web-dev-qa-db-ja.com

ユーザーは完全に制御できますが、「権限が必要です」というエラーが表示されます。

Windows Server 2016 Standard ...部門/グループのユーザーは、部門フォルダー内で読み取り権限エラーを受け取り、フォルダーとサブフォルダーを完全に制御でき、その後、書き込み権限エラーを受け取りました(「変更を行うには、ZPICTURES\admin-zpからの権限が必要ですこのファイルに」)、その後、グループ内の各ユーザーにフォルダとサブフォルダのフルコントロールを与えましたが、その中のどこかで書き込みまたは変更しようとすると、同じエラーメッセージが表示されます(「からの許可が必要です...」)。

この構成が別のグループのフォルダーで動作しているので、本当に混乱しています(実際には、すべてのユーザーではなく、グループに対するフルコントロールのみです)。このグループのアクセス許可構成を修正して、グループのユーザーに書き込みアクセス許可を与えるにはどうすればよいですか?

1
crashintoty
  • 権限を変更する場合、ユーザーはログアウトしてから再度ログインして、変更を有効にする必要があります。
  • 私は完全な制御を与えることを勧めません。これにより、ユーザーは権限を変更し、ファイルの所有権を取得できます。共有に関しては、ユーザーの大部分のニーズに対して変更権限で十分です。
  • 他のユーザーがまったく同じファイルにアクセスしている場合、ファイルがロックされる可能性があります。
  • Windowsでは、DenyはDenyです。ユーザーがグループまたは明示的なアクセス許可のどこかを拒否した場合、その権利は拒否されます。ファイルのセキュリティ->詳細設定->有効なアクセス許可に移動し、それが何を示しているかを確認します。
1
JBaldridge

上記の@JBaldridgeの回答では、NTFSアクセス許可の主要な概念についてすでに紹介されていますが、NTFS/Windowsサーバーの初期の頃からそれほど変わっていません。いくつか追加するだけです。

  • ローカルまたはネットワーク経由でフォルダーにアクセスする方法に注意してください。後者の場合は、共有権限を考慮する必要があります。共有とNTFSの両方のアクセス許可を考慮する必要があります。NTFSレベルで書き込みを行っても、共有のアクセス許可が読み取り専用の場合、ネットワーク経由でデータを書き込むことはできません。共有アクセス許可は、フォルダーがネットワーク経由でアクセスされた場合にのみ機能する目標到達プロセスと考えてください。
  • アクセス許可のレベルを覚えるのが面倒すぎる場合は、よく試されたアプローチは、常に共有レベルで認証済みユーザーにフルコントロールを付与し、NTFSレベルのみでアクセス許可を調整することです。これにより、管理者の生活が少し楽になります。 Server 2016でデフォルトの共有権限をチェックしただけで、デフォルトですべてのユーザー+管理者にフルコントロールが付与されます。
  • 繰り返しますが、追加する許可や許可の数に関係なく、常に明示的な拒否が優先されます。
  • 有効なNTFSアクセス許可がこの順序で評価され、最初の一致で評価が停止することを理解するために、優先順位を覚えておいてください:1)明示的な拒否2)明示的な許可3)継承された拒否4)継承された許可

最後に、効果的なアクセスを利用して、特定のユーザーまたはグループがどのレベルのアクセス権を持っているかを確認します。これは、フォルダーの[セキュリティの詳細設定]で利用できます。この機能のUIを示す下の画像を参照してください(この機能を使用して何ができるかについては、画像で十分に理解できるはずです)。

enter image description here

0
Mikhail