継承されたアクセス許可とアクセス ベースの列挙を使うUsing inherited permissions with Access-based Enumeration

適用対象:Windows Server 2019、Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

既定では、DFS フォルダーに使用されるアクセス許可は、名前空間サーバーのローカル ファイル システムから継承されます。By default, the permissions used for a DFS folder are inherited from the local file system of the namespace server. アクセス許可のシステム ドライブのルート ディレクトリから継承され、ドメインを許可\ユーザー グループの読み取り権限。The permissions are inherited from the root directory of the system drive and grant the DOMAIN\Users group Read permissions. その結果、アクセス ベースの列挙を有効にした後でも、名前空間内のすべてのフォルダーが引き続きすべてのドメイン ユーザーに表示されます。As a result, even after enabling access-based enumeration, all folders in the namespace remain visible to all domain users.

継承されたアクセス許可の利点と制限事項Advantages and limitations of inherited permissions

継承されたアクセス許可を使ってDFS 名前空間のフォルダーを表示できるユーザーを制御することには、2 つの主な利点があります。There are two primary benefits to using inherited permissions to control which users can view folders in a DFS namespace:

  • スクリプトを使わなくても、継承されたアクセス許可を多数のフォルダーにすばやく適用することができます。You can quickly apply inherited permissions to many folders without having to use scripts.
  • 名前空間のルートとターゲットを持たないフォルダーに、継承されたアクセス許可を適用することができます。You can apply inherited permissions to namespace roots and folders without targets.

DFS 名前空間の継承されたアクセス許可には利点がありますが、多くの制限事項があるためほとんどの環境には不適切です。Despite the benefits, inherited permissions in DFS Namespaces have many limitations that make them inappropriate for most environments:

  • 継承されたアクセス許可の変更は他の名前空間サーバーにレプリケートされません。Modifications to inherited permissions are not replicated to other namespace servers. したがって、継承されたアクセス許可は、スタンドアロンの名前空間や、すべての名前空間サーバーでアクセス制御リスト (ACL) を同期された状態に維持するサード パーティのレプリケーション システムを実装できる環境でのみ使います。Therefore, use inherited permissions only on stand-alone namespaces or in environments where you can implement a third-party replication system to keep the Access Control Lists (ACLs) on all namespace servers synchronized.
  • DFS 管理と Dfsutil は、継承されたアクセス許可を表示または変更できません。DFS Management and Dfsutil cannot view or modify inherited permissions. したがって、名前空間を管理するには、DFS 管理または Dfsutil だけでなくエクスプローラーまたは Icacls コマンドも使う必要があります。Therefore, you must use Windows Explorer or the Icacls command in addition to DFS Management or Dfsutil to manage the namespace.
  • 継承されたアクセス許可を使う場合、Dfsutil コマンドを使う場合を除き、ターゲットを含むフォルダーのアクセス許可を変更することはできません。When using inherited permissions, you cannot modify the permissions of a folder with targets except by using the Dfsutil command. DFS 名前空間は、他のツールやメソッドを使って設定されたターゲットを持つフォルダーからアクセス許可を自動的に削除します。DFS Namespaces automatically removes permissions from folders with targets set using other tools or methods.
  • 継承されたアクセス許可を使っているときにターゲットを持つフォルダーにアクセス許可を設定した場合、ターゲットを含むフォルダーで設定した ACL は、ファイル システム内のフォルダーの親から継承されたアクセス許可と組み合わされます。If you set permissions on a folder with targets while you are using inherited permissions, the ACL that you set on the folder with targets combines with inherited permissions from the folder's parent in the file system. 両方のアクセス許可セットを調べて、最終的なアクセス許可を確認する必要があります。You must examine both sets of permissions to determine what the net permissions are.

注意

継承されたアクセス許可を使う場合、名前空間のルートとターゲットを持たないフォルダーにアクセス許可を設定するのが最も簡単です。When using inherited permissions, it is simplest to set permissions on namespace roots and folders without targets. その後、ターゲットを持つフォルダーに継承されたアクセス許可を使って、すべてのアクセス許可が親から継承されるようにします。Then use inherited permissions on folders with targets so that they inherit all permissions from their parents.

