部門間のリソースの共有

シナリオ『組織単位の構成の設計および実装』の「Departmental Resources OU」で説明したように、noam.reskit.com ドメイン内の各部門の部門管理者グループを作成しました。部門 OU の境界内のグループおよび共有フォルダに対するフル コントロールを各管理グループに委任します (たとえば Engineering OU 内のグループおよび共有フォルダを作成、管理、削除することを Engineering Admins に許可します) 。

各部門の管理セキュリティ グループは、委任された権限を以下の方法で使用します。

Human Resources Admins グループは、自身の OU 内のグループを作成する権限を使用して、noam.reskit.com ドメイン内で表される各部門のグローバル グループを作成します。その後 Human Resources Admins グループは、各部門のユーザーを適切なグループに追加します。このようなグループを定義すれば (つまり、Active Directory 内に発行すれば) 、さまざまな部門間でこのグループを使用して、情報を相互に共有できます。

たとえば Accounting Department は、ネットワーク ファイル共有にレポートを格納し、その共有への読み取りのアクセスを Finance Department に許可する必要があります。Accounting Admins グループはこのリソース共有を実装するために、IT 部門によって管理されているサーバー上に共有フォルダ (ファイル共有とも呼ばれます) を作成することを Noam Server Admins グループに依頼します。Noam Server Admins は、このファイル共有を作成し、ファイル共有に対するフル コントロールのアクセス許可を Accounting Admins グループに与えます。Accounting Admins は、以下の作業を実行します。

1. Accounting OU 内にドメイン ローカル グループを作成します。このグループに、ファイル共有への読み取りのアクセスを与えます。

2. 前の手順で作成したドメイン ローカル グループに Finance Department グローバル グループ (Human Resources Admins グループによって作成されたグループ) を追加します。

3. ファイル共有上にサブフォルダを作成し、ファイル共有への読み取りアクセスをこのドメイン ローカル グループに許可します。Accounting Admins グループは、レポートを含むファイルをこのサブフォルダに格納します。

4. レポートを格納するファイル共有を参照する共有フォルダ オブジェクトを Accounting OU 内に作成します。

Finance Department 内のユーザーは、Active Directory 内でこの共有フォルダを検索し、共有フォルダ内にあるファイルを読み取ることができます。ユーザーは、ファイル システム内で共有フォルダを検索する場合、名前またはキーワード、あるいはその両方を使用することができます。

メモ グローバル グループを使用して、職務またはビジネス面の役割に基づいてアクセス プロファイルを共有するユーザーをまとめることができます。ドメイン ローカル グループの使用が最も適しているのは、ドメイン内の任意のコンピュータ上にあるファイル システムやプリンタなど、共通のアクセス許可の必要なリソースに対するアクセス許可を与える場合です。グローバル グループにアクセス許可を与える最も便利な方法は、一連のリソースに対してアクセス許可を与えられたドメイン ローカル グループのメンバとしてそのグローバル グループを追加することです。

ネットワーク サーバー上でのファイル共有の作成時に Noam Server Admins セキュリティ グループのメンバは、ファイル共有に対する共有アクセス許可および NTFS アクセス許可を設定します。共有アクセス許可によって、ファイル共有にリモートにアクセスできるユーザーと、そのアクセス レベル (たとえばフル コントロール、変更、読み取りなど) が決定します。NTFS アクセス許可は、NTFS のボリューム、ディレクトリ (フォルダ) 、およびファイルに対して Windows ファイル システムで使用されるアクセス制御設定です。ファイル共有への接続時には、共有アクセス許可のみが評価されます。以降のファイル共有またはその内容に対する処理では、共有に対するアクセス許可に加えて、ファイル共有自身およびそのサブフォルダ、ファイルの NTFS アクセス許可の組み合わせによって承認されます。

注意
NTFS ファイル アクセス許可は、ファイル共有で与えられる共有アクセス許可を超えることはありません。つまり、共有レベルで与えられるアクセス許可を制限するために NTFS ファイル アクセス許可を使用することはできますが、共有レベルで与えられるアクセス許可を拡大することはできません。たとえば、リモートから共有へのアクセスに対して共有レベルでフル コントロールまたは変更のアクセス許可を与えている場合、ファイル アクセス許可で読み取りに制限することはできますが、その逆の設定を行うことはできません。

ネットワーク ファイル サーバーに Accounting Reports フォルダ作成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Noam Server Admins グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[コンピュータの管理] をクリックします。

3. [コンピュータの管理 (ローカル) ] を右クリックし、[別のコンピュータへ接続] をクリックします。

4. [名前] ボックスで、SEA-NA-FP-03 と入力し、[OK] をクリックします。

5. コンソール ツリーで、[システム ツール] 、[共有フォルダ] を展開します。

6. [共有] を右クリックし、[新しいファイルの共有] をクリックします。

7. [共有するフォルダ] ボックスで、以下のように入力します。

   C:\Accounting Reports

8. [共有名] ボックスで、以下のように入力します。

   Accounting Reports

9. [共有の説明] ボックスで、以下のように入力します。

   2000 年度のレポート

10. [次へ] をクリックします。

11. [共有とフォルダのアクセス許可をカスタマイズする] をクリックし、[カスタマイズ] をクリックします。

12. [アクセス許可のカスタマイズ] ダイアログ ボックスで、[共有のアクセス許可] タブをクリックし、[追加] をクリックします。

13. [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスの [名前] 列で、[Authenticated Users] をクリックし、[追加] をクリックします。

