クラウド時代のセキュリティ対策は万全ですか？今年のトレンドを一挙紹介！[2/23]

Tweet

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ アクセス・ベースの列挙機能を利用する（Windows Server 2008編） → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2009/01/09 対象OS Windows Server 2008

■ アクセス・ベースの列挙（ABE）を利用すると、共有フォルダ経由でアクセスした場合に、アクセス権のない項目を表示させないようにできる。 ■ アクセス・ベースの列挙はWindows Server 2008のファイル・サービス役割で設定する。 ■ アクセス・ベースの列挙機能は共有フォルダ経由でのみ機能する。ローカルのコンピュータ上で直接アクセスする場合は利用できない。

　Windows Server 2003やWindows Server 2008では「アクセス・ベースの列挙（Access-based Enumeration。以下ABEと表記）」という機能が利用できる。これは、サーバ上の共有フォルダ（公開フォルダ）をネットワーク経由で参照する場合に、アクセス権のないファイルやフォルダは表示させないという機能である（より正確にいえば、アクセス権に基づいてディレクトリ内の項目の列挙／表示を制御する機能となる）。

　ファイル・サーバ上の共有フォルダをエクスプローラやファイルのオープン・ダイアログなどで参照する場合、従来のWindows OSでは自分とは関係のない（自分にはアクセス権が与えられていない）ファイルやフォルダも一覧に表示されていた。そのため、間違って開こうとしてエラーになることがあった。また、たとえアクセス権限はなくてもファイルやフォルダの名前は見えるので、セキュリティ的にも問題となることがあった。

　このような事態を防ぎ、アクセス権のない項目は表示もされないようにするのが、アクセス・ベースの列挙という機能である。アクセスするユーザーやグループに与えられた権限によって、同じフォルダでも次のように見え方が異なる。

アクセス・ベースの列挙が有効な場合の共有フォルダの見え方の違い

上と下の画面はそれぞれ同じ共有フォルダをアクセスしているが、接続しているユーザー・アカウントが異なるので、異なる項目が見えている。上側は全部の項目が見えている場合。下側はEveryoneでアクセスした場合の例。読み取りや表示のアクセス権がない場合や、読み取りや表示を拒否するアクセス権が設定されていると、その項目自体が見えなくなる。余計な項目が表示されないので、混乱する可能性が少なくなるし、アクセスされたくないファイルやフォルダを隠すことができる。

　なお、アクセス・ベースの列挙機能は共有フォルダ経由でのみ利用できる機能である。ローカルのコンピュータ上で直接ファイルやフォルダへアクセスする場合は利用できない（すべてのファイルやフォルダ名が見える）。

　アクセス・ベースの列挙機能は、Windows Server 2003 SP1から導入された、サーバOSでのみ利用可能な機能である。しかしWindows Server 2003 SP1ではダウンロードしたツールを使って手動で有効にしなければならなかった。詳細については別稿の「アクセス・ベースのディレクトリ列挙ABE（特集 Windows Server 2003 SP1レビュー）」を参照していただきたい。これに対してWindows Server 2008では、標準のサーバ管理ツールで設定できるようになっている。本TIPSではその方法について解説する。

　なお、アクセス・ベースの列挙によってフォルダ名が表示されなくても、適切なアクセス権があればフォルダ中のファイルにアクセスできることがあるが、それはアクセス・ベースの列挙とは関係ない。アクセス・ベースの列挙機能は、あくまでもファイルやフォルダの一覧中に特定の項目を含めない（列挙させない）ようにする機能だからである。詳細は先の記事を参照していただきたい。

［ファイル サービス］役割の追加

　Windows Server 2008でアクセス・ベースの列挙機能を利用するには、サーバ・マネージャの［共有と記憶域の管理］コンポーネントを利用する。まずサーバ・マネージャを起動し、［役割］の下に［ファイル サービス］が存在することを確認する。デフォルトではこの役割はインストールされていない。未インストールならサーバ・マネージャで［役割の追加］ボタンをクリックして、［役割の追加ウィザード］を起動する。そして［サーバーの役割］ページで［ファイル サービス］を追加し、［役割サービス］のページで［ファイル サーバー］のチェック・ボックスがオンになっていることを確認する（それ以外の役割サービスはインストールする必要はない）。そしてウィザードを先へ進めて役割を追加する。

ファイル・サービス役割の追加

アクセス・ベースの列挙を利用するには、ファイル・サービス役割を追加する。

このチェック・ボックスをオンにする。

アクセス・ベースの列挙の設定

　アクセス・ベースの列挙を設定するには、サーバ・マネージャの管理画面で［役割］の下にある［ファイル サービス］−［共有と記憶域の管理］を開く。上で述べたように、アクセス・ベースの列挙は共有フォルダ経由で利用できる機能なので、管理ツールのこの場所で設定する。

　まずアクセス・ベースの列挙を設定したい共有フォルダを1つ選ぶが、まだ共有フォルダを作成していない場合は、［操作］ペインの下にある［共有の準備］ボタンで新しい共有フォルダを作成しておこう。そして共有フォルダの各ファイルやフォルダには、適切なNTFSアクセス権を設定しておく（アクセス・ベースの列挙はNTFSボリューム上でのみ利用可能）。

共有フォルダの確認とプロパティの表示

アクセス・ベースの列挙は共有フォルダ経由でのみ利用できる機能である。そのため、この共有の管理画面から設定を行う。なおデフォルトの共有（共有名の最後に「$」文字が付いているもの）に対しても設定できるようだが、トラブルになる可能性があるので、避けること。

［ファイル サービス］役割をインストールすること。 ［ファイル サービス］役割の下にある［共有と記憶域の管理］を開く。 ［共有］タブを選択する。 共有名の一覧から、設定した共有を選択し、右クリックする。 これを選択する。 このリンクをクリックしてもよい。 共有フォルダを新しく作成するには、エクスプローラ経由で作成してもよいし、これをクリックしてもよい。

　アクセス・ベースの列挙を設定したい共有フォルダを選んだら、右クリックしてポップアップ・メニューから［プロパティ］を選ぶか、右側の操作ペインの［プロパティ］ボタンをクリックする。そして表示されたプロパティ画面の［詳細設定］ボタンをクリックする。

共有のプロパティ設定

この画面では、共有フォルダに関する情報が確認できる。デフォルトではアクセス・ベースの列挙は無効になっている。

このタブを選択する。 デフォルトではアクセス・ベースの列挙は無効である。 これをクリックする。

　そして表示された詳細設定画面の［アクセス ベースの列挙を有効にする］チェック・ボックスをオンにして、［OK］ボタンをクリックする。これで設定は完了である。リモートからアクセスし、NTFSに設定したアクセス権と接続しているユーザーによって共有フォルダの見え方が変わっていることを確認しておく。

アクセス・ベースの列挙の有効化

アクセス・ベースの列挙を有効にするには、この画面のチェック・ボックスをオンにする。

これを選択する。 これをオンにする。

	関連リンク
		【Management】Windows Server 2008 DFS（分散ファイルシステム）でのアクセスベースの列挙 その１　（ブログ「フィールドSEあがりの安納です」）

この記事と関連性の高い別のWindows TIPS 簡易ファイルの共有機能を利用する シャドウ・コピーで削除したファイルを復活させる（クライアント編） 共有フォルダのショートカット アイコンを［マイ ネットワーク］に追加しないようにする方法 Windows XPで変わったユーザー／コンピュータ／グループの選択方法 permcopyコマンドで共有フォルダのアクセス権をコピーする このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード