グループによるアクセス許可(Samba4，Windows Server2008 R2)

１　はじめに

　共有フォルダのアクセス許可は，セキュリティを確保するため，多くの学校で利用されています。
　アクセス許可の設定をすることにより，

• 許可されたユーザが
• 許可されたフォルダやファイルに
• 許可された操作を

行うことができるようになります。適切に管理された環境では，ユーザを制限することでセキュリティが確保され，業務の効率化につながりますが，その設定には時間と手間がかかります。
　学校業務で使用するフォルダやファイルは，多くの場合，分掌や教科，学年などのグループで使用します。そこで，アクセス許可の設定を個人ユーザに設定するのではなく，個人ユーザを分掌などのグループに所属させ，そのグループにアクセス許可を設定すれば，グループのユーザ(メンバー)を入れ替えるだけで設定が済み，フォルダやファイルに設定する必要がなくなります。このことで，アクセス許可の設定作業の時間が短縮され，業務の効率化を図ることができます。
　なお，本コンテンツではWindows Serverによる「Active Directory」環境が構築されていることを前提としています。この環境は，Microsoft社のWindows Serverだけでなく，無料で提供されているLinuxに無料のSamba4をインストールした環境でも構築することができます。環境の構築は，愛知エースネットのネットワークの教育利用のページを参照してください。(http://www.aichi-c.ed.jp/joho/network/saba_index.html)

２　グループの作成

　(1)　グループの名称について

　実際の業務分担に合わせてグループを作成することで，設定作業を効率的に行うことができます。グループ名は，教務部や生徒指導部などの分掌，国語科や数学科などの教科，１学年や２学年など，実際の組織名と同じ名称にすると，後ほどの設定がやりやすくなります。一人の教員が複数の分掌に所属することがあるのと同様，一人のユーザを複数のグループに所属させることもできますので，実際の業務分担に合わせて，柔軟にグループの名称を付けてください。

　(2)　グループの作成手順

　グループを作成するには，「Active Directory」の「ドメインサービス」という機能を使います。今回は，この機能を利用したドメインコントローラで，グループを作成します。

　　ア　「スタート」より「管理ツール」−「Active Directory ユーザーとコンピューター」を選択します。

　　イ　「Active Directoryユーザーとコンピューター」画面左ペインのドメイン名の上で右クリックし，表示されたメニューから「新規作成」−「グループ」を選択します(図１)。

　図１　「Active Directoryユーザーとコンピューター」画面とグループの新規作成

　　ウ　「新しいオブジェクト‐グループ」画面の「グループ名」に教務部や生徒指導部などのグループ名を入力し，「OK」をクリックします(図２)。
　ここでは，「教務部」グループを作成します。

　「グループのスコープ」，「グループの種類」は，初期設定（図２）のままで結構です。

　図２　「新しいオブジェクト‐グループ」画面とグループ名の入力

３　アクセス許可の設定

　(1)　グループによるアクセス許可の設定について

　個人ユーザにアクセス許可を設定することもできますが，学校の業務分担が変更される度にアクセス許可を設定すると作業に時間がかかり，ミスが生じやすくなります。そこで，グループにアクセス許可を設定することで，ミスの軽減と作業効率を上げることができます。また，この設定でユーザを制限することにより，セキュリティの確保にもつながります。
　ここでは，あらかじめＣドライブ内に作成した「WORK」フォルダに対して，設定を行います。共有設定は必要に応じて行います。

　(2)　アクセス許可の設定手順

　　ア　Ｃドライブの「WORK」フォルダを右クリックし，プロパティを開きます(図３)。

図３　「WORK」フォルダのプロパティ

　　イ　「WORKのプロパティ」画面の「セキュリティ」タブを選択します(図４)。なお，「グループ名またはユーザー名」に「Administrators」グループが表示されていますが，「Administrators」グループのアクセス許可は，システムを管理するために必要ですから，消さないように注意しながら設定します。

　図４　「セキュリティ」タブの選択

「詳細設定」ボタンをクリックすると，「WORKのセキュリティ詳細設定」画面が表示されます。

　　ウ　「WORKのセキュリティ詳細設定」画面の「アクセス許可の変更」ボタンをクリックします(図５)。

　図５　「WORKのセキュリティの詳細設定」画面(1)

