4.4   ファイル共有

  4.4.1 Windowsにおけるファイル共有機能
図:4.4.1 Windowsにおけるファイル共有機能

  Windows同士のネットワークでは、TCP/IPのFTPやtelnetを利用せずにファイルなどのデータを共有する機能があります。この機能を文字通りファイル共有機能と呼びます。
  この機能は、LAN環境だけでなくWAN(Wide Area Network)やリモートアクセス環境でも利用することが可能になります。この機能を利用するためには、共有するファイルフォルダの作成とそのフォルダに対して、適切なアクセス権を設定する必要があります。


  4.4.2ドメインとワークグループ
図:4.4.2 ドメインとワークグループ
  Windowsでは、適切なアクセス権を与えるためにネットワークコンピュータを管理する単位として、ワークグループとドメインという概念を用いています。

ワークグループ
  ネットワークで作業を行うコンピュータに、ワークグループ名をつけてグルーピングすることで、管理をしやすくしようというのがワークグループの考え方です。
  ワークグループの特徴として、所属するコンピュータが独立した存在として、それぞれが資源の管理をする点があります。
  各コンピュータの管理をユーザが担当するために、ネットワーク管理者が不要で、構築も容易かつ安価でできるというメリットがあります。
  しかし、ワークグループに属するコンピュータを同じ設定にするには全てのマシンに設定をしなければならず、変更がある時も同様に全てのマシンにしなければならないため大規模なネットワークには向きません。

ドメイン
  ドメインとは「領域」と訳されます。Windows2000等においてドメインとは、共通のセキュリティ原則とユーザアカウントを共有するネットワークの領域(管理単位)を意味します。
  ドメインを設定することにより、ネットワークのユーザアカウントやセキュリティの原則を一元的に管理することができ、個々のコンピュータでこれらの管理を行う方法(ワークグループ)に比べて、ネットワーク管理の効率化が図れます。

図:4.4.2 ドメインとワークグループ

ドメインコントローラー
  ドメインコントローラーは、Windows2000等を使用してドメインを構成する場合にドメイン内にユーザアカウントデータベースを一元的に保持する役割を果たします。
  通常ユーザアカウントを管理するコントローラーをPDC(プライマリドメインコントローラー)と呼び、PDCに障害が発生した場合にPDCに代わってユーザアカウントの管理をするコントローラーをBDC(バックアップドメインコントローラー)と呼びます。
  クライアントはPDCもしくはBDCの認証(リソースの使用許可)を受けてログオンします。


  4.4.3 フォレスト
図:4.3 フォレスト

NT 4.0 ドメインとの違い
  従来のドメイン同士の関係は、並列的な関係であり、例えば、上図のようにA、B、Cの3つのドメインが互いに完全な信頼関係を構築しようとすれば、全ての関係において(A→B、B→A、A→C、C→A、B→C、C→Bの6方向)で信頼関係を確立しなければなりませんでした。
  これに対してWindows2000のActive Directoryドメインの場合、同一のフォレストまたはドメインツリーを形成しているドメイン間にはKerberosに基づいて双方向な信頼関係が自動的に結ばれます。
  したがってActive Directoryドメインをフォレストに参加させた場合には、フォレストのルートドメインやドメインツリー内の親ドメインと、それぞれ信頼関係が結ばれることになります。


  4.4.4 ユーザ登録
図:4.4.4 ユーザ登録

  ドメインが構築されている環境では、ネットワーク上の資源を利用したいユーザは、ドメインコントローラーにユーザ登録をしなければ成りません。登録される内容は、ユーザアカウント(名)とパスワード、パスワードの管理方法などです。
  ユーザがドメインに参加しているコンピュータにログオンしたい場合には、ログオン画面でユーザ名、パスワード、参加するドメイン名を入力します。入力された情報は、参加を希望するドメイン内のドメインコントローラーに受け渡され、認証を受けドメインに参加することができます。
  共有リソースを使用する場合には、ユーザ名やパスワードはリソースを管理するサーバーに渡されますが、そのユーザに許可されているリソースのアクセス権の認証はドメインコントローラーに受け渡され認証が行われます。


  4.4.5ユーザグループ
  Windows2000では、通常ユーザをグループに分け、そのグループに権限を与えることにより、グループに属するユーザは同一の権限を持つことができます。ユーザごとに異なる権限を付与することもできますが、管理の面で、グループを設定する方が効率的です。Windows2000では、下図のようなグループの種類があります。

グループ名 スコープ 使用目的 所属可能メンバー名
ドメインローカル ドメイン内のサーバー アクセス制御 フォレストのアカウント
グローバル フォレスト全体 ユーザの分類 自ドメインのアカウント
ユニバーサル フォレスト全体 ユーザの分類 フォレストのアカウント
ローカル ローカルコンピュータ アクセス制御 フォレストのアカウント


  4.4.6アクセス権
図:4.4.6 アクセス権

アクセス権の設定
  個人またはグループに対し、ファイルやフォルダごとにアクセス権を設定することにより、利用できる権限のレベルを変えることができます。これにより、権利のない人に対して不用意に情報を与えてしまうことを防ぐことができます。


  4.4.7サーバー上でのアクセス権設定
図:4.4.7 サーバー上でのアクセス権設定

  Windowsのファイルシステムには、
  • FAT(File Allocation Table)
  • FAT32
  • NTFS(NT File System)
の3種類があります。
  FATはMS-DOS、Windows95、FAT32は、Windows98、ME、2000、XPで採用され、NTFSは、NTと2000、XPのみで採用されています。
  NTFSはその名のとおり、NT、2000用に開発されたファイルシステムで、大きなディスクボリュームへの対応ができ、また、NT、2000、XPのセキュリティシステムをフルに活用できます。
  FAT、FAT32、NTFSはパーティションごとに設定できます。
  NT、2000、XPの場合、セキュリティの観点からNTFSにされることを強くお薦めします。
  アクセス権の設定においては、FAT、FAT32は共有アクセス権のみ、NTFSは共有アクセス権とNTFSアクセス件の両方を設定する必要があります。
  アクセス権の内容は、OSによって異なりますが、Windows2000の場合は上図(アクセス許可欄)を用いて設定します。


  4.4.8クライアントでのアクセス権設定
図:4.4.8 クライアントでのアクセス権設定

  クライアントマシンにもアクセス権を設定することが可能です。ドメインに参加している場合には、ドメインコントローラー内のユーザアカウントの単位でアクセス権を設定できます。


  4.4.9ファイル共有の問題点
  Windowsのファイル共有では、ドメインに参加できさえすれば、基本的にそのリソースが利用可能となります。したがって適切かつセキュリティ強度の高いアクセス権の設定をしておかないとデータが流出してしまう恐れがあります。

最初へ

Copyright ©  2002 Information-technology Promotion Agency, Japan. All rights reserved.