    Noam Server Admins は、Accounting Admins によって共有に対するアクセス許可が提供されるグループを把握していないので、ドメイン内のすべての認証ユーザーにアクセス許可を与えます。

14. [OK] をクリックして、[アクセス許可のカスタマイズ] ダイアログ ボックスに戻ります。

15. [名前] 列で、[Everyone] をクリックし、[削除] をクリックします。

    Everyone グループを削除することによって、ANONYMOUS LOGON アカウントから共有フォルダへのアクセスを阻止します。ANONYMOUS LOGON アカウントは、Web ページなどのパブリック オブジェクトへのアクセスで使用されます。

16. [名前] ボックスで、[Authenticated Users] をクリックします。

17. [アクセス許可] ボックスの [許可] 列で、[フル コントロール] のチェック ボックスをオンにします (図&nbsp1 を参照) 。

    

    図 1: Accounting Reports ファイル共有に対する共有アクセス許可の設定

18. [セキュリティ] タブをクリックします。

19. [追加] をクリックします。

20. [名前] 列で、[Noam Server Admins] グループをクリックし、[追加] をクリックします。

21. [名前] 列で、[Accounting Admins] グループをクリックし、[追加] をクリックします。

22. [名前] 列で、[Authenticated Users] グループをクリックし、[追加] をクリックします。

23. [OK] をクリックします。

24. [名前] 列で、[Everyone] をクリックします。

25. [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] をオフにします。[セキュリティ] ダイアログ ボックスが表示されます。

26. [削除] をクリックします。

27. [名前] 列で、[Noam Server Admins] をクリックします。

28. [アクセス許可] ボックスの [許可] 列で、[フル コントロール] のチェック ボックスをオンにします。

29. [名前] 列で、[Accounting Admins] をクリックします。

30. [アクセス許可] ボックスの [許可] 列で、[フル コントロール] のチェック ボックスをオンにします。

31. [名前] 列で、[Authenticated Users] をクリックします。

32. [アクセス許可] ボックスの [許可] 列で、既定の [読み取りと実行] の設定をそのまま使用します (図&nbsp2 を参照) 。

    [読み取りと実行] のアクセス許可には、[フォルダの内容の一覧表示] および [読み取り] のアクセス許可が含まれます。

33. [OK] をクリックします。

34. [完了] をクリックします。

35. 別の共有フォルダを作成するかどうか尋ねられたら、[いいえ] をクリックします。

Noam Server Admins が Accounting Admins のためにネットワーク ファイル共有を作成した後、Accounting Admins はドメイン ローカル グループを作成します。このドメイン ローカル グループには後で、ファイル共有への読み取りアクセス許可を与えます。Accounting Admins はこのドメイン ローカル グループを作成するときに、部門 OU 内にグループ オブジェクトを作成するための委任された権限を使用します。

Accounting OU 内でドメイン ローカル グループを作成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Accounting Admins グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

3. [noam.reskit.com] を展開します。

4. [Departmental Resources] を展開します。

5. [Accounting] を右クリックし、[新規作成] をポイントして、[グループ] をクリックします。

6. [グループ名] ボックスで、Read Reports と入力します。

7. [グループの範囲] で、[ドメイン ローカル] をクリックします。

8. [グループの種類] で、既定の設定である [セキュリティ] をそのまま使用します。

9. [OK] をクリックします。

Accounting Admins は、Accounting Reports ファイル共有への読み取りアクセスを与えるドメイン ローカル グループ Read Reports を作成した後、Read Reports のメンバとして Finance Department グローバル グループを追加します。後で必要に応じて Accounting Admins は、Read Reports ドメイン ローカル グループにほかのグローバル グループを追加できます。

Read Reports ドメイン ローカル グループに Finance Department グローバル グループを追加するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Accounting Admins グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

3. [noam.reskit.com] を展開します。

4. [Departmental Resources] を展開します。

5. [Accounting] をクリックします。

6. 詳細ペインで、[Read Reports] グループを右クリックし、[プロパティ] をクリックします。

7. [メンバ] タブをクリックし、[追加] をクリックします。

8. [名前] ボックスで、[Finance Department] をクリックし、[追加] をクリックし、[OK] をクリックします。

9. [OK] をクリックし、[Read Reports のプロパティ] ダイアログ ボックスを閉じます。

Accounting Admins は、Accounting Reports ファイル共有上にサブフォルダを作成し、このサブフォルダに含まれる任意のファイルに対する読み取りアクセス許可を Read Reports ドメイン ローカル グループに与えます。このために Accounting Admins は、Accounting Reports ネットワーク ファイル共有上のサブフォルダを管理するために Noam Server Admins によって与えられた権限を使用します。

