Windows XP では、コンピューター上のファイルやドキュメントを、ローカルおよびネットワーク上の他のユーザーと共有することができます。"簡易ファイルの共有" という新しいユーザー インターフェイス (UI) と新しい共有ドキュメント機能が導入されています。この資料では、ファイル共有の新しいユーザー インターフェイスに関する以下の内容について説明します。
Windows XP ベースのコンピューターでは、ローカル ユーザーおよびリモート ユーザーとファイルを共有できます。ローカル ユーザーとは、独自のアカウントまたは Guest アカウントを使用して直接コンピューターにログオンするユーザーのことです。リモート ユーザーとは、ネットワーク経由でコンピューターに接続し、コンピューター上の共有ファイルにアクセスするユーザーのことです。
簡易ファイルの共有の UI を使用するには、フォルダーのプロパティを参照します。簡易ファイルの共有の UI を使用すると、共有のアクセス許可と NTFS ファイル システムのアクセス許可の両方をフォルダー レベルで構成できます。これらのアクセス許可は、フォルダー自体、フォルダー内のすべてのファイル、サブフォルダー、およびサブフォルダー内のすべてのファイルに適用されます。そのフォルダー内に作成されたファイルやフォルダー、またはそのフォルダーにコピーされたファイルやフォルダーは、そのフォルダーの親フォルダーで定義されているアクセス許可を継承します。この資料では、アクセス許可のレベルに応じてファイルへのアクセス権を構成する方法を説明します。この資料で定義されているレベルの一部は、オペレーティング システムのマニュアルやヘルプ ファイルには記載されていません。
Windows XP のファイル共有では、5 つの異なるレベルのアクセス許可を設定できます。簡易ファイルの共有の UI を使用して構成できるのは、レベル 1、2、4、および 5 です。この構成を行うには、フォルダーを右クリックして [共有とセキュリティ] をクリックし、簡易ファイルの共有の UI を表示します。レベル 3 に構成するには、ファイルまたはフォルダーをマイ コンピューターの下にある "共有ドキュメント" フォルダーにコピーします。この構成は、簡易ファイルの共有を有効または無効にしても、影響を受けることはありません。
レベル 1 は最もセキュリティが高く、アクセス可能なユーザーは最も少なくなります。レベル 5 は最も多くのユーザーからアクセスおよび変更が可能であり、セキュリティは最も低くなります。
簡易ファイルの共有を有効または無効にする
注: Windows XP Home Edition ベースのコンピューターでは、簡易ファイル共有は常に有効になっています。
ワークグループに参加している Windows XP Professional ベースのコンピューターの場合は、既定で簡易ファイルの共有の UI が有効です。ドメインに参加している Windows XP Professional ベースのコンピューターでは、従来のファイル共有およびセキュリティ設定のインターフェイスのみが使用されます。フォルダーのプロパティで簡易ファイルの共有の UI を使用する場合は、共有およびファイルのアクセス許可の両方を構成できます。
簡易ファイルの共有を無効にすると、個々のユーザーのアクセス許可を細かく制御することができます。ただし、フォルダーやファイルのセキュリティを低下させないために、NTFS アクセス許可と共有アクセス許可についての詳細な知識が要求されます。簡易ファイルの共有を無効にしても、共有ドキュメント機能は無効になりません。
Windows XP Professional の簡易ファイルの共有を有効または無効にするには、以下の手順を実行します。
- [スタート] をクリックして、デスクトップで [マイ コンピューター] をクリックします。
- [ツール] メニューの [フォルダー オプション] をクリックします。
- [表示] タブをクリックし、[簡易ファイルの共有を使用する (推奨)] チェック ボックスをオンにして、簡易ファイルの共有を有効にします (この機能を無効にするには、チェック ボックスをオフにします)。
共有およびファイルへのアクセス レベルを管理する
簡易ファイルの共有を使用して、共有およびファイルへのアクセスを 5 つのレベルに設定できます。
- レベル 1:マイ ドキュメント (プライベート)
- レベル 2:マイ ドキュメント (既定)
- レベル 3:ローカル ユーザーから共有ドキュメントのファイルにアクセス可能
- レベル 4:ネットワークでのファイル共有 (Everyone から読み取り可能)
- レベル 5:ネットワークでのファイル共有 (Everyone から読み取りおよび書き込み可能)
注:- "マイ ドキュメント" に保存されるファイルには既定でレベル 2 が適用されます。
- レベル 1、2 および 3 のフォルダーは、ローカルでログオンしているユーザーからのみアクセス可能です。リモート デスクトップ (RDP) セッションを使用して Windows XP Professional ベースのコンピューターにログオンしているユーザーは、ローカルでログオンしているユーザーと同等と見なされます。