継承されたアクセス許可を使うUsing inherited permissions

DFS フォルダーを表示できるユーザーを制限するには、次のいずれかのタスクを実行する必要があります。To limit which users can view a DFS folder, you must perform one of the following tasks:

  • 継承を無効にすると、フォルダーの明示的なアクセス許可を設定します。Set explicit permissions for the folder, disabling inheritance. DFS 管理または Dfsutil コマンドを使ってターゲット (リンク) を持つフォルダーに明示的なアクセス許可を設定するには、「名前空間でアクセス ベースの列挙を有効にする」をご覧ください。To set explicit permissions on a folder with targets (a link) using DFS Management or the Dfsutil command, see Enable Access-Based Enumeration on a Namespace.
  • ローカル ファイル システムの親で継承されたアクセス許可を変更しますModify inherited permissions on the parent in the local file system. フォルダーで明示的なアクセス許可を既に設定している場合に、ターゲットを持つフォルダーで継承されたアクセス許可を変更するには、次の手順で説明するように、明示的なアクセス許可から継承されたアクセス許可に切り替えます。To modify the permissions inherited by a folder with targets, if you have already set explicit permissions on the folder, switch to inherited permissions from explicit permissions, as discussed in the following procedure. その後、エクスプローラーまたは Icacls コマンドを使って、ターゲットを持つフォルダーがアクセス許可を継承するフォルダーのアクセス許可を変更します。Then use Windows Explorer or the Icacls command to modify the permissions of the folder from which the folder with targets inherits its permissions.

注意

アクセス ベースの列挙を有効にしても、ユーザーがターゲットを持つフォルダーの DFS パスを既に知っている場合、フォルダー ターゲットへの紹介の取得を禁止できません。Access-based enumeration does not prevent users from obtaining a referral to a folder target if they already know the DFS path of the folder with targets. エクスプローラーまたは Icacls コマンドを使って名前空間のルートまたはターゲットを持たないフォルダーに設定されたアクセス許可は、ユーザーが DFS フォルダーまたは名前空間ルートにアクセスできるかどうかを制御します。Permissions set using Windows Explorer or the Icacls command on namespace roots or folders without targets control whether users can access the DFS folder or namespace root. ただし、ユーザーによるターゲットを持つフォルダーへの直接アクセスは禁止されません。However, they do not prevent users from directly accessing a folder with targets. 共有フォルダー自体の共有アクセス許可または NTFS ファイル システム アクセス許可のみ、ユーザーによるフォルダー ターゲットへのアクセスを禁止できます。Only the share permissions or the NTFS file system permissions of the shared folder itself can prevent users from accessing folder targets.

明示的なアクセス許可から継承されたアクセス許可に切り替えるにはTo switch from explicit permissions to inherited permissions

  1. コンソール ツリーの [名前空間] ノードの下で、表示を制御するターゲットを含むフォルダーを見つけ、フォルダーを右クリックして [プロパティ] をクリックします。In the console tree, under the Namespaces node, locate the folder with targets whose visibility you want to control, right-click the folder and then click Properties.

  2. [Advanced] タブをクリックします。Click the Advanced tab.

  3. [ローカル ファイル システムから継承されたアクセス許可を使用する] をクリックし、[継承されたアクセス許可の使用を確認する] ダイアログ ボックスで [OK] をクリックします。Click Use inherited permissions from the local file system and then click OK in the Confirm Use of Inherited Permissions dialog box. こうすると、このフォルダーで明示的に設定されたアクセス許可がすべて削除され、名前空間サーバーのローカル ファイル システムから継承された NTFS アクセス許可が復元されます。Doing this removes all explicitly set permissions on this folder, restoring inherited NTFS permissions from the local file system of the namespace server.

  4. DFS 名前空間のフォルダーや名前空間ルートの継承されたアクセス許可を変更するには、エクスプローラーまたは ICacls コマンドを使います。To change the inherited permissions for folders or namespace roots in a DFS namespace, use Windows Explorer or the ICacls command.

関連項目See also