ども。
宇宙飛行士の地球への帰還をリアルタイムで見て、鳥肌が立つほど感動した担当ちゅんです。
そんなスケールの大きな話とは打って変わって、今日はズッコケ話を。先日より、多くの職員から「共有フォルダを見つけられなくなった」と問い合わせを受けていました。このフォルダは、職員が自由に利用できる「一時保管場所」の位置づけで運用しているもので、誰でも使うことができる代わりに一定期間でファイルを全削除するバッチを仕込んであります。通常はキッティングの中でデスクトップ上にショートカットを出してあげて、使ってもらっています。
そのフォルダが見つけられないとのことで、実は私自身は何の話だかよくわかりませんでした。自分のPCでアクセスしてみるとちゃんと利用できますし、ファイルサーバにも普通に表示されています。
でも、新しいPCを展開する作業をしていて、その作業中にファイルサーバを見てみると確かにそのフォルダだけが見つけられません。臨席の相棒にその旨を話してみると「僕も同じです。だから直接パスを手打ちしていました」とのこと。どうやら見つけられない現象はこのことのようです。
調べました。今回の現象は、つまり「ある共有フォルダが、特定の環境にあるPCからのみ見ることができて、圧倒的多数のPCからは見ることができない。でも、パスを直打ちすれば利用は可能」という案件。不思議ですね。
ちょっと状況を解決できずにいると、隣席から「あれ!?」と声が聞こえました。見ると相棒は共有フォルダのプロパティを開いています。「・・・まさか!」と思いましたが、そのまさかでした。何と、その共有フォルダ、いつの間にか属性が「隠しファイル」に変更されていたのです。
これ、にわかSEによくある話かもしれませんが、共有フォルダを作るとき、誰でも自由に使うことができる権限を「Everyone – フルコントロール」としがちです。今回のケースもこれに該当していました。だからユーザー側で任意に(おそらく意図せずに)属性を変更されてしまったというわけです。
共有フォルダの利用だけのことでいえば、「Everyone – フルコントロール」の設定でも正しいといえば正しいのですが、ドメイン環境下ではEveryone よりもAuthenticated Users を使うほうがセキュリティ的には正しいですよね。Everyone は本当の意味で「全て」になってしまうので、Guest も含まれてしまいます。
で、今回の問題である権限ですが、フルコントロールもEveryone 同様に、本当に何でもできてしまいます。例えばその共有フォルダの削除や属性の変更までもが可能。この場合は、フルコントロールではなく「変更」が正しいのです。設定は簡単で、フルコントロール以外の権限を全て付ける。そうすると属性は「変更」となり、そのフォルダの内部では何でもできます、ただし親フォルダに対しては何もできませんとなります。ある日突然、共有フォルダが消えてしまわないように、今一度チェックしてみようと思います。
なぜこれにチェックが入っていたのか・・・
(投稿者:ちゅん)