- レベル 4 および 5 のフォルダーは、ローカル ユーザーとネットワーク上のリモート ユーザーの両方からアクセス可能です。
以下の表は、アクセス許可の一覧です。
元に戻す全体を表示する
| アクセス レベル | Everyone (NTFS/ファイル) | 所有者 | SYSTEM | Administrators | Everyone (共有) |
|---|
| レベル 1 | なし | フル コントロール | フル コントロール | 利用できません | 利用できません |
| レベル 2 | 利用できません | フル コントロール | フル コントロール | フル コントロール | 利用できません |
| レベル 3 | 読み取り | フル コントロール | フル コントロール | フル コントロール | 利用できません |
| レベル 4 | 読み取り | フル コントロール | フル コントロール | フル コントロール | 読み取り |
| レベル 5 | 変更 | フル コントロール | フル コントロール | フル コントロール | フル コントロール |
レベル 1:マイ ドキュメント (プライベート)
画像使用した段階的な手順の表示と非表示を切り替えるにはここをクリック
ファイルまたはフォルダーの所有者 (CREATOR OWNER) には、読み取りおよび書き込みのアクセス許可が与えられます。その他のユーザーは、そのフォルダー自体やフォルダーの中にあるファイルに対して読み取りや書き込みを行うことはできません。プライベートに設定されているフォルダーの中にあるすべてのサブフォルダーは、親フォルダーのアクセス許可を変更しない限り、設定はプライベートのままです。
ローカル コンピューターの Administrator がコントロール パネルの [ユーザー アカウント] を使用して、Administrator 自身のパスワードを作成する場合、Administrator が所有するファイルを個人用 (プライベート) にするかどうかを確認するメッセージが表示されます。
注: アクセスのレベルをプライベート (レベル 1) にできるのは、そのユーザー アカウントが所有しているマイ ドキュメント フォルダー内のフォルダーのみです。
フォルダーおよびフォルダー内のすべてのファイルをレベル 1 に設定するには、以下の手順を実行します。
- フォルダーを右クリックし、[共有とセキュリティ] をクリックします。
- [このフォルダーをプライベートにする] チェック ボックスをオンにし、[OK] をクリックします。
ローカルの NTFS アクセス許可は、以下のように設定されます。
- 所有者:フル コントロール
- システム:フル コントロール
ネットワーク共有アクセス許可は、以下のように設定されます。
レベル 2: マイ ドキュメント (既定)
画像使用した段階的な手順の表示と非表示を切り替えるにはここをクリック
ファイルやフォルダーの所有者、およびローカル コンピューターの Administrators グループのユーザーには、ファイルやフォルダーに対する読み取りおよび書き込みのアクセス許可が与えられます。その他のユーザーは、フォルダーまたはフォルダー内のファイルに読み取りや書き込みを行うことができません。ユーザーのマイ ドキュメント フォルダーの中にあるすべてのフォルダーやファイルには、既定でこの設定が使用されます。
フォルダーおよびフォルダー内のすべてのファイルをレベル 2 に設定するには、以下の手順を実行します。
- フォルダーを右クリックし、[共有とセキュリティ] をクリックします。
- [このフォルダーをプライベートにする] チェック ボックスと [ネットワーク上でこのフォルダーを共有する] チェック ボックスの両方がオフになっていることを確認し、[OK] をクリックします。
ローカルの NTFS アクセス許可は、以下のように設定されます。
- 所有者:フル コントロール
- Administrators:フル コントロール
- システム:フル コントロール
ネットワーク共有アクセス許可は、以下のように設定されます。
レベル 3:ローカル ユーザーから共有ドキュメントのファイルにアクセス可能
画像使用した段階的な手順の表示と非表示を切り替えるにはここをクリック
このレベルでは、コンピューターにローカルでログオンするユーザーの間でファイルが共有されます。ローカル コンピューターの Administrators グループのユーザーは、共有ドキュメント フォルダーにあるファイルの読み取り、書き込み、および削除ができます。制限ユーザーは、共有ドキュメント フォルダーにあるファイルの読み取りのみが可能です。Windows XP Professional の場合、Power Users グループに所属するユーザーも、共有ドキュメント フォルダーにあるすべてのファイルの読み取り、書き込み、および削除ができます。Power Users グループは、Windows XP Professional でのみ使用できます。レベル 3 の場合、リモート ユーザーがファイルやフォルダーにアクセスすることはできません。リモート ユーザーにアクセスを許可するには、ネットワーク上でファイルを共有する必要があります (レベル 4 または 5 に相当します)。
