NTFS と共有権限は、どちらも Microsoft Windows 環境でよく使用されます。 共有および NTFS 権限はどちらも不正アクセスを防止するという同じ目的を果たしますが、フォルダーの共有などのタスクを最適に実行する方法を決定する前に、理解しておくべき重要な違いがあります。 ここでは、共有と NTFS 権限の主な相違点と、それぞれをいつ、どのように使用するかの推奨事項を説明します。
NTFS (New Technology File System) は、Microsoft Windows NT およびそれ以降のオペレーティング システムの標準ファイル システムで、NTFS 権限は NTFS ファイル システムに格納されたデータへのアクセスを管理するために使用されます。 NTFS 共有許可の主な利点は、ローカル ユーザーとネットワーク ユーザーの両方に影響することと、ユーザーがどこから接続しているかにかかわらず、Windows ログオン時に個々のユーザーに与えられた許可に基づくことです。
NTFS 許可には、基本および詳細の両方があります。 それぞれのパーミッションを「許可」または「拒否」に設定することで、NTFSオブジェクトへのアクセスを制御することができます。 以下は、基本的なアクセス許可の種類です:
- フル コントロール – ユーザーは、ファイルやディレクトリ、および関連するプロパティを追加、変更、移動、および削除できます。 さらに、ユーザーはすべてのファイルとサブディレクトリの権限設定を変更できます。
- 修正 – ユーザーは、ディレクトリへのファイルの追加や削除、またはファイルへのファイルのプロパティを含む、ファイルおよびファイルのプロパティを表示および修正することができます。
- 読み取り – ユーザーはファイル、ファイルのプロパティ、およびディレクトリを表示できます。
- 書き込み – ユーザーはファイルに書き込み、ディレクトリにファイルを追加できます。
共有権限とは?
共有権限はネットワーク上で共有されるフォルダーへのアクセスを管理し、ローカルにログオンするユーザーには適用されません。 共有アクセス許可は、共有内のすべてのファイルとフォルダーに適用されます。共有上のサブフォルダーまたはオブジェクトへのアクセスを細かく制御することはできません。 共有フォルダへのアクセスを許可するユーザーの数を指定することができます。 共有権限は、NTFS、FAT、およびFAT32ファイルシステムで使用できます。
共有権限には、3つのタイプがあります。 フルコントロール、変更、および読み取りです。 それぞれを「拒否」または「許可」に設定して、共有フォルダーまたはドライブへのアクセスを制御できます。
- リード – ユーザーはファイルおよびサブフォルダー名の表示、ファイルのデータの読み取り、およびプログラムの実行が可能です。 デフォルトでは、「Everyone」グループに「読み取り」権限が割り当てられています。
- 変更 – 「読み取り」権限で許可されているすべてのこと、およびファイルやサブフォルダーの追加、ファイル内のデータの変更、サブフォルダーやファイルの削除が可能です。 この権限はデフォルトでは割り当てられていません。
- フル コントロール – ユーザーは「読み取り」および「変更」権限で許可されているすべてのことを実行でき、NTFS ファイルおよびフォルダーのみの権限を変更することも可能です。 デフォルトでは、「Administrators」グループに「フル コントロール」権限が付与されます。
以下は、知っておくべき NTFS と共有権限の主な違いです:
- 共有権限は適用と管理が簡単ですが、NTFS 権限では共有フォルダとそのコンテンツをより詳細に制御できます。
- 共有および NTFS アクセス許可が同時に使用される場合、最も制限的なアクセス許可が常に優先されます。 たとえば、共有フォルダー許可が “Everyone Read Allow” に設定され、NTFS 許可が “Everyone Modify Allow” に設定されている場合、最も制限的であるため、共有許可が適用されます; ユーザーは共有ドライブ上のファイルを変更できません。
- NTFS 許可は、サーバーにローカルにログオンしているユーザーに適用されます。
