継承されたアクセス許可とアクセス ベースの列挙を使う

適用対象:Windows Server 2019、Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008

既定では、DFS フォルダーに使用されるアクセス許可は、名前空間サーバーのローカル ファイル システムから継承されます。 アクセス許可のシステム ドライブのルート ディレクトリから継承され、ドメインを許可\ユーザー グループの読み取り権限。 その結果、アクセス ベースの列挙を有効にした後でも、名前空間内のすべてのフォルダーが引き続きすべてのドメイン ユーザーに表示されます。

継承されたアクセス許可の利点と制限事項

継承されたアクセス許可を使ってDFS 名前空間のフォルダーを表示できるユーザーを制御することには、2 つの主な利点があります。

  • スクリプトを使わなくても、継承されたアクセス許可を多数のフォルダーにすばやく適用することができます。
  • 名前空間のルートとターゲットを持たないフォルダーに、継承されたアクセス許可を適用することができます。

DFS 名前空間の継承されたアクセス許可には利点がありますが、多くの制限事項があるためほとんどの環境には不適切です。

  • 継承されたアクセス許可の変更は他の名前空間サーバーにレプリケートされません。 したがって、継承されたアクセス許可は、スタンドアロンの名前空間や、すべての名前空間サーバーでアクセス制御リスト (ACL) を同期された状態に維持するサード パーティのレプリケーション システムを実装できる環境でのみ使います。
  • DFS 管理と Dfsutil は、継承されたアクセス許可を表示または変更できません。 したがって、名前空間を管理するには、DFS 管理または Dfsutil だけでなくエクスプローラーまたは Icacls コマンドも使う必要があります。
  • 継承されたアクセス許可を使う場合、Dfsutil コマンドを使う場合を除き、ターゲットを含むフォルダーのアクセス許可を変更することはできません。 DFS 名前空間は、他のツールやメソッドを使って設定されたターゲットを持つフォルダーからアクセス許可を自動的に削除します。
  • 継承されたアクセス許可を使っているときにターゲットを持つフォルダーにアクセス許可を設定した場合、ターゲットを含むフォルダーで設定した ACL は、ファイル システム内のフォルダーの親から継承されたアクセス許可と組み合わされます。 両方のアクセス許可セットを調べて、最終的なアクセス許可を確認する必要があります。

注意

継承されたアクセス許可を使う場合、名前空間のルートとターゲットを持たないフォルダーにアクセス許可を設定するのが最も簡単です。 その後、ターゲットを持つフォルダーに継承されたアクセス許可を使って、すべてのアクセス許可が親から継承されるようにします。

継承されたアクセス許可を使う

DFS フォルダーを表示できるユーザーを制限するには、次のいずれかのタスクを実行する必要があります。

  • 継承を無効にすると、フォルダーの明示的なアクセス許可を設定します。 DFS 管理または Dfsutil コマンドを使ってターゲット (リンク) を持つフォルダーに明示的なアクセス許可を設定するには、「名前空間でアクセス ベースの列挙を有効にする」をご覧ください。
  • ローカル ファイル システムの親で継承されたアクセス許可を変更します。 フォルダーで明示的なアクセス許可を既に設定している場合に、ターゲットを持つフォルダーで継承されたアクセス許可を変更するには、次の手順で説明するように、明示的なアクセス許可から継承されたアクセス許可に切り替えます。 その後、エクスプローラーまたは Icacls コマンドを使って、ターゲットを持つフォルダーがアクセス許可を継承するフォルダーのアクセス許可を変更します。

注意

アクセス ベースの列挙を有効にしても、ユーザーがターゲットを持つフォルダーの DFS パスを既に知っている場合、フォルダー ターゲットへの紹介の取得を禁止できません。 エクスプローラーまたは Icacls コマンドを使って名前空間のルートまたはターゲットを持たないフォルダーに設定されたアクセス許可は、ユーザーが DFS フォルダーまたは名前空間ルートにアクセスできるかどうかを制御します。 ただし、ユーザーによるターゲットを持つフォルダーへの直接アクセスは禁止されません。 共有フォルダー自体の共有アクセス許可または NTFS ファイル システム アクセス許可のみ、ユーザーによるフォルダー ターゲットへのアクセスを禁止できます。

明示的なアクセス許可から継承されたアクセス許可に切り替えるには

  1. コンソール ツリーの [名前空間] ノードの下で、表示を制御するターゲットを含むフォルダーを見つけ、フォルダーを右クリックして [プロパティ] をクリックします。

  2. [Advanced] タブをクリックします。

  3. [ローカル ファイル システムから継承されたアクセス許可を使用する] をクリックし、[継承されたアクセス許可の使用を確認する] ダイアログ ボックスで [OK] をクリックします。 こうすると、このフォルダーで明示的に設定されたアクセス許可がすべて削除され、名前空間サーバーのローカル ファイル システムから継承された NTFS アクセス許可が復元されます。

  4. DFS 名前空間のフォルダーや名前空間ルートの継承されたアクセス許可を変更するには、エクスプローラーまたは ICacls コマンドを使います。

関連項目