WindowsACLを使用してASUSTOR NASのデータアクセス権限を管理する方法を学びます

コースの目標
このコースを修了すると、下記のことができるようになります：

1. ASUSTOR NASでWindows ACLを使用する基本原則を理解する
2. Windows ACLを使用して、ASUSTOR NASのデータアクセス許可を管理します

前提条件
受講前提条件
NAS 106：Microsoft WindowsでNASにアクセスする

次の項目についての知識を持つ受講生を対象としています：

ASUSTOR NASのインストールと初期化

ストレージボリュームと共有フォルダの作成

ADMでのローカルユーザーとグループの作成

概要
1. WindowsACLの概要
1.1 Windows ACLとは何か
1.2 Windows ACLを有効にする必要があるか
2. WindowsACLの構成
2.1 WindowsACLの有効化
2.2 ADMファイルエクスプローラーを使用したWindowsACLアクセス許可の構成
2.3 Windowsエクスプローラーを使用したWindowsACLアクセス許可の構成
2.4 WindowsACLのアクセス規則と注意事項
2.5 ACL権限を維持しながらNASにオブジェクトを移動する

1. Windows ACLの概要

1.1 Windows ACLとは何ですか?

Windows ACL（Access Control List）は、特定のユーザーおよびグループに適用できるNTFSファイルシステム用にMicrosoftによって設計された13種類の異なるファイルアクセス許可です。このタイプのインフラストラクチャ内で、管理者はより詳細で正確なアクセス許可の構成を行うことができます。

さらに、Windows AD（Active Directory）ドメインインフラストラクチャ（企業で広く使用されている）では、Windows ACLアクセス許可をドメイン内のすべてのユーザーとグループに適用できます。ユーザーはネットワーク内の任意のコンピューターを使用してログインでき、同じアカウント名を使用している限り、すべてのアクセス許可は同じままです。ITスタッフは、個々のサーバーおよびPCワークステーションごとにアクセス許可を構成する必要がないため、管理効率が大幅に向上します。

 ASUSTOR NASをADドメインとより緊密に統合し、IT管理を簡素化し、生産性を向上させるために、ASUSTORはWindows ACL権限システムをADMと緊密に統合し、次の独自の機能を提供します。

1.　個々の共有フォルダーに対してWindows ACLを有効にする機能

2.　13種類すべてのWindows ACLアクセス許可の包括的なサポート

3.　ADM内からWindows ACLの有効なアクセス許可を詳細に表示する機能

4.　ネットワークユーザーとグループのサポート

5. 　ACL権限をSamba、ファイルエクスプローラー、AFP、FTP、WebDAV、Rsyncファイル転送プロトコルに適用する機能

1.2 Windows ACLを有効にする必要がありますか？

前のセクションで説明したように、Windows ACLは、NASおよびドメイン（NASがWindows ADドメインに追加されている場合）のすべてのユーザーとグループに適用できる最大13の異なるアクセス許可設定を提供します。

アクセス許可の計画または構成が不適切な場合、すべてのユーザーが特定のフォルダーまたはファイルにアクセスできなくなる可能性があります。もちろん、この種類のエラーは管理者アカウントを使用することで解決できますが、問題が最初に発生してから解決するまでの無駄な時間は、企業にとって大きな無形のコストと見なすことができます。

ASUSTOR NASはLinuxオペレーティングシステムに基づいて開発されたため、ADMのネイティブ設定はLinuxの権限管理メカニズムを利用しています。

該当する権限：RW（読み取りと書き込み）、RO（読み取り専用）、DA（アクセス拒否）

権限は、「所有者」、所有者が属するグループ、および「その他」に適用できます。オプションの数が少ないほど、構成が簡単になります。

ただし、権限の柔軟性と調整の可能性は非常に限定的です。たとえば、Linuxのアクセス許可メカニズムを使用している場合、ファイルを削除するアクセス許可をユーザーに与えずに、ユーザーにファイルを編集する機能を与えることはできません。

