【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その2
前回の続きです。前回はこちら。
【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その1
「アクセスベースの列挙」により共有フォルダ配下の不必要なフォルダを見せないようにすることができます。
同じようなことはDFS(分散ファイルシステム)でも可能ですが、方法が異なります。
例えば、以下のようなDFS名前空間が定義されているとします。
図の右側(\\FileSV1)が物理的な共有フォルダの構造です。それぞれのフォルダにはNTFSのアクセス権が設定されており、社員のアクセスが正しく制御されているとします。「一般社員用」フォルダ、「幹部社員用」フォルダともに「アクセスベースの列挙」が設定されていれば、その配下にあるアクセス権の無いフォルダは一覧にも表示されません。
DFS名前空間にマッピングしたのが、図の左側です。
一般社員が DFS名前空間 \\Contoso.jp\営業部 にアクセスしたとします。
デフォルトの状態では、フォルダ一覧には「一般社員用」「幹部社員用」共に表示されますが、NTFSのアクセス権により幹部社員用フォルダにアクセスしようとすれば「アクセスが拒否されました」というエラーが発生します。
では、DFS名前空間にもアクセスベースの列挙を適用し、「幹部社員用」フォルダが表示されないようにするにはどうしたらよいかといえば、dfsutil.exe コマンドを使用します。
dfsutil.exe property ABDE enable \\contoso.jp\ 営業部
ABDE は、Access Based Directory Enumlation の略であり、Enabled によって DFS名前空間ルート「[\\contoso.jp\](file://\\contoso.jp\)営業部」のアクセスベースの列挙機能を有効にしています。ちなみに、ABDE Enabled は、DFS名前空間ルートのみに設定できます。
これに加え、さらに以下のコマンドで DFS名前空間内のアクセス権を設定する必要があります。
dfsutil.exe property acl deny \\contoso.jp\営業部\幹部社員用 "contoso\一般社員グループ":F
このコマンドでは、DFS名前空間「営業部」内の「幹部社員用」というエントリに対して、「contosoドメインの一般社員グループに所属するメンバー」からの一切のアクセス権(F)を拒否(Deny)しました。
これにより、一般社員が \\contoso.jp\営業部 に接続しても、「幹部社員用」フォルダは一覧に表示されなくなります。
幹部社員がアクセスした場合はどうかといえば、両方のフォルダが参照できます。「幹部社員用」フォルダ配下については、従来通り、NTFSのACLに定義されているアクセス権に沿ってアクセスベースの列挙が適用されます。つまり、dfsutil を使用しなくても、課長には「部長フォルダ」は表示されませんし、部長には「統括部長フォルダ」は表示されません。