Windowsフォルダのアクセス権「継承の有効化」「継承の無効化」を図解で超分かり易く解説

Windowsフォルダのアクセス権の機能に「継承」という概念があります。上位のフォルダからアクセス権を継承する機能ですが、これが分かりにくく曖昧にしている方も多いのではないでしょうか。本記事では、Windowsフォルダの「継承」について徹底的に分かり易く解説します。

目次

継承の有効、無効を操作する場所

いったいどこで継承の有効と無効を操作してるの?

「継承」を有効化したり無効化する場所を確認します。

フォルダのプロパティを開き、セキュリティタブへ移動します。右下にある「詳細設定」をクリックします。

下のような画面が立ち上がります。左が継承の有効化状態で右側が無効化状態です。

左下の「継承の無効化」を押下すると継承が無効化されます。逆に「継承の有効化」を押下すると継承が有効化されます。

「継承元」列をご覧ください、継承の有効化状態だと継承元のフォルダパスが表示されます。無効化状態だと「なし」といった表示になります。

何もしなければ継承はデフォルトで「有効化」になっています。

デフォルトの設定を確認(継承の有効化)

アクセス権についてWindowsのデフォルト構成を確認しましょう。基本を押さえないと先の理解が困難になります。

以下シナリオに沿って説明します。デフォルトの設定なので、普段意識しないで行っていることですが、継承の有効化と無効化を理解する上で理解しておく必要があります。

STEP
第1階層にフォルダを作成

「フォルダA」を作成しました。継承についてはデフォルトで有効化になっています。フォルダAにセキュリティグループAを追加します。

STEP
第2階層にフォルダを作成する

「フォルダA」の直下にフォルダB、フォルダC、ファイルAを作成すると、セキュリティグループAが継承されています。これがデフォルトの設定で、特に意識をしないとこの構成で利用することになります。

デフォルトの継承有効化の状態は、アクセス権をフォルダ毎に追加する必要がないので楽!!

STEP
第1階層にセキュリティグループを追加

「フォルダA」にセキュリティグループBを追加すると、第2階層のフォルダやファイルに自動的にセキュリティグループBが追加されます。

上位階層に新たにセキュリティグループを追加すると下位の階層のフォルダにも追加されます。

継承の無効化は2種類ある

継承の無効化には以下2種類あり冒頭で説明した「継承の無効化」を選択した後に選択することになります。後半で実例を元に詳しく解説しますので、言葉の定義として捉えてください。

継承の無効化1

継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。

概要:継承されて作成されたアクセス権を残したまま「継承を無効化」します。

継承の無効化2

このオブジェクトから継承されたアクセス許可をすべて削除します。

概要:アクセス権を削除した状態で「継承を無効化」します。

継承の無効化1:継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。

継承の無効化の1つめのパターン「継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。」を選択した場合の流れをシナリオに沿って解説します。

STEP
最初の構成

以下構成のフォルダ構造で「継承の無効化1:継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します」を選択すると権限がどのようになるのか確認していきます。

STEP
任意のフォルダで「継承の無効化1:継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します」を選択

フォルダBで「継承の無効化」を選択し、「継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。」をクリックします。すると、フォルダBは継承の無効化になりますが、セキュリティグループは削除されません。

STEP
上位階層の権限変更を行う

フォルダAに「セキュリティグループC」を追加すると、「継承の無効化」になっているフォルダBには追加されません。フォルダCとファイルAは「継承の有効化」になっているので「セキュリティグループC」が追加されています。

「継承の無効化1:継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します」を行うと現在の権限は変わりませんが、上位階層で権限が追加されても無視されます

継承の無効化2:このオブジェクトから継承されたアクセス許可をすべて削除します。

継承の無効化の2つめのパターン「このオブジェクトから継承されたアクセス許可をすべて削除します。」を選択した場合の流れをシナリオに沿って解説します。

STEP
最初の構成

以下構成のフォルダ構造から「継承の無効化2:このオブジェクトから継承されたアクセス許可をすべて削除します。」をするとどうなるか解説します。

STEP
任意のフォルダで「継承の無効化2:このオブジェクトから継承されたアクセス許可をすべて削除します。」を選択

フォルダBで「継承の無効化」を選択し、「このオブジェクトから継承されたアクセス許可をすべて削除します。」をクリックします。すると、フォルダBは継承の無効化になるかつセキュリティグループがすべて削除されます。

