Trainocate Japan, Ltd.

Win Win Windows
ホーム > Win Win Windows > Active Directory ; Windows Server > 第37回 Windows Serverでファイルのアクセス許可を効果的に構成する冴えたやり方

Win Win Windowsコラム
第37回 Windows Serverでファイルのアクセス許可を効果的に構成する冴えたやり方
執筆:横山哲也

ファイルやフォルダーに対するアクセス許可は、昔から管理者の悩みの種でした。Windows Serverでは、2種類のグループを効果的に使うことでこの問題を解決します。

グループの効果的な利用手順を「グループ戦略」と呼びます。最も広く使われているグループ戦略は「A-G-DL-P」または「I-G-DL-A」と呼ばれる構成です。ここは試験に出ます。

ファイルのアクセス許可を個人単位で行うことが望ましいと思っている人は少ないと思います。個人的には「こいつだけには見せたくない」とか「同じ部署だけど、仲のいい彼女にだけ見て欲しい」とか、そういうこともあるかもしれませんが、それでは仕事が進みません(その方が仕事が進むケースもある、という反論はこらえてください)。

グループ単位でアクセス許可を設定するとき、たいていの人は部署を基準に考えます。たとえば、商品カタログは営業部が作成するので、営業部に読み書きの許可を与えよう、という具合です。

でも、それが間違いなんです。

ある日、こんな通達が回ってきます。

今まで、カタログは営業部が担当してきたが、単なる製品情報だけでなく、会社としてのメッセージも掲載することにした。
そこで、今後はカタログ編集の許可はマーケティング部門に与える。

ファイルサーバーの管理者は、早速カタログのアクセス許可を変更し始めます。

まず、カタログの元原稿を保存したフォルダー。これは従来通り営業部の人が読み書きできますが、それに加えてマーケティング部も読み書きが必要です。

次に、カタログの版下原稿、これはマーケティング部に読み書きの許可が必要で、営業部や読み取りだけができます。

その他、いろんなフォルダーの設定変更が必要ですが、たいてい漏れてしまいます。

そこで役に立つのが、部署(人)と役割(仕事)を分ける考え方です。

「カタログ制作」という仕事に対して、「カタログ編集」という役割と「カタログ参照」という役割を考えます。従来は、営業部がカタログ編集の役割を持っていたのが、これからはカタログ参照の役割だけになり、マーケティング部がカタログ編集の役割を担当するようになったと考えます。

個々のファイルやフォルダーではなく、役割が変わったと考えれば、役割の割り当てを変えるだけで済むはずです。この考え方がA-G-DL-P戦略です。

A-G-DL-P戦略

AGDLP戦略は、最初にユーザーアカウント(A)をグローバルグループ(G)で分類します。次に、アクセス許可に利用するドメインローカルグループ(DL)を作成し、グローバルグループをドメインローカルグループに配置します。そして、ドメインローカルグループにアクセス許可(P)を割り当てます。

最近は、アカウント(A)の代わりにアイデンティティ(I)、アクセス許可(P)の代わりにアクセス(A)を使い、「I-G-DL-A」とも呼びます。

AGDLP

例を見てみましょう。

図の環境では以下の構成が必要です。

  • ファイルサーバーに商品カタログを保存する共有フォルダーを用意する
  • 商品カタログフォルダーへのアクセス許可は次の表のように設定したい

役割

アクセス許可

対象となる部署

カタログ参照

読み取り

営業部、マーケティング部

カタログ編集

読み取りと書き込み

開発部

これを元に、以下のような構成を行います。

グループの構成

グループ一覧

スコープ

メンバー

G_Sales

グローバル

営業部のユーザー全員

G_Marketing

グローバル

マーケティング部のユーザー全員

G_Develop

グローバル

開発部のユーザー全員

DL_Catalog_Readers

ドメイン
ローカル

G_SalesG_Marketing

DL_Catalog_Editors

ドメイン
ローカル

G_Develop

商品カタログフォルダーのアクセス許可

許可を与えるグループ(役割)

アクセス許可

DL_Catalog_Readers

読み取り

DL_Catalog_Editors

読み取り、書き込み

商品カタログフォルダーに対して、情報システム部のメンバーへの読み取りおよび書き込み許可(編集の権利)を追加する場合、この環境では、以下のようにグループメンバーの構成だけを行えばよく、フォルダーがいくらたくさんあってもアクセス許可を変更する必要はありません。

  • 情報システム部用グローバルグループ(G_IT)を作成し、情報システム部のユーザーをメンバーに追加
  • DL_Catalog_EditorsグループのメンバーにG_ITを追加

このように、ユーザーの分類に利用するグループとアクセス許可に利用するグループ(役割)を分けることにより、アクセス許可の追加や変更をする場合の柔軟性が増します。

アクセス許可の詳細は、教育コース「Windows Server 2008システム管理基礎(前編) ~Windows Server 2008 R2対応~」で紹介しています。Windows Server 2012への対応はもう少しお待ちください。

A-G-DL-P戦略の問題点

このように、柔軟な構成が可能なA-G-DL-P戦略ですが大きな問題があります。それは、概念が非常に理解しにくいということです。特に分類を示すGと、役割を示すDLの区別が難しいようです。

たとえば、マーケティング部員は「参照者(Readers)」という役割を持ち、開発部員は「編集者(Editors)」という役割を持ちます。しかし、普段から部署と役割を分離して考えている人はほとんどいません。組織の役割が変更になり、マーケティング部で編集作業を担当するようになって、初めて問題に気付くわけです。

通常、アクセス許可を設定するのは現場の人ですかが、現場の人はITの専門家ではありませんので、こんな複雑な、それこそMCP試験に出題されるようなレベルのことは知りませんし、本来は知る必要もないはずです。

そこで登場したのがWindows Server 2012から使える「集中型アクセス制御」ですが、これについてはまた別の機会に紹介しましょう。

教育コース「Windows Server 2012 ソリューション アップデート ~MCP 70-417対応~」でも紹介しています。

[Active Directory Windows Server][2014年3月 5日配信]

 

※Microsoft、Windowsは、米国Microsoft社の登録商標です。
※Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
※PMI、PMP、PMBOKは、プロジェクトマネジメント協会(Project Management Institute, Inc.)の登録商標です。
※ITIL®はAXELOS Limited の登録商標です。
※American Management Association は、米国アメリカン マネジメント アソシエーションの登録商標です。
※BOOT CAMP、NEW TRAIN、Glovalueはトレノケート株式会社の登録商標です。
※その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。

© Trainocate Japan, Ltd. 2008-2017, All Rights Reserved.
  • Get ADOBE READER