はじめてのサーバー導入奮闘記 第4回

設定の難解さに頭を抱えること丸2日

共有フォルダーのアクセス制限に挑戦する

2008 R2には「投稿者」がない！

　前回は共有フォルダーを作り、僕用のアカウント「mirai」と社長用のアカウント「syacho」を作成した（関連記事）。そして共有フォルダー内にファイルを保存したり、変更、削除もできるようになった。

「mirai」が僕のアカウントで、「syacho」が社長用に作成したアカウント

　これで完璧だ！ と思っていたが問題が発生。前バージョンにあたるWindows Server 2008では、アクセス許可レベルに「閲覧者」「投稿者」「共同所有者」という3項目が用意されていて、「投稿者」に設定しておけば、自分が追加したファイルに限ってファイルの変更・削除を許可することができた。

　Windows Serverでは、ファイルを保存すると、そのファイルには、保存を実行したアカウントが所有者として記録されるので、「投稿者」という設定が可能だったはず。次ページに登場する「セキュリティの詳細設定」画面で確認してみたところ、所有者の記録はWindows Server 2008 R2でも実行されているようだ。

　しかし、Windows Server 2008 R2では、「読み取り」のみ、もしくは「読み取り/書き込み」の二択しかない。そのため、ユーザーのアクセスレベルを「読み取り」にすると、サーバーにファイルを保存できない。かといって「読み取り/書き込み」に設定すると、共有フォルダー内の全てのファイルを自由に変更・削除できてしまう。

Windows Server 2008 R2のファイルの共有画面のアクセス許可のレベル設定項目は、Windows Server 2008と異なる

　これでは、間違って大切なファイルを削除してしまう可能性がある。一応、Windows Server 2008 R2には誤削除対策として、Windows Vistaに搭載されているシャドウコピー機能と似た働きをする「ボリュームシャドウコピーサービス」があり、以前のファイルを取り戻すことができる。

　ただ会社である以上、他の社員のデータはもちろんのこと、ましてや社長のデータを変更・削除できるというのはセキュリティ上とても好ましくない。

　Windows Server 2008の「投稿者」設定をWindows Server 2008 R2で実施できれば、それでほぼ解決なのに！

　ただ、どうしても「投稿者」に該当する設定項目が見つからない。そこで、作成した共有フォルダーのプロパティ画面の共有タブを開き、「詳細な共有」の設定でどうにかならないものかと試みた。

dataフォルダーのプロパティ画面の共有タブを開いた様子

共有タブの詳細な共有ボタンをクリックして開いた共有アクセス許可画面

　結果は失敗。表示した「共有アクセス許可」画面では、「フルコントロール」「変更」「読み取り」の3項目にチェックを付けることでアクセス許可レベルを調節できる。しかし、「変更」に許可を入れると、結局他人のファイルの削除もできてしまった。

　今度はプロパティ画面のセキュリティタブを開き、「編集」ボタンを押して開いた「セキュリティ」画面でアクセス許可の設定をしてみた。

プロパティ画面のセキュリティタブを開いた様子

セキュリティタブの編集ボタンをおして開いたセキュリティ画面

　こちらも同様に失敗。セキュリティ画面では、共有アクセス許可画面より詳細な設定ができるようだが、「変更」をできなくすると、読み取りや書き込みまで一括してできなくなってしまった。

　さて、どうしよう……。

ASCII倶楽部

お知らせ