つい最近の話ですが、Windows2003のActiveDirectoryドメイン環境にあるファイルサーバ(メンバーサーバ)の共有フォルダ内に、自分しか見れないフォルダを作りたい、という要望がありました。
もともとこの共有フォルダは部門別のフォルダになっていて、そのフォルダ自体同じ部門(もしくはドメイン管理者)でないと見れないように設定されていましたが、その中にさらに自分(特定の一般ユーザ)だけの共有フォルダを作るわけです。
もちろん、「自分だけ」と言っても、ドメイン管理者が強引にフォルダの所有権を奪ってしまえばどうにでもなるので、あくまで管理者の良心を信じる、ということでそこは除いて考えます。
とりあえずそのユーザがフォルダ作って、そのフォルダで右クリックで[セキュリティ]をみると、(すでに共有されている)親フォルダから権限が継承されていました。その中にはやはり、ドメイン管理者と部門グループ(グローバルグループ)のアクセス権があり、所有者独自のアクセス権はありません。
このため、このままだと既存のアクセス権であるドメイン管理者や部門グループのアクセス権を削除しようと思ってもできませんでした。まあ、そりゃそうか・・・。
でも、所有者だったらアクセス権を付け替えることはできたはずだぞ・・・。
念のため、[セキュリティ]-[詳細設定]-[所有者]から、そのユーザがフォルダの所有者であることを確認します。そのあと、[セキュリティ]-[編集]で、そのユーザにフルコントロールの権限を与えました。
でも、ここまでやってもまだ、そのユーザはドメイン管理者などのアクセス権を削除することはできませんでした。一旦ログオフしてもう一回ログオンしてもだめみたい・・・。
ただ、エラーメッセージをよく見ると、すぐに原因はわかりました。
「親からアクセス許可を継承しているので、このオブジェクトを削除することはできません」
そっか、アクセス権の継承を切ってしまえばいいんだね・・・。
早速、[セキュリティ]-[詳細設定]-[アクセス許可]-[アクセス許可の変更]から「このオブジェクトの親からの継承可能なアクセス許可を含める」のチェックボックスを外しました。
これでめでたく、所有者以外のアクセス権を削除することができ、自分のみがアクセスできる共有フォルダを作成することができました。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
