昨日、S参事から、特定のフォルダにアクセスできないとの連絡をもらい確かめるが、特に問題はなさそう。一日経って、まだ、同じ現象が発生しているかどうか確認したら、かわらず「アクセス権がない」旨のメッセージが表示されるとのこと。
現場に行って観ると、特におかしなことをしているわけではない。
アクセス権の設定自体に問題があるのだろうか。
セキュリティグループを「入れ子」にして設定していたのだが、それがうまく機能していないように見える。
単純化すると
ALL
+----- DEP1
+----- DEP2
+----- DEP3
という風に、4つのセキュリティグループを作って、サーバの個々の「共有(フォルダ)」に対して「ALL」に権限を与えていた。DEP1 に含まれている他のメンバーはアクセスできるのだが、S参事だけできない。
入れ子状態にしていることに原因があるのだろうか。
そこで「ALL」をセキュリティ欄から外し、DEP1 〜 DEP3 までを直接各「共有」に設定した。しかし、そのままだと共有の内部に深くネストしているサブフォルダまで、この設定が反映しない。
各「共有」フォルダのプロパティの「セキュリティ」で「詳細」ボタンを押す。そこで次のような長ったらしい名前のチェックボックスにチェックを入れて、「OK」ボタンを押す。
すべての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるようにする。
意味がわからん。とりあえず、親フォルダの「アクセス許可」の内容で、サブフォルダの個別のアクセス許可の設定を上書きしちまうんだろう。
しかし「アクセス許可の変更を拒否された」という内容のメッセージが出てくる。
よくわからんが、ファイルやフォルダの所有者じゃないからじゃなかろうか。同じウインドウ内の「所有者」タブを選んで、所有者を Administrators に変更する。
すると、全サブフォルダを検索し、手当たり次第に「所有者」を Administrators に変更しているようだ。たくさんの文書ファイルを保存しているフォルダでは結構時間がかかる。
しばらくして、所有者の変更が完了したら次は前述のとおり拒否されて失敗した「アクセス許可」のリストの一斉書き換えだ。今度はうまくいく。
実際に、S参事に確認したら、問題なくアクセスできるようになったとのこと。
とりあえず、急場はしのいだが、今後のことも考えて、Windows ネイティブのファイルシステムの「アクセス許可」のルールや方法論を確立したいもんだ。