共有と NTFS アクセス許可
著者: Walter Oliver
はじめに
コンテンツへの適切なアクセスを提供するには、ファイル サーバーのアクセス許可を慎重に実装する必要があります。 これには、共有フォルダーと物理フォルダーに対するアクセス許可をロックダウンする必要があります。
アクセス許可
次の表には、ホスティング ガイダンスの「Web ホスティング アーキテクチャの計画」セクションに記載されている「共有ホスティング構成」のファイル サーバー共有とフォルダーに使用されたアクセス許可の一覧を示します。 サーバー管理者は、使用される共有ホスティング環境に基づいて、ニーズを満たす独自のカスタム アクセス許可を開発する必要があります。
| Path | アクセス許可 | 理由 |
|---|---|---|
| \server\share$ ("共有") | ドメイン管理者 - フル コントロール ドメイン ユーザー - MachineAccounts$ の変更 - フル コントロール | 共有のアクセス許可により、管理者とサイト アカウントがコンテンツにアクセスできる必要があります。 物理パスは、実際に必要なアクセス許可に制限されます。 |
| E:\Content ("共有の物理パス") | 管理者 - フル コントロール システム - フル コントロール | これは、共有されているフォルダーです。 組み込みの管理者グループとシステム アカウント以外のアカウントに対するアクセス許可は必要ありません。 |
| E:\Content\<sitename> (特定のサイトまたはユーザーのコンテナー) | 管理者 - フル コントロール システム - フル コントロール サイト所有者 - フォルダーの内容の一覧表示 | このフォルダーは、サイトのホーム ディレクトリとそのログ ファイルなどのフォルダーのコンテナーとして使用されます。 サイト所有者は、このフォルダーを読み取ることができる必要がありますが、書き込みアクセス権限は必要ありません。 |
| E:\Content\<sitename> \wwwroot (サイトの IIS ホーム ディレクトリ) | 管理者 - フル コントロール システム - フル コントロール サイト所有者 - アプリ プールのユーザー名の変更 - 読み取り | これは、ユーザー アカウントに属する Web サイトのルートです。 アプリ プールのユーザー名は、Web サイトのアプリケーション プール ID と匿名ユーザー名の両方として使用されます。 |
| E:\Content\<sitename>\Logs (ログのコンテナー) | 管理者 - フル コントロール システム - フル コントロール サイト所有者 - 読み取り | ログ用のこのフォルダーは、サイトを閲覧している訪問者がアクセスできないようにサイトのルートより上に格納されることに注意してください。 セキュリティ上の理由から、Web ブラウザーからアクセスできる場所にこのフォルダーを配置することはお勧めしません。 |
| E:\Content\<sitename>\Logs\FailedReqLogs (失敗した要求トレース ログのコンテナー) | 管理者 - フル コントロール システム - フル コントロール アプリ プールユーザー名 - フル コントロール | これは、失敗した要求ログ ファイルを格納するために使用されるフォルダーです。これにより、サイト所有者は Web サイトの問題を診断できます。 これらのログは、ワーカー プロセス ID であるアプリ プール ユーザー名によって書き込まれます。 |
| E:\Content\<sitename>\Logs\W3SVCLogFiles (W3SVC トラフィック ログのコンテナー) | 管理者 - フル コントロール システム - フル コントロール MachineAccount$ - フル コントロール | これは、Web サイトのログ ファイルを格納するために使用されるフォルダーです。これにより、サイト所有者はトラフィック パターンを確認できます。 サーバー管理者がこれらのファイルを共有したくない場合、またはトラフィックを決定するための別の方法を提供したい場合は、これらのファイルを別の場所に保存できます。 MachineAccount$ は Web サーバーのマシン アカウントです。これらのログは HTTP.SYS によって書き込まれます。 |
アクセス許可の構成
共有のアクセス許可を構成するには
Windows エクスプローラーで、共有するフォルダーを右クリックし、[プロパティ] をクリックします。
[共有] タブで、[詳細な共有] をクリックします。
[ユーザー アカウント制御] で、[続行] をクリックして、Windows でアクションを実行するためにアクセス許可が必要であることを示すプロンプトを受け入れます。
[詳細な共有]ダイアログ ボックスで、[このフォルダーを共有する] にチェックマークを付けます。
必要に応じて、[共有名] と [コメント] を設定します。 共有を非表示にするには、共有名の末尾に $ を追加します。
Note
共有を非表示にすると、[\server]
(file://server/)に接続すると、パス [\server\share$](file://server/share$)を明示的に入力しない限り、共有は表示されません。[アクセス許可] をクリックします。
[アクセス許可] ダイアログ ボックスで、Everyone グループが存在する場合は削除します。
共有にアクセスできる必要がある適切なユーザーまたはグループを追加します。
ユーザーまたはグループに対してアクセス許可 (フル コントロール、変更、読み取り) を指定します。
[OK] を 2 回クリックし、[閉じる] をクリックしてダイアログ ボックスを閉じます。
フォルダー構造のアクセス許可を構成するには
- Windows エクスプローラーで、共有するフォルダーを右クリックし、[プロパティ] をクリックします。
- [セキュリティ] タブで、 [編集]をクリックします。
- [アクセス許可] ダイアログ ボックスで、フォルダー構造の各レベルでアクセスできる必要がある適切なユーザーまたはグループを追加します。
- ユーザーまたはグループに対してアクセス許可 (フル コントロール、変更、読み取りと実行、フォルダーの内容の一覧表示、読み取り、書き込みの各特殊なアクセス許可) を指定します。
- [OK] を 2 回クリックしてダイアログ ボックスを閉じます。
既定のドキュメントを構成するサンプル スクリプトについては、「C# および PowerShell スクリプトのサンプル」を参照してください。 これを共有の作成とアクセス許可の設定の例として使用してください。