ゴール
社員1000人規模でも効率的に管理できるファイルサーバーのアクセス制御を実現する
このやり方だと各ユーザーごと全てにアクセス許可を逐一設定させなければならない
IT部
山田 拓也
田中 光治
営業部
中村 良和
中西 沙織
人事部
立花 哲也
野中 絵理
という組織図だとする。
各部署ごとにフォルダを作成して、それぞれにアクセス権を付与したい。
※人物名はこちらで生成したものなので仮名です
読取/書込(RW)
読取専用(RO)
何もできない
ACL
通信アクセスを制御するためのリスト
解決案
①それぞれにRWとROのグループを作成する
②そのグループにそのユーザーを追加する
例えばIT山田さんにはITのRWと営業部のROを与えると
ITのフォルダにはRW、営業部のフォルダには読取専用、人事部には何もできない、ということが実現できる。
組織図と参加させるグループの振り分け
| 所属部署 | 氏名 | RWの権限 | ROの権限 |
|---|---|---|---|
| 山田 拓也 | IT部 | IT部 | 営業部 |
| 田中 光治 | IT部 | IT部 | |
| 中村 良和 | 営業部 | 営業部 | 人事部 |
| 中西 沙織 | 営業部 | 営業部 | |
| 立花 哲也 | 人事部 | 人事部 | IT部 |
| 野中 絵理 | 人事部 | 人事部 |
実装していく
直接Usersにユーザーを作っても良いが、ほとんどが各部署ごとにOUを作成している
さらにOUは入れ子にできるので、OUを作った方が便利
OUとユーザーを作成する
②ACL用のOUとグループを作成する
各部署ごとのRWとROのグループを作成する
③各グループに先ほど定義した要件通りに振り分ける
設定方法は2通り
1.グループから設定
グループ>右クリック>プロパティ>メンバーから追加
2.ユーザーから設定
変更するユーザー>右クリック>プロパティ>所属するグループから追加
④各フォルダの設定をする
※ここからは所有者ノードの端末で操作する
まずはフォルダの作成
アクセス権の設定
各フォルダのプロパティ>セキュリティから設定していく
確認する
適当にフォルダとファイルを作成しておく
IT山田の場合、ITのRW、営業のROがあるため
営業はアクセスできるが、テキストの編集はできない
人事はアクセスできない
補足
基本大企業では社員をExcelなどでDBとして保管してスクリプトを実行することで、これらの設定を自動化している(はず)
本来であればこの上でテストを実行するはず