STEP
上位階層の権限変更を行う

フォルダAに「セキュリティグループC」を追加すると、「継承の無効化」になっているフォルダBには追加されません。フォルダCとファイルAは「継承の有効化」になっているので「セキュリティグループC」が追加されています。

「継承の無効化2:このオブジェクトから継承されたアクセス許可をすべて削除します。」を行うと現在の権限が削除されかつ上位階層で権限が追加されても無視されます。

「継承の無効化」のフォルダの配下にフォルダを作成した場合

最後のパターンとして、「継承の無効化」となっているフォルダの配下にフォルダやファイルを新規で作成したらどうなるか解説します。

下図は、フォルダAが「継承の無効化」になっていて「セキュリティグループA」が割り当てられています。

フォルダAの配下に、フォルダB、フォルダC、ファイルAを作成すると、「セキュリティグループA」は継承されて、すべて「継承の有効化」となります。

追加となるフォルダは必ず継承の有効化になっていて、上位階層の権限を引き継ぎます。

「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」とは?

同レベルで分かり難い「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」については以下の記事をご参照ください。

【実践】Windowsでアクセス権を子フォルダのみに適用する方法

Windowsでフォルダのアクセス権を設定する際、親フォルダと子フォルダに別々のアクセス権を適用したい場合があります。アクセス権を子フォルダのみに適用する具体的な方法は以下の通りです。実際にやってみましょう。

  1. 子フォルダのみにアクセス権を適用する理由
    1. プロジェクトごとにアクセス制限を設ける
    2. ユーザーごとに個別のフォルダを持たせる
    3. 親フォルダにはアクセスできるが、特定の子フォルダにはアクセス制限をかける
  2. 子フォルダのみにアクセス権を適用する手順 a. 親フォルダの継承を無効化する
    1. 親フォルダを右クリックし、「プロパティ」を開く
    2. 「セキュリティ」タブをクリック
    3. 「詳細設定」ボタンをクリック
    4. 「アクセス許可の継承」のチェックボックスを外し、「変更をすべての子オブジェクトに適用」のオプションを選択
    5. 「OK」をクリックして設定を保存 b. 子フォルダに適切なアクセス権を設定する
    6. 子フォルダを右クリックし、「プロパティ」を開く
    7. 「セキュリティ」タブをクリック
    8. 「編集」ボタンをクリックし、アクセス権を変更したいユーザーやグループを選択
    9. 必要なアクセス権を選択し、「OK」をクリックして設定を保存
  3. 注意点
    1. 子フォルダに変更がある場合は、手動でアクセス権を更新する必要がある
    2. アクセス権の設定を誤ると、フォルダへのアクセスが制限される可能性があるため、注意が必要

これらの手順に従って、Windowsで子フォルダのみにアクセス権を適用することができます。適切なアクセス権管理により、データのセキュリティを向上させることができます。

【補足情報】

  1. アクセス権設定のトラブルシューティング
    a. 子フォルダにアクセスできない場合
    1. 子フォルダのアクセス権を再確認し、必要なアクセス許可が与えられているか確認する
    2. グループポリシーやファイアウォールの設定が原因である可能性があるため、これらの設定を確認する b. 親フォルダのアクセス権が意図しない継承を引き起こしている場合
    3. 親フォルダの継承設定を再度確認し、継承が無効化されていることを確認する
    4. 必要に応じて、親フォルダのアクセス権を再設定する
  2. アクセス権管理のベストプラクティス
    1. 最小限の権限原則に従って、ユーザーやグループに必要最低限のアクセス権を与える
    2. アクセス権の変更や新しいフォルダの追加があった場合は、定期的にアクセス権を監査し、適切な設定が維持されていることを確認する
    3. アクセス権設定を行う前に、バックアップを取得し、トラブルが発生した際にリカバリできるように準備しておく

子フォルダのみにアクセス権を適用する方法を理解し、適切に設定することで、Windows環境でのデータ管理がより安全かつ効率的になります。これにより、組織全体の情報セキュリティが向上し、ビジネス上のリスクを最小限に抑えることができるでしょう。

