2014年1月20日月曜日

Windowsのファイル共有のユーザ権限設定あれこれ (匿名アクセスなど) (1)

Windowsでファイルサーバ的なものを構築する際、初期設定ではクライアントからアクセスする度にユーザ名とパスワードを求められる...はずです。

 
 
 
しかし、アクセスするユーザが限定されているなど、安全性が十分に確保されているような用途によっては、アクセス時にユーザ名とパスワードを求められない匿名アクセスを可能にして、サーバのアドレスを入力するだけでアクセス可能にしたいこともあると思います。
まずは、Windows共有で匿名アクセスを可能にする方法について説明します。



 
 
その場合、サーバとなるコンピュータ上で以下の3点の設定を行います。
  • Guestアカウントを有効にする
  • ローカルセキュリティポリシーを変更し、Guest権限でアクセス可能にする
  • 共有フォルダのアクセス権限を変更する
まず、Guestアカウントを有効にします。
画像はWindows7ですが、Windows2000以上の環境であればほぼ同一の方法で設定できるはずです。
 
コントロールパネルの中にある管理ツールを開き、中にあるコンピュータの管理を開きます。
 
コンピュータの管理を開くと左に様々な項目が表示されていますが、システムツールというものを展開し、ローカルユーザとグループを展開し、ユーザを選択します。
 
 
Guestというアカウントがあるので、このアカウントのプロパティを開きます。
アカウントを無効にするというチェックがあるので、これを外してアカウントを有効にします。
 
 
ちなみに、コントロールパネルにあるユーザアカウントからでも、Guestアカウントを有効にすることは可能です。
 
 
しかしこの方法でGuestアカウントを有効にしてしまうと、アカウントの有効化と同時にGuestアカウントでのログインを許可するようにシステムポリシーが書き換えられてしまい、Guestアカウントでシステムにログインすることが可能となってしまい、大変危険な状態となります。
 
 
そのため、不特定多数にGuestアカウントでコンピュータを使用させることが目的でなければ、コンピュータの管理からGuestアカウントを有効にするようにします。
ただアカウントを有効化した後に、Guestアカウントでのログインを有効にするというシステムポリシーを手動で戻しても別にやっていることは変わりませんので、そこら辺はお好みで。
 
 
ここまででGuestアカウントの有効化が完了しましたので、次はローカルセキュリティポリシーを変更し、Windows共有に匿名でアクセス可能に設定します。
 
 
コントロールパネルから管理ツールを開き、ローカルセキュリティポリシーという項目を開きます。
 
ローカルポリシーを展開し、ユーザ権利の割り当てを開き、ネットワーク経由でのアクセスを拒否という項目を開きます。 
 
 
 
Guestアカウントが含まれているので、これを選択して削除します。
この設定で、共有フォルダにGuest権限でアクセス可能となります。
 
 
最後に、アクセス権限の設定を行います。
この設定では、共有しようとするフォルダに対して、Everyoneのアクセス権限を追加することで匿名アクセスでアクセス可能に設定します。
 
 
まず、共有フォルダとして設定するフォルダのプロパティを開き、セキュリティのタブを開きます。
 

アクセス権限を追加する必要があるので、編集ボタンをクリックし、開いたダイアログから追加をクリックします。
なおWindows2000やWindows XP、WindowsServer2003などのOSでは、セキュリティタブ内に追加ボタンが用意されているので、それをクリックします。


選択するオブジェクトは、everyoneと半角で入力します。


この設定で、everyoneのアクセス権限が追加されます。
しかし、追加された段階では読み取りのみのアクセス権限となっていますので、書き込みまで許可したい場合は、Everyoneのアクセス許可に、変更と書き込みのチェックを入れます。


なお、書き込みまで許可する場合は、この設定とは別に共有のアクセス許可も設定する必要があります。
デフォルトでは読み取り専用のアクセス権限となっているので、それを変更します。

共有するフォルダのプロパティから、共有のタブを開きます。


Windows7の場合では、詳細な共有というボタンがあるので、それをクリックし、アクセス許可のボタンをクリックします。

変更にチェックを入れれば、書き込みアクセスも可能となります。
フルコントロールまでチェックを入れると、セキュリティタブで行ったアクセス権限の設定次第では、共有フォルダ内にあるファイルのアクセス権限を匿名ユーザが弄ることも可能になります。



ここまでの設定で、Windowsのファイル共有に対して匿名でアクセスすることが可能となります。
次回以降で、 匿名ユーザではアクセス不能で、ユーザ名を設定してアクセスしたユーザのみが開けるフォルダの設定方法、およびアクセス方法について書いていくはずです。


0 件のコメント:

コメントを投稿