ファイル、またはフォルダーとフォルダー内のすべてのファイルをレベル 3 に設定するには、エクスプローラーを起動し、対象となるファイルまたはフォルダーをマイ コンピューターの下にある共有ドキュメント フォルダーに移動します。
ローカルの NTFS アクセス許可は、以下のように設定されます。
- 所有者:フル コントロール
- Administrators:フル コントロール
- Power Users:変更
- 制限されたユーザー:読み取り
- システム:フル コントロール
ネットワーク共有アクセス許可は、以下のように設定されます。
レベル 4:ネットワークでのファイル共有 (Everyone から読み取り可能)
画像使用した段階的な手順の表示と非表示を切り替えるにはここをクリック
このレベルでは、ファイルは共有され、すべてのユーザーがネットワーク経由で読み取ることができます。Guest アカウントを含むすべてのローカル ユーザーはファイルを読み取ることができますが、変更することはできません。Power Users グループに所属するユーザーおよびファイルを作成したローカル ユーザーは、ファイルの読み取りと変更を行うことができます。
フォルダーおよびフォルダー内のすべてのファイルをレベル 4 に設定するには、以下の手順を実行します。
- フォルダーを右クリックし、[共有とセキュリティ] をクリックします。
- [ネットワーク上でこのフォルダーを共有する] チェック ボックスをオンにし、[ネットワーク ユーザーによるファイルの変更を許可する] チェック ボックスをオフにして、[OK] をクリックします。
ローカルの NTFS アクセス許可は、以下のように設定されます。
- 所有者:フル コントロール
- Administrators:フル コントロール
- システム:フル コントロール
- Everyone:読み取り
ネットワーク共有アクセス許可は、以下のように設定されます。
レベル 5:ネットワークでのファイル共有 (読み取りおよび書き込み可能)
画像使用した段階的な手順の表示と非表示を切り替えるにはここをクリック
このレベルはアクセス可能なユーザーが最も多く、セキュリティは最も低くなります。このアクセス レベルでは、ローカルかリモートかを問わずすべてのユーザーが共有フォルダーの中にあるファイルの読み取り、書き込み、変更、および削除を行うことができます。このレベルは、適切に構成されたファイアウォールによって保護されている、閉じたネットワーク以外での使用はお勧めしません。Guest アカウントを含むすべてのローカル ユーザーも、ファイルの読み取りと変更ができます。
フォルダーおよびフォルダー内のすべてのファイルをレベル 5 に設定するには、以下の手順を実行します。
- フォルダーを右クリックし、[共有とセキュリティ] をクリックします。
- [ネットワーク上でこのフォルダーを共有する] チェック ボックスをオンにし、[ネットワーク ユーザーによるファイルの変更を許可する] チェック ボックスをオンにして、[OK] をクリックします。
ローカルの NTFS アクセス許可は、以下のように設定されます。
- 所有者:フル コントロール
- Administrators:フル コントロール
- システム:フル コントロール
- Everyone:変更
ネットワーク共有アクセス許可は、以下のように設定されます。
注: Everyone に適用されるすべての NTFS アクセス許可は、Guest アカウントにも適用されます。
この資料に記載されている各レベルを、1 つのフォルダーに対して同時に構成することはできません。フォルダーをプライベート (レベル 1) に設定すると、この設定を解除しない限りファイルの共有を行うことはできません。フォルダーの共有 (レベル 4 および 5) を行うと、共有を解除しない限りフォルダーをプライベートにすることはできません。
共有ドキュメント フォルダーの中にフォルダー (レベル 3) を作成し、作成したフォルダーをネットワーク上で共有してファイルの内容をネットワーク ユーザーから変更できるように設定したとします (レベル 5)。このとき、このフォルダー、その中のファイル、およびサブフォルダーにはレベル 5 のアクセス許可が適用されます。共有ドキュメント フォルダー内のその他のファイルおよびフォルダーはレベル 3 のままになります。
注: これには 1 つだけ例外があります。レベル 5 で共有を行っているフォルダー (
SampleFolder) の中に、レベル 4 で共有を行っているフォルダー (
SampleSubFolder) があるとします。このとき、リモート ユーザーは適切なアクセス許可でそれぞれの共有フォルダーにアクセスできます。ローカルでログオンしているユーザーは、親フォルダー (
SampleFolder) と子フォルダー (
SampleSubFolder) の両方に対して書き込みのアクセス許可 (レベル 5) を持ちます。
注: このセクションに記載されている情報の利用に不安がある場合には、問い合わせをしたり、サポートを受けたりしてください。サポートへの問い合わせ方法については、下記のマイクロソフト ヘルプおよびサポート連絡先情報の Web サイトを参照してください。
ガイドライン
