックして画面を閉じます。
WS000483

ユーザーの追加が正しく行われている場合、以下のように表示されます。
WS000484

同じ要領でmanagementグループの作成とユーザー追加を行います。
WS000490
WS000491

4.共有フォルダの作成とアクセス権管理

データ用に追加したドライブに「sales」と「management」との2つのフォルダを作成します。
WS000494

salesフォルダにカーソルを合わせ右クリックし[プロパティ]をクリックします。
WS000496

[共有]タブの[詳細な共有]をクリックします。
WS000497

初期状態ではeveryoneにアクセス権が付与されているので、上の「グループ名またはユーザ名」の欄からeveryoneを選択して[削除]ボタンをクリックします。その後、[追加]をクリックし、設定したグループを追加します。
WS000498

ユーザーをグループに追加した際と同じ要領で、グループ名を入力し[名前の確認]をクリックします。
WS000499

以下のように正しくグループが認識されていることを確認し、[OK]をクリックします。
WS000500

グループを追加したばかりの状態では、[読み取り]の権限しか付与されていません。
WS000501

今回はそれぞれのグループに、各フォルダ上での操作をすべて許可する設定としますので、[フルコントロール]にチェックを入れ、[OK]をクリックします
WS000502

managementフォルダにも同様の手順でアクセス権の変更を行います。

5.アクセス権のテスト

(Windows 7での例)[スタート]ボタンをクリックし、[プログラムとファイルの検索]欄に「\\10.0.0.110」を入力し、enterキーを押下します。
WS000644

salesグループに所属するユーザーでファイルサーバに接続します。
WS000505

以下の通り2つの共有フォルダが表示されているはずです。
WS000506

salesグループに所属するユーザはsalesフォルダを開いたりファイルを追加/削除したりすることができますが、managementフォルダにはアクセスすることができません。
WS000507
WS000508

ローカルユーザーとローカルグループを使用したWindowsファイルサーバーのアクセス管理手順は以上です。