Accounting Reports ファイル共有にサブフォルダを作成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Accounting Admins グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

3. [名前] ボックスで、以下のように入力します。

   \\SEA-NA-FP-O3

4. [OK] をクリックすると Windows エクスプローラが表示されます。

5. [Accounting Reports] ファイル共有をクリックします。

6. 右側のペイン内を右クリックし、[新規作成] をクリックし、[フォルダ] をクリックします。

7. 以下のフォルダの名前を入力します。

   Reports 2000

8. 新しいフォルダを右クリックし、[プロパティ] をクリックします。

9. [セキュリティ] タブをクリックします。

   Accounting Reports ファイル共有で設定したアクセス許可が新しいフォルダに継承されたことに注目してください (図 3 参照) 。

   

   図 3: Reports 2000 サブフォルダに対する NTFS アクセス許可の設定

10. [追加] をクリックします。[ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスが表示されます。

11. [名前] 列で、[Read Reports] グループをクリックします。

12. [OK] をクリックして、[ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスを閉じます。

    Read Reports グループに対して、既定の設定である、読み取りと実行、フォルダの内容の一覧表示、読み取りのアクセス許可が設定されていることを確認します。

13. [OK] をクリックして既定の設定をそのまま受け入れ、[Reports 2000 のプロパティ] ダイアログ ボックスを閉じます。

次に Accounting Admins は、部門 OU 内に共有フォルダ オブジェクトを作成するための委任された権限を使用することで、Accounting Reports ネットワーク ファイル共有を参照する共有フォルダ オブジェクトを作成します。Read Reports ドメイン ローカル グループのメンバは、この共有フォルダ オブジェクトを使用することで、Active Directory 内で Accounting Reports ファイル共有を検索します。

Accounting Reports ファイル共有を参照する共有フォルダ オブジェクトを作成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Accounting Admins グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

3. [noam.reskit.com] を展開します。

4. [Departmental Resources] を展開します。

5. [Accounting] を右クリックし、[新規作成] をポイントし、[共有フォルダ] をクリックします。

6. [新しいオブジェクト - 共有フォルダ] ダイアログ ボックスの [名前] ボックスで、以下を入力します。

   Accounting Reports

7. [ネットワーク パス] ボックスで、以下を入力します。

   \\sea-na-fp-03\Accounting Reports

8. [OK] をクリックします。Accounting Reports 共有フォルダが [Active Directory ユーザーとコンピュータ] の詳細ペインに追加されます。

9. 詳細ペインで、Accounting Reports を右クリックし、[プロパティ] をクリックします。

10. [Accounting Reports のプロパティ] ページで、[キーワード] をクリックします。

11. [キーワード] ダイアログ ボックスで、accounting と入力し、[追加] をクリックします。

12. payroll と入力し、[追加] をクリックします。

13. budget と入力し、[追加] をクリックします。

14. [OK] をクリックして [キーワード] ダイアログ ボックスを閉じます。

15. [OK] をクリックして [Accounting Reports のプロパティ] ページを閉じます。

Accounting Admins が Accounting Reports ファイル共有を参照する共有フォルダ オブジェクトを作成した後、Read Reports ドメイン ローカル グループのメンバが Active Directory 内でファイル共有を検索することが可能になります。

Accounting Reports ファイル共有にアクセスするには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Finance Department グループのメンバとして noam.reskit.com にログオンします。

2. [マイ ネットワーク] をダブルクリックします。

3. [ネットワーク全体] をダブルクリックします。

4. [全内容] リンクをクリックし、[ディレクトリ] をダブルクリックします。

5. [reskit] を右クリックし、[検索] をクリックします。

6. [検索] ボックスから、[共有フォルダ] を選択します。

7. [場所] ボックスから、[noam] を選択します。

8. [名前] ボックスで、共有フォルダの名前を入力します。共有フォルダの名前がわからない場合、[キーワード] ボックスにキーワード (「accounting」、「payroll」、「budget」など) を入力できます (図 4 を参照) 。

   

   図 4: 共有フォルダの検索

9. [検索開始] をクリックします。

   指定したキーワードを含むファイルのある共有が [共有フォルダを検索します] ダイアログ ボックスの [名前] 列に表示されます (図 5 を参照) 。

   

   図 5: 共有フォルダの発見

10. [名前] 列で、[Accounting Reports] をダブルクリックしてこのファイル共有に移動します。

関連情報

• 親 OU と子 OU の作成

• ビルトイン セキュリティ グループの Admins OU への移動

• Admins OU への新しいセキュリティ グループの追加

• セキュリティ グループへの管理権限の委任

• セキュリティ グループへのメンバの追加

• グループ ポリシーによるソフトウェアの配布

• 管理者のワークステーションのパスワードによる保護

• OU 構造への格納

• グループ ポリシーによるドメインのコンピュータの管理

• 部門間のリソースの共有

関連資料

• Windows 2000 Server リソース キット 購入ページ

• Windows 2000 Professional リソース キット 購入ページ

• Windows 2000 リソース キットの詳細については、こちらを参照してください。

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。