Windows ACL
Windows Access Control リスト (ACL) は、Windows 環境における特定のアクセス権を決定する権限または許可を一覧にしたものです。管理者はこの一覧を使って、個別のファイルやディレクトリのアクセスコントロールルールを定義し、個別のユーザーまたはグループに異なるアクセス権を与えます。
Windows ACL を使うと、異なる権限をシステムのローカルおよびドメインユーザーに割り当てることができます。特権は、FTP、File Station、NFS、AFP などのファイルに関連するアプリケーションに適用します。
共有フォルダの Windows ACL 設定を定義する:
共有フォルダを作成したときに初回の Windows ACL 設定を定めることができます。以下の手順で行います:
- コントロールパネルの [共有フォルダ] をクリックします。
- 作成をクリックして共有フォルダを作成するか、既存の共有フォルダを選択した後で編集をクリックしてフォルダを編集します。
- 共有フォルダ情報タブで、必要な情報を入力します。
- Windows ACL タブで、Windows Access Control リストの編集を許可するチェックボックスを選択して、Windows ACL サポートを初期設定します。
- [OK] をクリックして終了します。
File Station を使って Windows ACL 設定を編集する:
-
ファイルまたはフォルダを選択します。複数のファイルの ACL 権限を選択して編集することはできません。
-
フォルダを右クリックするか、操作メニューを選択した後プロパティを選択します。
-
全般タブの所有者ドロップダウン メニューからユーザーを選択し、そのユーザーをファイルまたはフォルダの所有者として設定します。フォルダの ACL 権限を設定するときに、このフォルダ、サブフォルダ、ファイルに適用するオプションにチェックマークを付けると、そのユーザーをフォルダ内のすべてのファイルまたはフォルダの所有者として設定します。
-
権限タブをクリックして次のいずれかを行ってファイルまたはフォルダの ACL 権限を管理します。
-
作成をクリックして、権限エディタ画面に次の情報を入力し、OK をクリックして権限エントリを作成します。
-
ユーザーまたはグループ:ドロップダウン メニューから選択して、権限を与えるまたは与えないユーザーまたはグループを指定します。
-
ここから継承 (表示のみ):ここには情報が表示されますので、許可が (親フォルダから) 継承されたものであるのか、明示的なものであるのか (なしと表示されます) を確認できます。権限の継承性については、下を参照してください。
-
種類:許可または拒否を選択して、ユーザーまたはグループに許可を与えるのか、拒否するのかを決定します。
-
適用先:フォルダの権限エントリを作成する場合は、エントリをこのフォルダ、またはこのフォルダ内のフォルダ (または子フォルダ) またはファイル (または子ファイル)、あるいはこのフォルダに含まれるすべてのファイルとフォルダ (またはすべての後続) に適用するようにチェックマークを付けてください。
-
管理者:読み取り権限、変更権限、所有権の取得のいずれかにチェックマークを付けて、ユーザーまたはグループの許可エントリへのアクセス権を指定します。
-
読み取りまたは書き込み:これらのセクションのチェックボックスにチェックマークを付けて、ファイルまたはフォルダについてのユーザーまたはグループの権限を編集します。
-
リストで権限エントリを選択し、編集 (明示的権限の場合) または 表示 (継承的権限の場合) をクリックして権限を編集または表示します。
-
詳細オプションドロップダウン メニューからオプションを選択し、継承した権限エントリを管理します。権限の継承性については、下を参照してください。
-
詳細オプション > 権限監査を選択し、ユーザーまたはグループ ドロップダウン メニューからファイルまたはフォルダに対する複数のユーザーまたはグループの権限を表示または編集するよう選択します。
-
リストで権限エントリを選択し、削除をクリックして権限を削除します。
-
フォルダの ACL 権限を設定するときに、このフォルダ、サブフォルダ、ファイルに適用するオプションにチェックマークを付けると、リストの権限エントリをフォルダ内のすべてのファイルまたはフォルダに適用します。
-
OK をクリックします。
ACL 権限は次のように分類することができます。
- 管理者:
-
読み取り権限:あるユーザーがファイルまたはフォルダの権限を読み取れるかどうかを指定します。
-
権限の変更:あるユーザーがファイルまたはフォルダの権限を変更できるかどうかを指定します。
-
所有権の取得:あるユーザーがファイルまたはフォルダの所有権を持っているかどうかを指定します。
- 読み取り:
-
フォルダ間の移動/ファイルの実行:ユーザーがプログラム ファイルを実行できるかどうかを指定します。
-
フォルダの一覧表示 / データの読取り:ユーザーがファイルのデータを読み取れるかどうかを指定します。
-
属性の読取り:ユーザーがファイルの属性を見られるかどうかを指定します。
-
拡張属性の読み取り:ユーザーがファイルの拡張属性を見られるかどうかを指定します。
- 書き込み:
-
ファイルの作成 / データの書込み:ユーザーがファイルの内容を変更できるかどうかを指定します。
-
フォルダの作成/データの追加:ユーザーがファイルの末尾にデータを追加できるかどうかを指定します。
-
属性の書き込み:ユーザーがファイルの属性を変更できるかどうかを指定します。
-
拡張属性の書き込み:ユーザーがファイルの拡張属性を変更できるかどうかを指定します。
-
サブフォルダとファイルの削除:ユーザーがフォルダを削除できるかどうかを指定します。
-
削除:ユーザーがファイルを削除できるかどうかを指定します。
権限の継承性について:
ACL 権限は親オブジェクトから子オブジェクトへ継承されます。例えば、「sales」フォルダの ACL エントリがユーザー「Amy」に「読取り」 許可が提供されている場合は、ACL エントリは「sales」フォルダ (annual report.xls など) 内のすべてのファイルに適用され、ユーザーがファイルを開けられるようになります。継承した権限は、グレイ表示されます。オブジェクトの所有権 (または「明示的」権限) は黒で表示されます。
Windows Explorer を使って Windows ACL 設定を編集する:
詳しい手順は、ハウ・トゥの記載をお読みください。
注意:
- 1つのファイルまたはフォルダには、最大で 200 個の ACL の明示的許可エントリしか追加できません。
-
Windows ACL 設定と共有フォルダの権限に衝突がある場合は、システムが自動的に双方で共通する権限を設定します。たとえば、共有フォルダの権限が「読み込み/書き込み」、ACL 特権が「読取り」の場合は、最終的に「読取り」に設定されます。
- Windows ACL は EXT4 ファイルシステムでのみサポートされています。DSM 2.3 ユーザーの場合は、ひとつ以上の EXT4 ボリュームで ACL 機能を作成する必要があります。つまり、ひとつ以上のハードディスクをフォーマットしてボリュームを作り直す必要があります。DiskStation をフォーマットすると、保存したすべてのデータや設定も消去します。処理を行う前にすべてのデータをバックアップしてください。
- ドメインユーザーに新しい権限を指定するには、DSM と Windows クライアントが同じドメインにあることを確認してください。
- 次の共有フォルダの ACL 特権は変更できません:photo、surveillance、web、homes、NetBackup、usbshare、sdshare、esatashare。