自分と限られた人数の家族や友人の間でのみNASを使用している場合は、ADM独自の権限管理メカニズムを使用することをお勧めします。

ただし、NASをビジネスデータストレージに使用している場合は、まずITスタッフに相談して、Windows ACLアクセス許可を有効にすることが適切かどうかを判断し、使用する場合はアクセス許可の設定を考慮することをお勧めします。

単一の共有フォルダに対してWindows ACLを有効または無効にすることができます。これは、評価と計画に非常に役立ちます。

テスト用の共有フォルダを作成し、Windows ACLを有効にしてから、アクセス許可の設定を構成できます。その後、結果が期待どおりであるかどうかを確認できます。

必要な結果が得られたら、選択した共有フォルダに設定を適用できます。これにより、重要なデータへのアクセスを拒否し、ビジネスの運営に影響を与える可能性のある計画の誤りやエラーを回避できます。

2. Windows ACLの構成
2.1 Windows ACLの有効化
新しい共有フォルダを作成する

「admin」アカウントまたは「administrators」グループに属するユーザーアカウントを使用してADMにログインします。

 [アクセスコントロール]→[共有フォルダ]→[追加]を選択します。

 新しい共有フォルダの名前を入力し、[次へ]をクリックします。

 共有フォルダのアクセス権を設定した後、[Windows ACLを有効にする]チェックボックスを選択し、[次へ]をクリックします。

注：共有フォルダのアクセス権は、アクセス許可アクセス許可確認の最初のレイヤーです。ここでユーザまたはグループに「読み取りと書き込み」のアクセス許可が割り当てられていない場合、それらに割り当てられているWindows ACLのアクセス許可はすべてブロックされます。

したがって、Windows ACLが有効になっている共有フォルダに対して、より広範囲なアクセス権を構成し、あとでWindows ACLを使用してより具体的なアクセス許可をさらに構成することをお勧めします。

[完了]をクリックして、共有フォルダの作成を完了します。

既存の共有フォルダに対してWindowsACLを有効にする

「admin」アカウントまたは「administrators」グループに属するユーザーアカウントを使用してADMにログインします。

[アクセスコントロール]> [共有フォルダ]→設定するフォルダを選択して、[編集]をクリックします。

続いて、［Windows ACL］タブの[Windows ACLを有効にする]にチェックを入れて、画面を閉じます。

2.2 ADMファイルエクスプローラーを使用したWindows ACLアクセス許可の構成

ADMから、ファイルエクスプローラーを開き、Windows ACLを有効にした共有フォルダ（またはサブフォルダーまたはファイル）を選択します。共有フォルダを右クリックし、[プロパティ]を選択します。 

プロパティウィンドウから、[許可]タブを選択します。ここで、フォルダに対して現在設定されている権限を確認できます。ここでフォルダの権限を管理することもできます。

共有フォルダのWindows ACLを有効にした後、システムは標準設定で「読み取りと書き込み、ただし削除できません」というアクセス許可を「全員」、「administrators」、および「admin」アカウントに割り当てます。

これらのアクセス許可は共有フォルダにのみ適用され、以下のオブジェクトには継承されません。これらのデフォルトの権限は、[編集]または[削除]ボタンを使用して変更できます。

注：個々のファイルまたはフォルダーは、最大250の Windows ACLアクセス許可（継承されたアクセス許可を含む）を利用できます。

このオブジェクトの親から継承可能なアクセス許可を含める：

このオプションはデフォルトで有効になっています。システムは、その上のオブジェクトからアクセス許可を継承するようにサブフォルダとファイルを自動的に構成します。このオプションを無効にすると、継承する可能なすべてのアクセス許可が拒否され、新しく追加されたアクセス許可のみが保持されます。

すべての子オブジェクトのアクセス許可をこのオブジェクトから継承可能なアクセス許可に置き換える：このオプションを有効にすると、すべてのサブフォルダとファイルのアクセス許可が親オブジェクトのアクセス許可に置き換えられます。

