アクセスコントロールの使い方を紹介します。

コースの目標

このコースを修了すると、下記のことができるようになります:

1. ASUSTOR NAS上のユーザー/グループ/共有フォルダを作成し、それぞれのアクセス権を管理する

2. アクセスコントロールの操作方法

概要

1. アクセスコントロールの紹介

1.1 アクセスコントロールとは？

1.2 管理者権限とユーザー権限の違いは？

2. アクセスコントロールの設定方法

2.1 ローカルユーザー

2.2 ローカルグループ

2.4 共有フォルダ

2.5 アプリのアクセス権

1. アクセスコントロールの紹介

1.1 アクセスコントロールとは？
アクセスコントロールとは、ASUSTOR NAS上の複数のユーザーとグループの共有フォルダとアプリの権限を管理する機能です。ASUSTOR NASに保存されたデータへのアクセス権をユーザーに割り当てることができます。

1.2 管理者権限とユーザー権限の違いは？

管理者アカウントと管理者権限は、ASUSTOR NAS を購入する際のデフォルト設定です。 ユーザーアカウントでは、管理者が指定した特定のフォルダやアプリにのみアクセスできます。

• ローカルユーザーについて

NASの初期化後、ADMでは「admin」と「guest」のユーザーアカウントが自動的に作成されます。「admin」はデフォルトの管理者アカウントで、すべてのアクセス権が付与されます。必要であれば、管理者アカウントの名前とパスワードを変更することができます。「guest」はデフォルトのゲストアカウントで、CIFS/SAMBAとAFPでしか使用できません。ゲストアカウントにはログインと認証の権限がないため、パスワードを変更できません。

• ローカルグループについて

NASの初期化後、ADMでは「administrators」と「users」の２つのユーザーグループが自動的に制作されます。「administrators」はデフォルトの管理者グループで、ごのグループに追加されたユーザーには管理者アクセス権が付与されます。「admin」アカウントはデフォルトで「administrators」グループに属し、削除することはできません。

2. アクセスコントロールの設定

2.1. ローカルユーザー
ADM→アクセスコントロールを開き、ここでローカルユーザーの追加、編集、削除ができ、ユーザーアクセス権の割り当て、編集、削除も可能です。

2.1.1 新規ユーザーの追加とアクセス権の設定
1. 「追加」→「新規ユーザー」の追加をクリックします。

2.ユーザーの名前とパスワードなどの情報を入力します。

3. ユーザーのアクセス権をカスタマイズにするか管理者権限にするかを選択します。一番目の選択肢を選択すると、権限設定の画面が表示されます。

4. 共有フォルダのアクセス権を設定します。

DA: アクセス拒否

RW: 読み取り&書き込み

RO: 読み取り専用

アクセス権の優先順位: アクセス拒否 > 読み取り&書き込み > 読み取り専用 > 設定なし

5. 必要に応じてアプリのアクセス権を設定します。これで新規ユーザーの追加が完了します。

2.1.2. ユーサー情報とアクセス権の編集

1. ユーザーを選択し、「編集」をクリックします。ここでユーザーの「情報」、「グループ」、「フォルダのアクセス権」を編集することができます。

2. ユーザーを選択し、「クオータ」をクリックします。ここでユーザーの使用容量制限を編集することができます。

注：Btrfsボリュームでは、クオータの設定ができません。

2.2. ローカルグループ

ローカルグループをクリックし、ここでローカルグループの追加、変更、削除をします。

注：ユーザー数が多い環境の場合は、グループを基準に一括設定を行いのが簡単な管理方法になります。

2.2.1 新規グループの追加とアクセス権設定

1. 「ローカルグループ」→「追加」をクリックします。

2. グループの情報を入力します。

3. グループに属するユーザーを選択します。

4. グループのフォルダアクセス権を設定します。これで新規グループの追加が完了します。

2.2.2 グループ情報とアクセス権の編集

グループを選択し、「編集」をクリックすると、グループの「情報」「メンバー」「フォルダアクセス権」を編集することができます。

2.3 AD/LDAP

Windows Active Directory（以下「AD」と呼びます）を使用している場合は、NASをADドメインに追加できます。

Windows Active Directory：NASをActive Directoryドメインに正常に追加したあと、アクセス制御アプリを使用して、ドメインユーザー、ドメイングループ、および共有フォルダーの設定を使用してアクセス権を構成できます。Active Directoryユーザーは、自分のActive Directoryアカウントを使用してログインしてNASにアクセスできます。

Lightweight Directory Access Protocol（LDAP）：LDAPは、ライトウェイト ディレクトリ アクセス プロトコルとも呼ばれ、主にアカウントとパスワードの統合管理に使用されます。 LDAPを使用すると、企業全体でユーザー認証またはコンピューターリソースのアクセス許可をより効率的に管理できます。 ユーザーはASUSTOR NASを既存のLDAPサーバーに簡単に追加できるため、生産性の管理に役立つ簡単な方法が提供されます。

注意：ASUSTOR NASは、200,000を超えるADユーザーとグループをサポートできます。ADドメインに初めて参加する場合、ユーザーやグループの数によっては、すべてが表示されるまでに時間がかかる場合があります。

More
NAS 206 - NASとWindows Active Directoryの連携

2.4. 共有フォルダ

「アクセスコントロール」→「共有フォルダ」をクリックします。ここで、共有フォルダの管理とフォルダアクセス権の設定を行えます。共有フォルダの設定により、NASをファイルサーバーとして使用することができます。共有フォルダは、ファイルを共有するために必要です。そのため、共有フォルダのアクセス権を適切に設定することはデータの管理において非常に重要です。