　　エ　このフォルダ専用の設定にするため，「このオブジェクトの親から継承可能なアクセス許可を含める」のチェックを外します(図６)。チェックを外すと，「Windows セキュリティ」画面が表示されます(図７)。

　図６　「WORKのセキュリティの詳細設定」画面(2)

　　オ　「Windows セキュリティ」画面の「追加」ボタンをクリックします。

　図７　「Windows セキュリティ」画面

　　カ　不要なアクセス許可を削除します。「アクセス許可エントリ」に「Users」のアクセス許可が２種類表示されていますが，いずれも不要ですので，この二つを「アクセス許可エントリ」から選択し，「削除」ボタンをクリックします(図８)。

　図８　不要なアクセス許可の削除

　　キ　グループに対してアクセス許可を与えます。「追加」ボタンをクリックすると，「ユーザー、コンピューター、サービスアカウントまたはグループの選択」画面が表示されます(図９)。

　図９　「ユーザー、コンピューター、サービスアカウントまたはグループの選択」画面(1)

　グループ名を「選択するオブジェクト名を入力してください」へ入力し「名前の確認」ボタンをクリックします。ここでは，「教務部」を入力します(図10)。
すでに登録されているグループ名を検索する場合は，「詳細設定」ボタンをクリックします。

　図10　「ユーザー、コンピューター、サービスアカウントまたはグループの選択」画面(2)

　「OK」ボタンをクリックすると，「WORKのセキュリティ詳細設定」画面に戻り，「アクセス許可のエントリ」に「教務部」が追加されます。

　　ク　アクセス許可を変更するため，「WORKのセキュリティ詳細設定」画面の「アクセス許可のエントリ」に表示されている「教務部」を選択し，「編集」ボタンをクリックします(図11)。

　図11　グループの選択とアクセス許可

　　ケ　表示された「アクセス許可エントリ」画面の「アクセス許可」内の「許可」，「拒否」の必要な箇所にチェックを入れ，読み取りや書き込み権限の設定を行います(図12)。

　図12　「WORKのアクセス許可エントリ」画面

　　コ　設定が完了したら，「OK」をクリックします，表示されている画面全てについても「OK」をクリックし，画面を閉じれば，アクセス許可の設定は終了です。

４　グループへユーザを追加する

　アクセス許可を与えたグループにユーザを追加します。一般的な追加方法は，次の二つです。

• グループを基準にして，そのグループにユーザを追加する。
• ユーザを基準にし，ユーザをグループに所属させる。

いずれも，「Active Directory」の機能を使って設定できます。以下に二つの設定方法の手順を示します。

　(1)　グループにユーザを追加する場合の手順

　　ア　２(2)アと同様の手順で「Active Directoryユーザーとコンピューター」画面を開きます。

　　イ　「Active Directoryユーザーとコンピューター」画面右ペインの「教務部」を右クリック(図13)し，「教務部のプロパティ」を表示します(図14)。

　図13　「教務部」のプロパティの表示手順


　図14　教務部のプロパティ

　　ウ　「教務部」グループにユーザを追加します。以下の設定画面では，グループに所属させるユーザを「メンバー」と表現して追加作業を行っています。

　　(ア)　「教務部のプロパティ」の「メンバー」タブを選択します(図15)。

　図15　「メンバー」タブ

　　(イ)「追加」ボタンをクリックすると「ユーザー、連絡先、コンピューター、サービス、アカウントまたはグループの選択」画面が表示されます(図16)。

　図16　「ユーザー、連絡先、コンピューター、サービス、アカウントまたはグループの選択」画面

「ユーザー、連絡先、コンピューター、サービス、アカウントまたはグループの選択」画面で，グループにユーザを追加する方法は次の二つです。

　　　(a)　「選択するオブジェクト名を入力してください」に直接ユーザ名を入力する。

　　　(b)　「詳細設定」から「検索」する。

直接入力，あるいは検索により表示されたユーザ名を確認し，「ユーザー、連絡先、コンピューター、サービス、アカウントまたはグループの選択」画面の「OK」をクリックし，画面を閉じます。
「教務部のプロパティ」画面の「OK」をクリックし，画面を閉じます。