ここで使用できる管理機能は次のとおりです。

追加：

[追加]ボタンをクリックして、オブジェクトの新しい権限を作成します。

ユーザーまたはグループ：権限を適用するユーザーまたはグループを指定します。

タイプ：[許可]または[拒否]を選択して、ユーザーまたはグループへのアクセス許可を付与または拒否します。

適用先：このオプションは、フォルダにアクセス許可を追加する場合にのみ表示されます。ドロップダウンメニューから、権限を適用する場所を選択できます。権限の適用方法は、[これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する]チェックボックスを選択したかどうかによって決まります。

[これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する]チェックボックスがオフになっている場合：

[これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する]チェックボックスがオンになっている場合：

編集：

権限を選択して[編集]ボタンをクリックすると、権限を変更できます。

削除する：

権限を選択して[削除]をクリックすると、現在のオブジェクトから権限が削除されます。

有効な権限：

[有効なアクセス許可]ボタンをクリックしてリストからユーザを選択すると、指定したフォルダまたはファイルに関するユーザの有効なアクセス許可を表示できます。 有効なアクセス許可は、Windows ACLアクセス許可と共有フォルダアクセス権の組み合わせから決定されます。

2.3 Windowsエクスプローラーを使用したWindowsACLアクセス許可の構成

1. まず、Windows管理者アカウントを使用して、Windows ACL対応の共有フォルダーをネットワークドライブとしてマップします。詳細については、NAS 106：Microsoft WindowsでNASにアクセスする　を参照してください。 

2. 共有フォルダ内のファイルまたはサブフォルダを右クリックし、[プロパティ]を選択します。次に、[セキュリティ]タブを選択します。ここでは、ユーザーとグループのリスト、およびファイルまたはサブフォルダーに対するそれらのACLアクセス許可を確認できます。



オブジェクトがその親からのアクセス許可と明示的なアクセス許可を同時に継承している場合、継承されたアクセス許可は灰色でチェックされ、明示的なアクセス許可は黒でチェックされます。

3. [編集]→[追加]をクリックします。[この場所から：]フィールドに次の情報が表示されます。NASがWindows ADドメインに追加されている場合は、ADドメイン名が表示されます。NASがWindows ADドメインに追加されていない場合は、NASのIPアドレスが表示されます。

4. [選択するオブジェクト名を入力してください]フィールドに、次の情報を入力します。NASがWindows ADドメインに追加されている場合は、ドメインのユーザー名またはグループ名を入力し、[名前の確認]をクリックしてユーザー／グループ名を確認します。 次に、[OK]をクリックします。

NASがWindows ADドメインに追加されていない場合は、ADMローカルユーザーまたはグループ名を入力し、[名前の確認]をクリックしてユーザー／グループ名を確認します。 次に、[OK]をクリックします。

5.  これで、[グループまたはユーザー名：]リストに新しく追加されたユーザーまたはグループが表示されるはずです。ユーザーまたはグループを選択し、[許可]および[拒否]チェックボックスを使用して、オブジェクトへのアクセス許可を構成します。 完了したら、[適用]をクリックします。

2.4 Windows ACLのアクセス規則と注意事項
2.4.1 競合するACL権限
競合するWindows ACL権限が発生した場合、オブジェクトの明示的な権限が優先されます。たとえば、ユーザーHelenがファイルの「読み取りと実行を許可」権限を継承しているが、ファイルに指定された明示的な権限が「読み取りと実行を拒否」である場合、Helenはファイルにアクセスできません。

逆に、Helenが「読み取り拒否」権限を継承しているが、ファイルに付与されている明示的な権限が「読み取り許可」である場合、Helenはファイルにアクセスできます。

2.4.2 ファイルとフォルダを移動するためのルール

例外：データがACL対応の共有フォルダーから削除され、ネットワークごみ箱に移動された場合、上の表の「B3」のルールは適用されません。これは、「アクセスの拒否」権限を持つファイルが削除されてネットワークごみ箱に移動され、すべてのユーザーが完全にアクセスできるようになるのを防ぐためです。

