ASCII.jp:Active Directoryのアカウントとグループとは?|Windows Serverで学ぶサーバOS入門
ここのAGLPポリシーに沿って設定してみた。
最初「グローバルグループ」と「ローカルグループ」の違いが判ってなくて、あれ?あれ?ってなってた。
ひとまず、「共有フォルダ」と「個別フォルダ」で、個別にアクセス権を設定をすることでやりたいことは実現できた。
- グローバルグループ
実際のADで管理されるユーザーの組織/体制/役割毎のグループ
例)X部Y課に所属するグループ、Zプロジェクトに所属するグループ、部長権限を保有するグループ
- ローカルグループ
共有するリソースのアクセス権限毎の(リソースを提供するサーバのローカル)グル―プ
例)Xフォルダに参照のみアクセスできるグループ、Yフォルダにフルアクセスできるグループ
やりたいこと
共有フォルダがあって、その共有フォルダのサブフォルダ毎にアクセス制御したい。
また、その共有フォルダにどんなサブフォルダがあるか一覧は見えない(自分がアクセス可能なサブフォルダしかアクセスできない)ようにしたい。
個別のサブフォルダを共有にすれば簡単だが、その分共有を作成するのは…ということで。
例として、プロジェクトフォルダを共有フォルダとして、サブフォルダに個別のプロジェクトのフォルダがあり、個別のプロジェクトメンバは個々のプロジェクトのフォルダしかアクセスできないような設定を想定する。
共有フォルダの設定
「共有するが、アクセス許可は個別フォルダで許可します」という設定にする。
■共有の設定
・共有名は$付きで設定
・ローカルグループ:プロジェクトメンバーにフルコントロールのアクセス許可を設定
■セキュリティの設定
・ローカルグループ:プロジェクトメンバーにフルコントロールのアクセス拒否を設定
セキュリティの設定のアクセス拒否で、プロジェクトフォルダにどんなフォルダがあるか一覧は見えないし、勝手にフォルダやファイルを作成できない。
個別フォルダの設定
■セキュリティの設定
・一旦アクセス許可の継承を無効化(アクセス許可をクリア)
・それぞれローカルグループ:プロジェクトA/B/Cにフルコントロールのアクセス許可を設定
セキュリティの設定の継承の無効化で、共有フォルダの設定から切り離し、フォルダに個別のアクセス許可を設定する。