• 共有フォルダについて

NASの初期化後、共有フォルダ「public」が自動的に作成されます。デフォルトで、すべてのユーザーは「public」フォルダにアクセスできます。また、当該ユーザーのみアクセスできる個人フォルダも（ユーザーの名前を使用して）自動的に作成されます。

ホームフォルダーは各ユーザーごとにあり、ASUSTORのNASを使用している他のユーザーには見えません。ユーザーは自分のホームフォルダにのみアクセスすることができます。

2.4.1 新規共有フォルダの追加とアクセス権の設定

1. 「共有フォルダ」→「追加」をクリックします。

2. 共有フォルダの情報を入力します。

補足: ここでは、３つのオプションがあります。

• 「ネットワーク」または「マイネットワーク」で非表示にする：この設定は、Microsoft Windowsを使用している場合のみ適用されます。この設定を有効にすると、NASは「ネットワーク」または「マイネットワーク」で非表示になります。この設定を有効にしても、NASへの接続自体に影響はありません。
• ごみ箱を有効にする：この設定を有効にすると、共有フォルダから削除されたファイルは、一旦「ごみ箱」フォルダに保管されます。「ごみ箱を空きにする」ボタンをクリックすると、ごみ箱フォルダのすべてのファイルが削除されます。
• 共有フォルダを暗号化： ここでは、共有フォルダを暗号化するかどうかと、またシステム起動時に自動マウントするかどうかを選択できます。フォルダの暗号化を選択した場合、システムの再起動後、フォルダにアクセスするには、パスワードを手動で入力するか、フォルダの暗号化キーをインポートする必要があります。暗号化されたフォルダは、通常重要または機密データのストレージに使用されます。NASを紛失した場合でも、データが漏洩したり、悪意のある第三者に渡る心配はありません。

注意事項：

共有フォルダの暗号化を有効にした場合、パスワードを忘れないようにしてください。パスワードを忘れた場合、共有フォルダのデータは復元できなくなります。

3.  共有フォルダへのアクセス権を選択します。

「すべてのユーザーの場合は読み取り専用、管理者の場合は読み取りと書き込む」がデフォルトの選択です。

「次へ」クリックして進みます。

他のオプション: ユーザーごと/グループごと

• ユーザーごと

ユーザーを選択します。

完了します。

• グループごと

グループのアクセス権を選択します。

完了します。

補足：Windows ACLについて

1. 共有フォルダーに対してWindowsACLを有効にしたあと、共有フォルダーとそれに含まれるすべてのサブフォルダーおよびファイルにユーザーまたはグループのアクセス許可を割り当てることができます。
2. 次の共有フォルダーはWindowsACLアクセス許可をサポートしていません：ホーム、ユーザーホーム、PhotoGallery、Web、Surveillance、MyArchive、ネットワークごみ箱、仮想デバイス、外部デバイス（USBハードドライブ、光学ドライブ）。
3. Windows ACLを有効にすると、ADMのファイルエクスプローラーまたはMicrosoft Windowsエクスプローラーを使用してアクセス許可を構成できるようになります。Windows ACLを無効にすると、ADMのファイルエクスプローラー内からのみアクセス許可を構成できるようになります。
4. Windows ACLを有効にして、その後、無効にした場合、すべてのファイルとフォルダーに、すべてのユーザーの読み取りと書き込みのアクセス許可が再割り当てされます。
5. Windows ACLを使用しているかどうかに関係なく、ユーザーはファイルにアクセスするために共有フォルダーとファイルのアクセス許可を必要とします。

More

NAS 471 - WindowsACLの概要

2.4.2 共有フォルダの編集

1. 共有フォルダを選択し、「編集」をクリックすると、共有フォルダの情報を編集できます。

2. 共有フォルダを選択し、「アクセス権」をクリックすると、アクセス権を編集できます。

2.4.3 Virtual Drive

ISOイメージファイル（.isoファイル）を仮想ドライブとしてマウントし、ISOイメージファイルのコンテンツを直接参照できます。ADMの仮想ドライブ機能は、すべてのユーザーのアクセスを構成するか、管理者のみにアクセスを制限することを可能にする、簡素化されたアクセス制御設定も提供します。

2.4.4 CIFS Folder

ここでは、リモートフォルダーを共有CIFSフォルダーとしてマウントし、ユーザーまたはユーザーグループに応じてそれらの使用許可を構成できます。

More

NAS 344 - CIFSフォルダのマウント

2.5. アプリのアクセス権

ここで、アプリに対するユーザーまたはグループのアクセス権を設定できます。例えば、特定ユーザーが監視センターアプリへのアクセスを拒否された場合、そのユーザーがログインすると、ADMホーム画面で監視センターアプリを見られなく、開いたりアクセスすることができません。

• 実質上パブリックなアプリ（WordPressなど）や独自のアカウント管理システムを持っているアプリ（Joomlaなど）には、ADMでアクセスを制限することができません。
• ドメインユーザーは、ファイルエクスプローラーのアクセス権を設定するオプションのみ使用可能です。

2.5.1 アプリ権限の編集

リストからアプリを選択し、「編集」をクリックします。

許可するユーザーをチェックします。

2.5.2 ユーザーアクセス権の編集

リストからユーザーを選択し、「編集」をクリックします。

許可するアプリをチェックします。