プライバシーとセキュリティを考慮して、ネットワークごみ箱に移動されたACL対応フォルダーのファイルには、「所有者の読み取りと書き込み、他のすべてのユーザーのアクセスの拒否」のアクセス許可が割り当てられます。

2.4.3 ファイル削除権限
ファイルの削除に関連する2つの権限があります。
1. ユーザーはファイルに対する明示的な「削除」権限を持っています。
2. ユーザーには、ファイルの親フォルダーに対する「サブフォルダーとファイルの削除」権限があります。

上記の権限のいずれかが「拒否」として設定されている場合、ユーザーはファイルを削除できません。上記の権限のいずれも「拒否」として構成されておらず、そのうちの少なくとも1つが「許可」として構成されている場合にのみ、ユーザーはファイルを削除できます。

2.4.4 オブジェクトのアクセス権

共有フォルダーに対してWindows ACLを有効にすると、フォルダー内に含まれる各オブジェクト（サブフォルダーとファイル）にアクセス権が付与されます。

オブジェクトを表示するには、ADMファイルエクスプローラーからオブジェクトを選択し、右クリックして[プロパティ]を選択します。[全般]タブの[共有フォルダアクセス権]セクションに編集リンクがあります。

アクセス権を持つ人は、そのACL権限を構成できます。

たとえば、上の図のユーザーoscarは、ACL Demoフォルダーの所有者です。したがって、oscarは、フォルダーとサブフォルダー、およびその中に含まれるファイルのACLアクセス許可を構成できるようになります。新しく追加されたオブジェクトごとに、オブジェクトの作成者がデフォルトでアクセス権として設定されます。

さらに、管理者グループのユーザーは、アクセス権を変更することができます。たとえば、上の図のACL Demoフォルダーの所有権を他のユーザー（Helenなど）に譲渡する場合、oscarと管理者グループのすべてのユーザーが所有権を譲渡できます。HelenがACL Demoフォルダーの所有者になると、元々アクセス許可がなかった場合でも、サブフォルダーとファイルのアクセス許可を再構成できるようになります。

2.5 ACL権限を維持しながらNASにオブジェクトを移動する
ネットワーク環境内のすべてのWindows PCとNASデバイスが同じWindows ADドメインに追加されている場合、ドメイン上のすべてのユーザーアカウントとアクセス許可を組み合わせることができます。

ただし、ファイルまたはフォルダをPCサーバーからNASに移動する場合、既存のACLアクセス許可は保持されません（セクション2.4.2のルールを使用）。

これにより、ITスタッフは権限を再構成する必要があります。

ファイルまたはフォルダをNASに移動するときに既存のACL権限を維持したい場合は、サードパーティのソフトウェアであるFastcopy（http://ipmsg.org/tools/fastcopy.html.en）を利用できます。

以下の例では、このFastcopyの使用方法を示します。

1.　まず、Windows管理者アカウントを使用して、Windows ACL対応の共有フォルダーをネットワークドライブとしてマップします。 詳細については、NAS 106：Microsoft WindowsでNASにアクセスする　を参照してください。 この例では、共有フォルダーをネットワークドライブ「Z:」としてマップしました。

2. Fastcopyを開きます。

3. [ソース]：ここでソースフォルダを指定します。

[DestDir]：ここで宛先フォルダーを指定します（手順1でマップされた「Z:」ネットワークドライブ） 

 [ACL]チェックボックスを選択して、ファイルを移動するときにFastcopyがファイルの元のACL権限を保持するようにします。[実行]をクリックしてフォルダの移動を開始します。

4. フォルダーが正常に移動された後、宛先に移動されたすべてのデータは、ソースからのACLアクセス許可（すべての明示的および継承されたアクセス許可を含む）を保持します。

このデータは、ソースの親オブジェクトから権限を継承しません。