NTFSのフォルダへの権利を区切るよりも簡単なことはありますか？しかし、このような簡単なタスクは、数千とは言わないまでもそのようなフォルダーが何百もある場合、悪夢に変わり、1つのフォルダーの権限を変更すると、他のフォルダーの権限が「壊れます」。そのような状況で効果的に作業するには、特定の合意、またはそのような問題を解決する方法を説明する標準が必要です。この記事では、このような標準のオプションの1つを検討します。

範囲

企業ファイル情報リソースへのアクセス権を管理するための標準（以下、標準と呼びます）は、Microsoft Windowsオペレーティングシステムを実行しているコンピューター上にあるファイル情報リソースへのアクセスを提供するプロセスを規制します。この標準は、NTFSがファイルシステムとして使用され、SMB / CIFSファイルを共有するためのネットワークプロトコルとして使用される場合に適用されます。

用語と定義

情報リソース -情報セキュリティを確保する方法と手段が適用される名前付きデータセット（アクセス制御など）。

ファイル情報リソースは、ファイルシステムディレクトリ（ファイル情報リソースのルートディレクトリと呼ばれる）に格納されているファイルとフォルダのコレクションであり、アクセスは区別されます。

複合ファイル情報リソースは、アクセス権によってこのリソースと異なる1つ以上の添付ファイル情報リソースを含むファイル情報リソースです。

埋め込みファイル情報リソースは、複合情報リソースの一部であるファイル情報リソースです。

ファイル情報リソースへのエントリポイントは、ネットワークアクセス（共有フォルダー）が提供され、ファイル情報リソースへのアクセスを提供するために使用されるファイルシステムディレクトリです。このディレクトリは通常、ファイル情報リソースのルートディレクトリと一致しますが、親になることもできます。

中間ディレクトリは、エントリポイントからファイル情報リソース、ファイル情報リソースのルートディレクトリへの途中にあるファイルシステムディレクトリです。ファイル情報リソースへのエントリポイントが、ファイル情報リソースのルートディレクトリよりも上位のディレクトリである場合は、中間ディレクトリにもなります。

ユーザーアクセスグループは、ファイル情報リソースにアクセスするためのオプションの1つが付与されたユーザーアカウントを最終的に含むローカルまたはドメインセキュリティグループです。

基本原則

アクセスはディレクトリレベルでのみ区切られます。個々のファイルへのアクセス制限は実行されません。
アクセス権は、セキュリティグループに基づいて割り当てられます。個々のユーザーアカウントへのアクセス権は割り当てられていません。
明示的に許可を拒否することは適用されません。
アクセス権は、ファイルシステムレベルでのみ区別されます。ネットワークプロトコルSMB / CIFSのレベルでは、権利は区別されません（全員グループ-読み取り/書き込み権限/全員-変更）。
ファイル情報リソースへのネットワークアクセスを設定する場合、SMB / CIFS設定で「アクセスベースの列挙」オプションが設定されます。
ユーザーのワークステーションでファイル情報リソースを作成することは受け入れられません。
サーバーのシステムパーティションにファイル情報リソースを配置することはお勧めしません。
ファイル情報リソースへの複数のエントリポイントを作成することはお勧めしません。
可能な限り、添付ファイル情報リソースの作成を避けます。ファイルまたはディレクトリの名前に機密情報が含まれる場合、これはまったく受け入れられません

アクセス制御モデル

ファイル情報リソースへのユーザーアクセスは、許可のオプションの1つを与えることにより提供されます。

「読み取り専用（ R ead O nly）」にアクセスします。
「読み取りと書き込み（ R ead＆ W rite）」にアクセスします。

圧倒的な数のアクセス制御タスクでは、このようなアクセス許可オプションで十分ですが、必要に応じて、たとえば「削除せずに読み取りおよび書き込み（削除せずに読み取りおよび書き込み）」などの新しい許可オプションを作成できます。新しい権限の実装については、表1のパラグラフB.3を明確にする必要があります。そうでない場合、規格の適用は変更されません。

