[NT] クラスタ化されたファイル共有を実装する際のセキュリティ問題

この記事は、以前は次の ID で公開されていました: JP254219
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
この資料では、Windows 2000 クラスタと、Windows NT 4.0 Enterprise Server の限定された範囲でのファイル共有セキュリティを管理する方法について説明しています。
詳細
このアーティクルは、共有レベルとファイル システム レベルのセキュリティの違いについての基本的な知識があることを前提としています。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
186496 [NT] コマンド フォルダを保護する
Windows NT 4.0 ヘルプで、アクセス権、セキュリティ、共有について検索することもできます。

概要

  • すべての場合において、弊社ではセキュリティ設定を単純にしておくことをお勧めします。標準化チームまたは IT 部門は、使用するセキュリティの種類を決定し、そのレベルでセキュリティを定義する必要があります。共有レベルとファイル システム レベルのアクセス権を混在させると、管理が著しく困難になる可能性があります。ほとんどの状況において、ファイル システム アクセス権をお勧めします。
  • オペレーティング システムに関わりなく、ローカル グループに、共有ドライブ上のディレクトリに対する権限を与えるべきではありません。Windows 2000 および Windows NT 4.0 メンバー サーバーは、独自のユーザー データベースを保持します。記憶域のリソースや共有が別のノードにフェール オーバーされると、ローカル SID を参照するアクセス制御エントリは無効になります。理論上は、ローカル リソースをクラスタ ノード間で重複させることも可能ですが、実際はオーバーヘッドが著しく増大し、エラーが発生しやすいため、この方法はサポートされておりません。
  • クラスタ サービス アカウントは、正しく共有を作成するために、少なくとも NTFS 読み取り権限が必要です。

種類ごとのファイル共有

標準共有:
標準共有は、セキュリティの点では、最も柔軟性があり、理解しやすいものです。唯一の実際上の違いは、Windows エクスプローラではなく、クラスタ ユーザー インターフェイスを用いて、共有レベルのセキュリティを管理することです。NTFS レベル セキュリティは、Windows エクスプローラを用いて管理します。クラスタ ファイル共有の作成の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
224967 クラスタ上でファイル共有を作成する方法
サブディレクトリの共有:
サブディレクトリ共有は、Windows NT 4.0 サービス パック 4 以降の Windows NT のバージョンで利用可能です。Windows NT 4.0 サービス パック 5 以降は、共有を自動的に作成または削除します。この共有により、管理者は多数の共有を保持するディレクトリをすみやかに作成することができます。ルート共有が指定され、この指定されたルートの 1 レベル下のすべてのサブディレクトリが正規の共有として作成されます。これらの共有は、ルート共有と同じ共有レベル アクセス権を引き継ぎます。これが望ましくないのであれば、共有レベル アクセス権は Everyone のままとし、セキュリティはファイル システム レベルで実装してください。サブディレクトリ共有の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
194831 [NT] ファイル共有リソースの機能強化と動的更新
185212 [NT]Cluster Server は 900 を超える共有を処理できない
DFS ルート:
DFS ルートは、Windows 2000 においてのみ利用できます。クラスタ内のスタンドアロン DFS ルートを管理することができます。クラスタ アドミニストレータ ユーザー インターフェイスにより、ルートに対する共有レベル アクセス権を設定し、該当するサーバーに対するファイル共有アクセス権により、各リンクを管理することができます。しかし、このアクセスの制御方法は、多数のサーバーやリンクにおよぶ DFS ツリーに対しては、困難な場合があります。ファイル共有レベル アクセス権を許可としたうえで、NTFS ファイル システム アクセス権を用いてアクセスを制限することにより、DFS ツリーを管理することをお勧めします。ファイル システム セキュリティは、FAT または FAT32 ボリュームをポイントするリンクに対しては使用できないので注意してください。

Cluster Server の Distributed File System (DFS) の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
220819 How to Configure DFS Root on a Windows 2000 Server Cluster
241452 Windows 2000 に分散ファイルシステム (DFS) をインストールする方法
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 254219 (最終更新日 2000-06-06) を基に作成したものです。
mscs
プロパティ

文書番号:254219 - 最終更新日: 01/11/2015 03:23:20 - リビジョン: 2.2

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • kbnosurvey kbarchive kbhowto kbenv kbnetwork KB254219
フィードバック