[NT] クラスタ化されたファイル共有を実装する際のセキュリティ問題

文書翻訳 文書翻訳
文書番号: 254219 - 対象製品
この記事は、以前は次の ID で公開されていました: JP254219
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows 2000 クラスタと、Windows NT 4.0 Enterprise Server の限定された範囲でのファイル共有セキュリティを管理する方法について説明しています。

詳細

このアーティクルは、共有レベルとファイル システム レベルのセキュリティの違いについての基本的な知識があることを前提としています。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
186496 [NT] コマンド フォルダを保護する
Windows NT 4.0 ヘルプで、アクセス権、セキュリティ、共有について検索することもできます。

概要

  • すべての場合において、弊社ではセキュリティ設定を単純にしておくことをお勧めします。標準化チームまたは IT 部門は、使用するセキュリティの種類を決定し、そのレベルでセキュリティを定義する必要があります。共有レベルとファイル システム レベルのアクセス権を混在させると、管理が著しく困難になる可能性があります。ほとんどの状況において、ファイル システム アクセス権をお勧めします。
  • オペレーティング システムに関わりなく、ローカル グループに、共有ドライブ上のディレクトリに対する権限を与えるべきではありません。Windows 2000 および Windows NT 4.0 メンバー サーバーは、独自のユーザー データベースを保持します。記憶域のリソースや共有が別のノードにフェール オーバーされると、ローカル SID を参照するアクセス制御エントリは無効になります。理論上は、ローカル リソースをクラスタ ノード間で重複させることも可能ですが、実際はオーバーヘッドが著しく増大し、エラーが発生しやすいため、この方法はサポートされておりません。
  • クラスタ サービス アカウントは、正しく共有を作成するために、少なくとも NTFS 読み取り権限が必要です。

種類ごとのファイル共有

標準共有:
標準共有は、セキュリティの点では、最も柔軟性があり、理解しやすいものです。唯一の実際上の違いは、Windows エクスプローラではなく、クラスタ ユーザー インターフェイスを用いて、共有レベルのセキュリティを管理することです。NTFS レベル セキュリティは、Windows エクスプローラを用いて管理します。クラスタ ファイル共有の作成の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
224967 クラスタ上でファイル共有を作成する方法
サブディレクトリの共有:
サブディレクトリ共有は、Windows NT 4.0 サービス パック 4 以降の Windows NT のバージョンで利用可能です。Windows NT 4.0 サービス パック 5 以降は、共有を自動的に作成または削除します。この共有により、管理者は多数の共有を保持するディレクトリをすみやかに作成することができます。ルート共有が指定され、この指定されたルートの 1 レベル下のすべてのサブディレクトリが正規の共有として作成されます。これらの共有は、ルート共有と同じ共有レベル アクセス権を引き継ぎます。これが望ましくないのであれば、共有レベル アクセス権は Everyone のままとし、セキュリティはファイル システム レベルで実装してください。サブディレクトリ共有の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
194831 [NT] ファイル共有リソースの機能強化と動的更新
185212 [NT]Cluster Server は 900 を超える共有を処理できない
DFS ルート:
DFS ルートは、Windows 2000 においてのみ利用できます。クラスタ内のスタンドアロン DFS ルートを管理することができます。クラスタ アドミニストレータ ユーザー インターフェイスにより、ルートに対する共有レベル アクセス権を設定し、該当するサーバーに対するファイル共有アクセス権により、各リンクを管理することができます。しかし、このアクセスの制御方法は、多数のサーバーやリンクにおよぶ DFS ツリーに対しては、困難な場合があります。ファイル共有レベル アクセス権を許可としたうえで、NTFS ファイル システム アクセス権を用いてアクセスを制限することにより、DFS ツリーを管理することをお勧めします。ファイル システム セキュリティは、FAT または FAT32 ボリュームをポイントするリンクに対しては使用できないので注意してください。

Cluster Server の Distributed File System (DFS) の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
220819 How to Configure DFS Root on a Windows 2000 Server Cluster
241452 Windows 2000 に分散ファイルシステム (DFS) をインストールする方法

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 254219 (最終更新日 2000-06-06) を基に作成したものです。

プロパティ

文書番号: 254219 - 最終更新日: 2004年8月5日 - リビジョン: 2.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
キーワード:?
kbhowto kbenv kbnetwork KB254219
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com