it-swarm-ja.com

共有とNTFSのアクセス許可の使用について混乱しています

私は共有とNTFSのアクセス許可について調査してきました(仕事で静かな時間を過ごしているときにIT関連の調査を行うのが好きです)。どちらも同じ目的を果たし、多くの企業が両方を同時に利用していることを知っていますが、なぜこれが一般的な慣習であるのか頭を悩ませているようには見えません

私はこれが少し主観的である可能性があることを知っていますが、私が探している情報を私に与えているオンラインのどこにも見つけることができないようです

共有とNTFSの両方のアクセス許可がファイルとフォルダーのアクセス許可を同じように制限している場合、なぜ両方を一緒に使用するのでしょうか。私は明らかに許可に関して何かが欠けています。誰かがここで私を助けてくれませんか

1
T Crumpen

「共有」とNTFSのアクセス許可:理由のためにほとんど冗長

私は共有とNTFSのアクセス許可について調査してきました...両方が同じ目的を果たしていることを知っています...

参照している「共有」権限は、Microsoft SMBプロトコルの一部です。 SMB権限 SMBプロトコル。これには、FAT32などの独自のアクセス制御メカニズムを持たないファイルシステムに保存されたデータが含まれます。NTFSが広く使用される前、SMBアクセス許可は、多くの場合、システム管理者が共有データへのユーザーアクセスを制御する唯一のコントロールでした。

...そして、多くの企業が両方を同時に利用していますが、なぜこれが一般的な慣行であるのか、頭を悩ませているようには見えません。

これが「一般的な慣行」である理由は、管理者が問題を選択できないためであることに気付いていると思います。 NTFSファイルシステムに保存されているデータがSMBを介して共有されている場合、両方のアクセス許可スキームが機能します。それらの1つを単に無視して、物事をうまく進めることはできません。

とにかくそれらを無視しましょう

多くの場合、管理者は[共有アクセス許可]ダイアログでEveryone IDフルコントロールを付与することにより、SMBアクセス許可を効果的にバイパスし、NTFSアクセス許可のみに依存してユーザーアクセスを管理します。ほとんどの環境では、非常に優れたNTFSアクセス許可がテーブルにあるため、これは望ましくない結果なしに機能します。

SMB + NTFSアクセス許可は連携できますか?

SMBとNTFSアクセス許可が連携して、1つのスキームだけでは実現できないことを達成できるという興味深いユースケースに遭遇しました。基本的な目標は、NTFSフルコントロールを持つユーザーを防ぐことです。それらを使用して、他の方法では変更できるファイル/フォルダーへのアクセスを許可することからのアクセス許可。NTFSアクセス許可だけではこれを実行できない理由の詳細と背景については、これを参照してください スーパーユーザーの回答

共有アクセス許可とNTFSアクセス許可は、非常に異なるオプションのセットを提供します。

共有権限は、ほとんどの場合、読み取り/変更(変更/書き込み)/フルコントロールに制限されています。これらの3つのレベルだけでは、非常に基本的な権限設定しか得られません。それぞれを許可するか拒否するかを選択できますが、実行できることには制限があります。

NTFSアクセス許可は、同じ以上のものを提供します。かなりきめ細かいアクセス許可を設定でき、SACLの設定などの追加機能を利用できます( NTFSアクセス制御リスト 。使用可能な追加のアクセス許可の例については、以下を参照してください。

もう1つの重要な点は、NTFSアクセス許可は共有アクセス許可よりも「強力」であるということです。共有に「フルコントロール」がある場合でも、NTFSアクセス許可はさまざまな方法で制限する可能性があります( ファイルサーバーでの共有およびNTFSアクセス許可 も参照)。

NTFS permission details

1
Seth