ファイルサーバー構築
ファイルサーバーの基本設計
ファイルサーバーは、中小企業で最も利用頻度の高いサーバーサービスです。適切な権限設計と共有設定を行うことで、情報漏洩を防ぎつつ業務効率を維持できます。ひとり情シスにとって、ファイルサーバーの設計・運用スキルは日常業務の根幹です。
NTFS権限と共有権限の違い
Windowsのファイルサーバーには2種類の権限が存在します。
| 項目 | NTFS権限 | 共有権限 |
|---|---|---|
| 適用範囲 | ローカルアクセス+ネットワークアクセスの両方 | ネットワーク経由のアクセスのみ |
| 設定の細かさ | フォルダ・ファイル単位で詳細に設定可能 | 共有フォルダ単位でしか設定できない |
| 権限の種類 | フルコントロール、変更、読み取りと実行、フォルダの内容一覧表示、読み取り、書き込み | フルコントロール、変更、読み取り |
| 推奨設定 | 詳細な権限をNTFSで設定 | 「Everyone:フルコントロール」にして、実質的にNTFS権限に委ねる |
ポイント:ネットワーク経由でアクセスする場合、NTFS権限と共有権限の「厳しい方」が適用されます。ベストプラクティスは、共有権限を「Everyone:フルコントロール」にして、きめ細かいアクセス制御はNTFS権限で行う方法です。これにより権限管理が一本化され、混乱を防げます。
NTFS権限の設計例
📋 具体例
部署別ファイルサーバーの権限設計:
\\FileServer\Share\(共有ルート)
├── 全社共有\ ← 全社員:読み取り、総務部:変更
├── 営業部\ ← 営業部:変更、経営層:読み取り
│ ├── 見積書\ ← 営業部:変更
│ └── 顧客情報\ ← 営業マネージャー:変更、営業一般:読み取り
├── 管理部\ ← 管理部:変更
│ └── 給与データ\ ← 人事担当:変更、管理部長:フルコントロール
├── 技術部\ ← 技術部:変更
└── 役員\ ← 役員グループ:フルコントロール
権限付与の原則:
・個人ユーザーに直接権限を付与しない → セキュリティグループ経由で付与
・ADのグローバルグループ(GG_営業部)をドメインローカルグループ(DL_営業部フォルダ_変更)にネストし、フォルダにはDLグループを設定
実効アクセス権の確認
複数のグループに所属するユーザーの実際のアクセス権を確認するには、「実効アクセス」タブを使用します。
- フォルダを右クリック→「プロパティ」→「セキュリティ」タブ
- 「詳細設定」→「実効アクセス」タブ
- 対象ユーザーを選択して「実効アクセスの表示」をクリック
PowerShellでの確認方法もあります。
Get-Acl "D:\Share\営業部" | Format-List
ABE(アクセスベースの列挙)
ABE(Access-Based Enumeration)は、ユーザーがアクセス権を持たないフォルダやファイルを表示しない機能です。
- ユーザーは自分がアクセスできるフォルダだけが見える
- 権限のないフォルダの存在自体を隠すことでセキュリティが向上
- ユーザーが「アクセスできないフォルダ」の問い合わせをしなくなり、サポート負荷が軽減
サーバーマネージャーから有効化するか、PowerShellで設定できます。
Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased
ポイント:ABEは既存のファイルサーバーにも後から適用できます。ユーザーから「フォルダが見えなくなった」という問い合わせが来る可能性があるため、導入前に周知しましょう。実際にはアクセス権がないフォルダが見えなくなっただけで、権限は変わっていません。
DFS(分散ファイルシステム)
DFS(Distributed File System)は、複数のファイルサーバーの共有を統一的な名前空間でアクセスできるようにする仕組みです。
| DFS機能 | 説明 | メリット |
|---|---|---|
| DFS名前空間 | \\ドメイン名\DFS のような統一パスで複数サーバーの共有にアクセス | サーバー移行時にクライアントのパス変更が不要 |
| DFSレプリケーション | 複数サーバー間でフォルダを自動同期 | 拠点間のデータ共有、冗長化 |
📋 具体例
DFS名前空間の利用イメージ:
従来:\\FileServer01\Share\営業部(サーバー名が変わると全PC修正)
DFS後:\\example.co.jp\Share\営業部(サーバーを入れ替えてもパスは同じ)
サーバー移行時は、DFS名前空間のターゲットを新サーバーに切り替えるだけでユーザーへの影響はゼロです。
クォータ管理
ファイルサーバーリソースマネージャー(FSRM)を使って、フォルダごとにディスク使用量を制限できます。
| クォータの種類 | 説明 |
|---|---|
| ハードクォータ | 制限値に達するとファイル保存を拒否 |
| ソフトクォータ | 制限値に達しても保存可能。通知のみ |
FSRMでは他にもファイルスクリーン(特定の拡張子のファイルをブロック)や、ストレージレポート(ディスク使用状況のレポート生成)の機能があります。
ひとり情シスの視点:「ファイルサーバーの容量が足りない」という問い合わせは非常に多いです。FSRMでソフトクォータを設定し、使用率が80%を超えたら管理者に通知するようにしておけば、容量不足を事前に察知できます。また、ファイルスクリーンで動画ファイルやISOファイルなど業務に不要な大容量ファイルの保存を制限するのも有効です。
✅ 完了済み