【実践】アクセス権が継承されない場合の対処法

Windowsでフォルダのアクセス権が継承されない場合、いくつかの原因が考えられます。アクセス権が継承されない場合の対処法について説明します。

  1. アクセス権が継承されない原因
    a. 継承が意図的に無効化されている
    b. 親フォルダのアクセス権設定が不適切
    c. システムエラーやバグによる影響
    d. ネットワーク接続や共有設定の問題
  2. 対処法
    a. 継承設定を確認し、必要に応じて有効化する
    1. 親フォルダを右クリックし、「プロパティ」を開く
    2. 「セキュリティ」タブをクリック
    3. 「詳細設定」ボタンをクリック
    4. 「アクセス許可の継承」のチェックボックスがオンになっていることを確認し、必要であればオンにする
    5. 「OK」をクリックして設定を保存 b. 親フォルダのアクセス権を再設定する
    6. 親フォルダを右クリックし、「プロパティ」を開く
    7. 「セキュリティ」タブをクリック
    8. 「編集」ボタンをクリックし、アクセス権を変更したいユーザーやグループを選択
    9. 必要なアクセス権を選択し、「OK」をクリックして設定を保存 c. システムエラーやバグが原因の場合は、Windows Updateを実行し、最新の状態に保つ d. ネットワーク接続や共有設定を確認し、問題がないことを確認する
  3. 注意点
    1. アクセス権の設定を誤ると、フォルダへのアクセスが制限される可能性があるため、注意が必要
    2. フォルダ構造やアクセス権設定が複雑になると、管理が煩雑になるため、シンプルな構造を心がけましょう。

【実践】robocopyを使用したアクセス権の継承

robocopyは、Windowsでファイルやフォルダをコピーまたは移動する際に使用できるコマンドラインツールです。robocopyを使ってアクセス権を継承しながらデータをコピーする方法について説明します。

  1. robocopyの基本
    1. ロバストなファイルコピー機能を提供するコマンドラインツール
    2. ファイルのコピー、移動、同期を効率的に行うことができる
    3. NTFSアクセス権やファイル属性を維持しながらコピーが可能
  2. robocopyを使用したアクセス権の継承 a. 基本構文
    1. robocopy [ソース] [デスティネーション] [ファイル] [オプション] b. アクセス権を継承したファイルやフォルダのコピー
    2. robocopy コマンドに “/SEC” オプションを追加することで、アクセス権を継承しながらコピーが可能
    3. 例: robocopy C:\source D:\destination /E /SEC c. アクセス権を継承せずにファイルやフォルダをコピー
    4. “/COPY:DAT” オプションを使用して、アクセス権を継承せずにコピーを行うことができる
    5. 例: robocopy C:\source D:\destination /E /COPY:DAT
  3. 注意点
    1. robocopyは管理者権限が必要な場合があるため、管理者としてコマンドプロンプトを開くことが推奨されます
    2. コピー元とコピー先のフォルダ構造に注意し、誤った操作を行わないように注意が必要です
    3. 大量のファイルやフォルダをコピーする場合は、/LOGオプションを使用してログファイルを作成し、エラーや問題を確認できるようにすると便利です

robocopyを使用することで、アクセス権を継承しながら効率的にファイルやフォルダのコピーを行うことができます。しかし、誤った操作が原因でデータの損失やアクセス権の不具合が発生する可能性があるため、コマンドの使用には注意が必要です。

【実践】共有フォルダとサブフォルダのアクセス権設定

共有フォルダを作成する際に、サブフォルダに対するアクセス権の設定が重要です。共有フォルダとサブフォルダのアクセス権設定について説明します。

共有フォルダの作成
a. フォルダを右クリックし、「プロパティ」を開く
b. 「共有」タブをクリックし、「共有」ボタンを押す
c. 共有名を入力し、「アクセス許可」をクリック
d. 必要なアクセス許可を設定し、「OK」をクリックして共有を完了

サブフォルダのアクセス権設定
a. サブフォルダを右クリックし、「プロパティ」を開く
b. 「セキュリティ」タブをクリック
c. 「編集」ボタンをクリックし、アクセス権を変更したいユーザーやグループを選択
d. 必要なアクセス権を選択し、「OK」をクリックして設定を保存

アクセス権の継承
a. 親フォルダのアクセス権がサブフォルダに継承されることがデフォルト
b. サブフォルダでアクセス権の継承を無効化する場合は、「詳細設定」から継承設定をオフにする

ベストプラクティス
a. フォルダ階層をシンプルに保ち、管理を容易にする
b. アクセス権の設定はグループ単位で行い、個別ユーザーには適用しないことが推奨される
c. 不要なアクセス権は削除し、セキュリティリスクを低減する

共有フォルダとサブフォルダのアクセス権設定は、適切なセキュリティと利便性を確保するために重要です。アクセス権の設定を適切に行うことで、フォルダ内のデータへのアクセスを制御し、情報漏洩のリスクを軽減することができます。

コメント

コメントする

目次