ネットワークでは、他のコンピューター上のリモート ユーザーがアクセスする必要のあるフォルダーのみを共有することをお勧めします。システム ドライブのルートを共有することはお勧めしません。システム ドライブのルートを共有すると、悪意のあるリモート ユーザーからの攻撃に対して脆弱になります。システム ドライブのルートを共有するように設定しようとすると、ドライブのプロパティ ダイアログ ボックスの [共有] タブに警告が表示されます。設定を継続するには、[危険を認識した上でドライブのルートを共有する場合はここをクリックしてください] をクリックする必要があります。ドライブのルートを共有できるのは、コンピューターの Administrators グループのユーザーのみです。
CD-ROM など読み取り専用デバイス上のファイルがレベル 4 またはレベル 5 で共有されている場合、CD-ROM が CD ドライブに挿入されていないとファイルにアクセスできません。CD ドライブに CD-ROM が挿入されている場合は、ネットワーク上のすべてのユーザーからアクセス可能です。
以下のいずれかの条件に該当する場合、ファイルのアクセス許可と親フォルダーのアクセス許可が異なることがあります。
- アクセス許可が異なる 2 つのフォルダーが同じドライブ上にあり、コマンド プロンプトで move コマンドを使用して、一方のフォルダーから他方のフォルダーにファイルを移動した場合
- アクセス許可が異なる 2 つのフォルダーが同じドライブ上にあり、スクリプトを使用して、一方のフォルダーから他方のフォルダーにファイルを移動した場合
- コマンド プロンプトまたはスクリプトで Cacls.exe を実行してファイルのアクセス許可を変更した場合
- Windows XP をインストールする以前からハード ディスク上にファイルが存在している場合
- Windows XP Professional で、簡易ファイルの共有が無効な状態でファイルのアクセス許可を変更した場合
注: 簡易ファイルの共有が有効なときにエクスプローラーを使用してファイルを移動した場合、そのファイルの NTFS アクセス許可は保持されません。
簡易ファイルの共有を有効または無効にしても、ファイルのアクセス許可は変更されません。NTFS アクセス許可および共有アクセス許可は、インターフェイスで変更しない限り、変更されることはありません。簡易ファイルの共有が有効な状態でアクセス許可を設定する場合は、簡易ファイルの共有で使用されるファイルのアクセス制御エントリ (ACE) のみが影響を受けます。ファイルまたはフォルダーの随意アクセス制御リスト (DACL) 内の以下の ACE は簡易ファイルの共有インターフェイスの影響を受けます。
- Owner
- Administrators
- Everyone
- System
Windows XP ファイル共有を構成するための高度なトラブルシューティング
注: 以下の説明は、上級レベルのコンピューター ユーザーを対象としています。高度なトラブルシューティングに自信がない場合は、サポートにお問い合わせください。サポート担当者への問い合わせ方法の詳細については、以下のマイクロソフト ヘルプおよびサポート連絡先情報の Web サイトを参照してください。
詳細情報の表示/非表示を切り替えるにはここをクリック
アップグレード時の動作
ドメインまたはワークグループに参加している Windows 2000 Professional ベースまたは Windows NT 4.0 ベースのコンピューターを Windows XP Professional にアップグレードする場合、ドメインまたはワークグループのメンバーシップはそれぞれ保持されます。アップグレード後も、従来のファイル共有およびセキュリティの UI は引き続き有効です。NTFS アクセス許可および共有アクセス許可は、アップグレードを行っても変更されません。
"共有ごと" に共有アクセス許可が設定されている Microsoft Windows 98、Windows 98 Second Edition、または Windows Millennium Edition (Me) ベースのコンピューターを Windows XP にアップグレードする場合、簡易ファイルの共有は常に既定で有効です。パスワードが設定されている共有は削除され、パスワードなしの共有はアップグレード後も引き続き有効です。
共有レベルのアクセス許可が有効であり、かつドメインにログオンしている Windows 98、Windows 98 Second Edition、または Windows Millennium Edition (Me) ベースのコンピューターを Windows XP Professional にアップグレードし、セットアップ中にドメインに参加させる場合、起動時に簡易ファイルの共有は無効になります。
Windows 98、Windows 98 Second Edition、または Windows Millennium Edition (Me) ベースのコンピューターを Windows XP Home Edition にアップグレードする場合、簡易ファイルの共有は既定で有効です。
既知の問題
リモート ユーザーがネットワーク経由でファイルにアクセスする (レベル 4 および 5) には、リモート ユーザーが接続するネットワーク インターフェイスのインターネット接続ファイアウォール (ICF) 機能を無効にしておく必要があります。