　(2)　ユーザをグループに所属させる場合の手順

　　ア　２(2)アと同様の手順で「Active Directoryユーザーとコンピューター」画面を開きます。

「Active Directoryユーザーとコンピューター」画面右ペインの「教員１」(ユーザー)を右クリックし(図17)，表示されたメニューからプロパティをクリックします。ここでは，あらかじめユーザが作成されているものとします(参考：ユーザの作成方法は，「Active Directoryユーザーとコンピューター」画面左ペインの「USER」を右クリックし，メニューから「新規作成」−「ユーザー」で行うことができます)。

　図17　「教員１」のプロパティの表示手順

　　イ　表示された「教員１のプロパティ」画面の「所属するグループ」タブを選択します(図18)。

　図18　「所属するグループ」タブの選択

　　ウ　「所属するグループ」タブで「追加」ボタンをクリックすると「グループの選択」画面が表示されます(図19)。この画面で，ユーザを基準として，所属させたいグループを追加します。

　図19　「グループの選択」画面

　　エ　ユーザをグループに所属させる方法は，次の二つです。

　　　(ア)　「グループの選択」画面内の「選択するオブジェクト名を入力してください」に直接グループ名を入力する。

　　　(イ)　「グループの選択」画面の「詳細設定」からグループを「検索」する。

　必要なユーザを追加したら，「OK」をクリックしプロパティ画面を閉じます。

　　オ　最後に，計画通りのアクセス許可の設定になっているか確認します。

５　グループからユーザを削除する

　「４　グループへユーザを追加する」と同様の手順で作業を行うことができます。図15または図18の画面で削除したいユーザもしくはグループを選択し，「削除」ボタンをクリックします。

６　コマンドラインを利用したグループの作成とユーザ登録(上級編)

　(1)　GUIとコマンドによる操作

　ここまで，GUIを用いた操作方法を紹介しましたが，コマンドライン上で操作を行うこともできます。慣れると短時間で作業を行うことができるようになります。ただし，アクセス許可の変更は，これまでに紹介したGUIの方が簡便なため，ここでは省略します。

　(2)　コマンドによるグループの作成とユーザ登録や削除の手順

　「スタート」−「全てのプログラム」−「Windowsシステムツール」−「コマンドプロンプト」の順に選択し，コマンドプロンプトを起動させます。以下のようにコマンドを使って，グループの作成やユーザの追加などの設定ができます。

　　ア　グループの作成

　　イ　グループへユーザを追加

　　ウ　グループからユーザを削除

　　エ　グループの削除

　(3)　バッチファイルを利用したグループの作成とユーザ登録

　あらかじめテキストエディタで作成すれば，バッチファイルとして利用できますし，記録として残すこともできます。担当者が変わってもテキスト形式なら，編集しやすく設定が容易にできます。
　以下の例は，「教務部」グループの作成と，「教務部」グループへ「教員１」ユーザを追加するバッチファイルです。

　バッチファイルの例

　最終行の「pause」は，バッチファイルの動作を一時的に停止する命令です。
　バッチファイルは，テキストエディタで作成し，「追加.bat」など分かりやすいファイル名で保存します(拡張子はbatにしてください)。完成したファイルを実行すると，別ウインドウ(図20)が開き，自動的に設定作業が実行されます。

　図20　バッチファイルの実行画面

７　おわりに

　アクセス許可の管理は重要な業務であり，ミスが許されません。また、一般的な方法では，手間や時間がかかりますがグループによる設定を行うことで，効率よく作業ができるようになります。導入時は，サーバの構築や初期設定などで大変ですが，情報資産を守る上で欠かせないアクセス管理を効率よく管理する方法として活用できます。

---

Microsoft，Windowsは米国 Microsoft Corporationの米国及び各国における商標または登録商標です。その他，本コンテンツに掲載されているすべてのブランド名と製品名，商標および登録商標はそれぞれの帰属者の所有物です。本コンテンツでは©，®，TM などは明記してありません。

グループによるアクセス許可

• はじめに
• グループの作成
• アクセス許可の設定
• グループへユーザを追加する
• グループからユーザを削除する
• コマンドラインの利用(上級編)
• おわりに

back