DFS 環境で Windows Server 2003 アクセス ベースの列挙を実装する方法

文書翻訳 文書翻訳
文書番号: 907458 - 対象製品
すべて展開する | すべて折りたたむ

はじめに

この資料では、DFS 環境で Microsoft Windows Server 2003 アクセス ベースの列挙を実装する方法について説明します。アクセス ベースの列挙が有効になっていると、Windows では、ユーザーがアクセス権を持たないファイルやフォルダは表示されません。

詳細

次のような状況を想定します。
  • \\dfs-share\users という名前の分散ファイル システム (DFS) ルートを展開します。ルートの下には、いくつかの DFS リンクが存在します。
  • これらの DFS リンクは、何名かのユーザーのホーム ディレクトリを表します。
  • \\dfs-share\users ルートでアクセス ベースの列挙を有効にして、ユーザーがルートを列挙したときにユーザーには各自のホーム ディレクトリだけが表示されるようにしたいと考えます。
この状況でアクセス ベースの列挙を実装するには、次の手順を実行します。
  1. 管理者の資格情報を使用して Windows Server 2003 にログオンします。
  2. Cacls ユーティリティを使用して、DFS リンクに適切なアクセス制御リスト (ACL) を設定します。Cacls ユーティリティは Windows Server 2003 に含まれています。

    たとえば、リンク ターゲットの ACL と同じように、リンクの ACL を作成します。\\server1\share1\johndoe という名前のターゲットに対して \\dfs-share\users\johndoe リンクがある場合、\\server1\share1\johndoe の ACL と同じように \\dfs-share\users\johndoe の ACL を作成します。ターゲットが Windows ベースのコンピュータにある場合、コマンド プロンプトに cacls と入力し、ACL を確認します。Cacls ユーティリティの詳細について参照するには、コマンド プロンプトで cacls /? と入力してください。
  3. 各ルート共有にアクセス ベースの列挙のプロパティを適用するには、ABEUI ユーティリティを使用します。このユーティリティを入手するには、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/downloads/details.aspx?FamilyID=04a563d9-78d9-4342-a485-b030ac442084&DisplayLang=en
    : レプリケートされたルート共有ごとに、アクセス ベースの列挙のプロパティを設定します。
  4. ドメイン ルートとリンクがレプリケートされたらすぐに、Cacls ユーティリティを使用して、レプリケートされたリンクに対して ACL を手動で設定します。この手順はすべてのレプリカに対して繰り返し実行する必要がありますが、最初に、ルートとリンクがターゲットに完全にレプリケートされていることを確認してください。
  5. クラスタ環境では、ノードが他のノードにフェールオーバーすると、DFS によってすべての DFS リンクが削除され、フェールオーバーごとにリンクが再作成されます。したがって、フェールオーバーが発生した場合は、リンクに ACL を再適用する必要があります。フェールオーバーの発生後、リンクに ACL を自動的に再適用するには、次の手順を実行します。
    1. クラスタ アドミニストレータ コンソールから、スクリプト リソースを作成します。このリソースは、DFS および共有リソースと同じグループに属するようにしてください。
    2. 作成したスクリプト リソースを、各 DFS リンクの ACL を設定するスクリプト リソースに追加します。
    3. 新しいスクリプト リソースが、DFS リソースに対して依存関係にあるようにします。この手順により、新しくフェールオーバーされたノードに DFS リンクが作成された後にだけ、新しいスクリプト リソースが実行されるようになります。
    4. グループをオフラインに変更し、もう一度オンラインに戻して、新しいスクリプト リソースを有効にします。
上記の手順を実行すると、ユーザーがルートを列挙したときに、アクセス権を持つ DFS リンクだけが表示されます。

リンクの ACL がリセットされ、再適用が必要になる場合があります。次の場合に、ACL はリセットされます。
  • DFS ユーティリティ (Dfsutil.exe) を使用して DFS ルートの復元が行われます。DFS リンクの ACL は保持されず、リセットされます。
  • DFS ルートがエクスポートされ、別の場所にインポートされます。DFS リンクの ACL は保持されず、リセットされます。
  • DFS ルート ターゲットを新たに追加する場合、リンクは適切な ACL を受け取りません。これは、リンクの方が先に作成されているためです。
  • DFS リンクの名前を変更すると、DFS サービスによってリンクが削除され、再作成されます。リンクの ACL はリセットされます。
  • マルチコンポーネントのリンクを削除すると、DFS によりすべての空の中間ディレクトリが削除されます。ディレクトリに設定されていたすべての ACL は、ディレクトリが削除されるときに失われます。同じパスを使用してマルチコンポーネントのリンクを新しく作成する場合は、中間ディレクトリに対してすべての ACL を再適用する必要があります。
: アクセス ベースの列挙が DFS リンクに対して期待どおりに機能しない場合は、まず、Cacls ユーティリティを使用して DFS リンクの ACL を調べてください。

DFS リンクの ACL がターゲットの ACL と一致するように設定されていない場合は、次の状況が発生している可能性があります。
  • リンクの ACL に設定されている制限がターゲットの ACL に設定されている制限よりも厳しい場合、リンクは表示されません。ただし、ユーザーがリンクの名前を把握している場合は、ユーザーは適切なパスを使用してターゲットの内容を参照できます。
  • リンクの ACL に設定されている制限がターゲットの ACL に設定されている制限よりも緩やかである場合、リンクは表示されます。ただし、ユーザーがリンクにアクセスしようとすると、"アクセスは拒否されました" というメッセージが表示されます。

プロパティ

文書番号: 907458 - 最終更新日: 2006年12月20日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowto KB907458
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com