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
298804
(http://support.microsoft.com/kb/298804/
)
インターネット ファイアウォールによってインターネットの参照やファイルの共有ができなくなる
簡易ファイル共有が有効になっていると、リモート コンピューターから実行するリモート管理およびリモート レジストリ編集が正常に実行されず、管理用共有リソース (C$ など) への接続が機能しません。これは、リモート ユーザーが Guest として認証されるためです。Guest アカウントには管理者権限が与えられません。簡易ファイル共有が有効になっている状態で特定のユーザーの ACE を構成すると、簡易ファイル共有を有効にしたときにリモート ユーザーに反映されないことがあります。これは、簡易ファイル共有が有効な場合、リモート ユーザーは常に Guest として認証されるためです。
ハード ディスクを NTFS に変換すると、以前は問題なく接続できた共有にリモート ユーザーが接続するときに "アクセスが拒否されました" というメッセージが表示されることがあります。この現象は、Windows 98、Windows 98 Second Edition、または Windows Millennium Edition (Me) ベースのコンピューターからアップグレードされた Windows XP ベースのコンピューターで、簡易ファイルの共有が有効になっている場合に発生することがあります。これは、ハード ディスクを NTFS に変換すると、既定のアクセス許可に Everyone グループが含まれないことが原因です。Everyone グループは、リモート ユーザーが Guest アカウントでファイルにアクセスするときに必要です。アクセス許可を再設定するには、問題が発生しているフォルダーの共有をいったん停止し、再度共有します。
簡易ファイルの共有を有効にすることによって影響を受ける動作
- フォルダーのプロパティに表示される簡易ファイルの共有の UI を使用すると、共有アクセス許可と NTFS アクセス許可の両方が構成されます。
- リモート ユーザーは常に Guest アカウントとして認証されます。
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
302927
(http://support.microsoft.com/kb/302927/
)
ゲストとしてログオンすると、コンピューターの管理コンソールにユーザー アカウント名が表示される
- エクスプローラーを使用して NTFS ドライブ上のファイルを同じドライブ内で移動する場合、アクセス許可は保持されません。ファイルのアクセス許可は、移動先の親フォルダーのアクセス許可を常に継承します。
- 簡易ファイルの共有が有効になっている Windows XP Professional ベースのコンピューター、および Windows XP Home Edition ベースのコンピュータでは、共有フォルダー Microsoft 管理コンソール (MMC) スナップイン (Fsmgmt.msc) およびコンピュータの管理 MMC スナップイン (Compmgmt.msc) の UI も簡略化されます。
- コンピューターの管理 MMC スナップインおよび共有フォルダー MMC スナップインで、[共有] アイコンを右クリックしたときに、[新しいファイルの共有] が使用できません。また、一覧に表示された共有を右クリックしても、[共有の停止] と [プロパティ] が表示されません。
簡易ファイルの共有を有効にすることによって影響を受けない動作
- Windows XP Home Edition では、コンピューターの管理 MMC スナップインに [ローカル ユーザーとグループ] が表示されません。ローカル ユーザーとグループ MMC スナップインはカスタム MMC には追加できません。これは、Windows XP Home Edition の制限であり、簡易ファイルの共有による結果ではありません。
- コントロール パネルの [ユーザー アカウント] で Guest アカウントを無効にすると、Guest がローカルでログオンできなくなります。Guest アカウントそのものは無効になりません。
- リモート ユーザーは、パスワードなしのアカウントを使用して認証を受けることはできません。この認証は独立して構成されます。
- Windows XP Home Edition ベースのコンピューターはドメインに参加できません。ワークグループのメンバーとしてのみ構成できます。
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
303606
(http://support.microsoft.com/kb/303606/
)
Windows 2000 からアップグレードすると、Guest アカウントを使ってパスワードなしでログオンできる
Windows Vista ファイル共有の構成方法の詳細については、以下のマイクロソフト Web サイトを参照してください。