- NTFS 許可とは異なり、共有許可では、共有フォルダーへの同時接続数を制限することが可能です。 NTFSのアクセス許可は、ファイルまたはフォルダーのプロパティの「セキュリティ」タブで設定します。
NTFS アクセス許可の変更方法
NTFSアクセス許可を変更するには:
- 「セキュリティ」タブを開く。
- フォルダー内の「プロパティ」ダイアログボックスで、「編集」をクリックする。
- アクセス許可を変更したいオブジェクト名をクリックします。
- それぞれの設定について「許可」または「拒否」を選択します。
- 「適用」をクリックしてアクセス許可を適用します。
また、PowerShellを使ってNTFSアクセス許可を変更することも可能です。
共有のアクセス権を変更する方法
共有のアクセス権を変更するには:
- 共有フォルダーを右クリックします。
- 「プロパティ」をクリックします。
- 「共有」タブを開きます。
- 「詳細共有」
- 「アクセス許可」
- リストからユーザーまたはグループを選択します。
- それぞれの設定について、「許可」または「拒否」を選択します。
をクリックします。
Permissions Best Practices
- ユーザーアカウントではなくグループに権限を割り当てる – グループへの権限の割り当てにより共有リソースの管理が簡素化されます。 ユーザーの役割が変更された場合、適切な新しいグループに追加し、もはや関連性のないグループから削除するだけです。
- 最小特権の原則を実施する – ユーザーに必要な権限を与え、それ以上の権限を与えない。 たとえば、ユーザーがフォルダー内の情報を読む必要があるが、ファイルを削除、作成、または変更する正当な理由がない場合、「読み取り」権限のみを持つようにします。
- ローカル ユーザーには NTFS 権限のみを使用する – 共有権限は、ネットワーク上の共有リソースにアクセスするユーザーだけに適用され、ローカルにログオンするユーザーには適用されません。
- 同じセキュリティ要件を持つオブジェクトを同じフォルダーに入れる – たとえば、ユーザーが 1 つの部署で使用する複数のフォルダーに対して「読み取り」権限を必要とする場合、各フォルダーを個別に共有するのではなく、これらのフォルダーを同じ親フォルダーに格納し、その親フォルダーを共有します。
- “Everyone” グループの権限を “Deny” に設定しない – “Everyone” グループには、”Anonymous Logon” グループを除き、”Guest” アカウントを含む共有フォルダーにアクセスできるすべての人が含まれます。
- 共有リソースへの権限を明示的に拒否しない – 通常、既に割り当てられた特定の権限を上書きする場合のみ権限を明示的に拒否する必要があります。
- 「Administrators」グループに親共有フォルダーへの「フル コントロール」権限を付与する – この戦略により、管理者は権限を管理し、アクセス リストをエクスポートし、すべての権限、ファイルおよびフォルダーへの変更を追跡できます。
- 「Administrators」グループのメンバーを注視する – このグループのユーザーはすべての共有ファイルおよびフォルダーへの「フル アクセス」権限を有します。 したがって、監査ポリシーとセキュリティ イベント ログ、またはこの強力なグループへの変更をリアルタイムで通知し、すべてのユーザー権限に対する定期的な認証を促進するサード パーティ製ソフトウェア ソリューションのいずれかを使用して、そのメンバーシップへの変更を注意深く監査する必要があります。
詳細については、NTFS 権限管理のベスト プラクティスを参照してください。
1 つの権限セットを使用する
2つの別々の権限セットを使用するのが複雑すぎる場合、NTFS 共有権限だけを使用することができます。 フォルダーの共有権限を「フル コントロール」に変更するだけで、ファイル共有権限が干渉することを心配することなく、NTFS 権限に好きな変更を加えることができます。
Summary
共有と NTFS 権限の違いを理解すると、ローカルおよび共有リソースへのアクセスを保護するためにそれらを一緒に使用できます。 ここに詳述されているガイドラインとベストプラクティスに従うことで、IT環境のセキュリティがさらに強化されます。