ユーザーアクセスグループの命名規則

ユーザーアクセスグループの名前は、パターンに従って形成されます。

FILE —ファイル情報リソース名–パーミッションの略語

ファイル情報リソース名

リソースのUNC名と一致するか、サーバー名とローカルパスで構成されている必要があります（リソースへのネットワークアクセスが提供されていない場合）。必要に応じて、このフィールドでは略語を使用できます。文字「\\」は省略され、「\」と「：」は「-」に置き換えられます。

権限の略語 ：

RO-「読み取り専用」アクセスオプション用
RW-「読み取りおよび書き込み」アクセスオプション用。

例1

UNC名\\ FILESRV \ Reportのファイル情報リソースに対する読み取り専用特権を持つユーザーのアクセスグループの名前は次のようになります。

FILE-FILESRV-Report-RO

例2

パスD：\ UsersDataに沿ってTERMSRVサーバーでホストされるファイル情報リソースに対する読み取りおよび書き込み権限を持つユーザーのアクセスグループ名は次のようになります。

FILE-TERMSRV-D-UsersData-RW

ファイル情報リソースのディレクトリ許可テンプレート

表1-ファイル情報リソースのルートディレクトリのNTFSアクセス許可テンプレート。

科目	権利	継承モード
アップストリームディレクトリからのアクセス権の継承が無効になっています
A）必須の権利
特別口座：「システム」	フルアクセス	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
ローカルセキュリティグループ：「管理者」	フルアクセス	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
B.1）「読み取り専用（ R ead O nly）」の権限
ユーザーアクセスグループ：「FILE-リソース名-RO」	基本的な権利： a）読み取りと実行（読み取りと実行）; b）フォルダーの内容のリスト（フォルダーの内容のリスト）; c）読み取り（読み取り）;	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
B.2）「読み取りと書き込み（ R ead＆ W rite）」の権限
ユーザーアクセスグループ：「FILE-リソース名-RW」	基本的な権利： a）変更; b）読み取りと実行（読み取りと実行）; c）フォルダの内容をリストします。 d）読み取り（読み取り）; e）記録（書き込み）;	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
B.3）他の力、もしあれば
ユーザーアクセスグループ：「ファイル—リソース名—権限の略語」	権威によると	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）

表2-ファイル情報リソースの中間ディレクトリのNTFSアクセス許可テンプレート。

科目	権利	継承モード
親ディレクトリからのアクセス権の継承は有効になっていますが、このディレクトリがファイル情報リソースよりも優れており、他のファイル情報リソースに含まれていない場合、継承は無効になります
A）必須の権利
特別口座：「システム」	フルアクセス	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
ローカルセキュリティグループ：「管理者」	フルアクセス	このフォルダー、そのサブフォルダーとファイル（このフォルダー、サブフォルダーとファイル）
B.1）認証「ディレクトリを通過する（ TRAVERSE ）」
このディレクトリが中間である情報リソースのユーザーのアクセスグループ	追加のセキュリティオプション： a）フォルダーのトラバース/ファイルの実行（フォルダーのトラバース/ファイルの実行）; b）フォルダーの内容/データの読み取り（フォルダーのリスト/データの読み取り）; c）属性の読み取り（属性の読み取り）; c）追加属性の読み取り（拡張属性の読み取り）。 d）読み取り許可（読み取り許可）;	このフォルダーのみ（このフォルダーのみ）

ファイル情報リソースへのアクセスを管理するためのビジネスプロセス

A.ファイル情報リソースの作成

ファイル情報リソースを作成すると、次のアクションが実行されます。

ユーザーアクセスグループが作成されます。ファイル情報リソースをホストするサーバーがドメインのメンバーである場合、ドメイングループが作成されます。そうでない場合、グループはサーバー上でローカルに作成されます。
アクセス権は、アクセス権テンプレートに従ってファイル情報リソースのルートディレクトリと中間ディレクトリに割り当てられます。
ユーザーアカウントは、特権に従ってユーザーアクセスグループに追加されます。
必要に応じて、ファイル情報リソース用のネットワークフォルダー（共有フォルダー）が作成されます。

