Windowsの共有フォルダのアクセス権をOUで制御する方法を解説します。「セキュリティグループは設定が面倒で嫌だもっとシンプルに運用したい」と思っている方におススメの方法です。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
共有フォルダのアクセス権限をOUで制御する方法
例を参考に説明をしていきます。
以下の共有フォルダを作成しアクセス権限をフルアクセスにしてください。
秘書課、庶務課、法務課、情報課
次に以下のようにActive DirectoryでOUを共有フォルダの単位で作成し、それぞれの課に所属するユーザーを配置させます。
<Active Directoryユーザーとコンピューターの設定>
総務部OU
-秘書課OU 【秘書課のユーザーを配置】
-庶務課OU 【庶務課のユーザーを配置】
監査部OU
-法務課OU 【法務課のユーザーを配置】
-情報課OU 【情報課のユーザーを配置】
続いてグループポリシーを割り当てます。割り当てる内容は、課ごとの共有フォルダをネットワークドライブにしてそれぞれ割り当てます。
例えば、秘書課であれば秘書課の共有フォルダのパスをネットワークドライブ(R:)に割り当てます。秘書課の絶対パスは(\\sv1\root\全社員\総務部\秘書課)ですが、秘書課のユーザー側から見ると(R:)というネットワークドライブに秘書課の共有フォルダが割り当てられます。同じロジックで庶務課のユーザーからは(R:)というネットワークドライブに庶務課の共有フォルダが割り当てられることになります。
ネットワークドライブの割り当て方法は以下の記事をご参照ください
GPOでネットワークドライブを設定する方法(共有フォルダのショートカットはダサい)
<グループポリシーの管理の設定>
総務部OU
-秘書課OU 【GPO:秘書課フォルダをネットワークドライブ[R]に割り当て】
-庶務課OU 【GPO:庶務課フォルダをネットワークドライブ[R]に割り当て】
監査部OU
-法務課OU 【GPO:法務課フォルダをネットワークドライブ[R]に割り当て】
-情報課OU 【GPO:情報課フォルダをネットワークドライブ[R]に割り当て】
最終的な構図
この方法で以下2点が実現でき、セキュリティグループを作成せずにOUだけでアクセス権を制御することが可能となりました。
1.自分の課のネットワークドライブしかない状態
2.ユーザー側からは絶対パスが分からない状態
コメント