B.ユーザーにファイル情報リソースへのアクセスを許可する

ユーザーアカウントは、権限に応じて適切なユーザーアクセスグループに配置されます。

B.ファイル情報リソースへのユーザーアクセスの変更

ユーザーアカウントは、指定された特権に応じて別のユーザーアクセスグループに移動されます。

D.ファイル情報リソースへのユーザーアクセスをブロックする

ユーザーアカウントは、ファイル情報リソースのユーザーアクセスグループから削除されます。従業員が退職しても、グループメンバーシップは変更されず、アカウント全体がブロックされます。

D1。 添付ファイル情報リソースの作成。 アクセス拡張

この問題は、ファイル情報リソースの特定のディレクトリへのアクセスを拡張するために、追加のグループへのアクセスを提供する必要がある場合に発生します。以下のアクティビティが実行されます。

添付ファイル情報リソースが登録されます（プロセスAによる）
親複合ファイル情報リソースのユーザーアクセスグループは、添付ファイル情報リソースのユーザーアクセスグループに追加されます。

D2。 添付ファイル情報リソースの作成。 アクセスの絞り込み

このタスクは、ファイル情報リソースの特定のディレクトリへのアクセスを制限し、限られたグループにのみ提供する必要がある場合に発生します。

添付ファイル情報リソースが登録されます（プロセスAによる）
作成された情報リソースのユーザーアクセスグループには、アクセスを許可する必要があるユーザーアカウントが含まれています。

E.ファイル情報リソースへのアクセスを提供するためのモデルの変更

アクセス許可の標準オプション「読み取り専用」または「読み取りと書き込み（読み取りと書き込み）」で新しいタイプのアクセス許可を追加する必要がある場合、例えば「削除を除く読み取りと書き込み（削除せずに読み取りと書き込み）」次のアクションを実行します。

組織（または技術的ですが、ファイルシステムディレクトリへのアクセス権の変更とは関係ありません）対策は、ユーザーがこのファイルおよびすべての添付ファイル情報リソースにアクセスできないようにします。
ファイル情報リソースのルートディレクトリに新しいアクセス権が割り当てられ、すべての子オブジェクトのアクセス権が置き換えられます（レガシーがアクティブ化されます）。
すべての埋め込み情報リソースのアクセス権が再構成されます。
中間ディレクトリは、この情報リソースと埋め込み情報リソース用に構成されます。

例

架空の組織InfoCryptoService LLCの例として、この標準のアプリケーションを考えてみましょう。ここでは、FILESRVという名前のサーバーが、ファイル情報リソースの集中ストレージに割り当てられています。サーバーはMicrosoft Windows Server 2008 R2オペレーティングシステムを実行しており、「domain.ics」という名前のFQDNと「ICS」という名前のNetBIOSを持つActive Directoryドメインのメンバーです。

ファイルサーバーの準備

「FILESRV」サーバーの「D：」ドライブで、「D：\ SHARE \」ディレクトリを作成します。このディレクトリは、このサーバーでホストされるすべてのファイル情報リソースへの単一のエントリポイントになります。このフォルダへのネットワークアクセスを整理します（アプレット「共有とストレージ管理」を使用）：

ファイル情報リソースの作成

問題の声明。

InfoCryptoService LLCの組織に情報システム開発部門を設置させます。部門長はIvanov Sergey Leonidovich（SL.Ivanov@domain.ics）、スペシャリストMarkin Lev Borisovich（LB.Markin@domain.ics）です。ユニットデータを保存するためのファイル情報リソース。両方の従業員には、このリソースへの読み取りおよび書き込みアクセスが必要です。

解決策。

「FILESRV」サーバーの「D：\ SHARE \」ディレクトリで、フォルダ「D：\ SHARE \ Information Systems Development Department \」を作成します。これは、ファイル情報リソースのルートディレクトリになります。このリソースのユーザーアクセスグループ（ICSドメインのグローバルセキュリティグループ）も作成します。

FILE-FILESRV-SHARE-Dep。少し IS-RO»
FILE-FILESRV-SHARE-Dep。少し IS-RW»

ディレクトリ「D：\ SHARE \ Department of Information Systems Development \」のアクセス権を設定します。