運用ルールを明確にしないままファイルサーバを長年運用していると下記のような問題が発生します。
- 新しい共有フォルダやファイルが次々に生まれる。
- 重要なデータが無防備の状態で放置される。
運用ルールがあいまいでは、管理者側もたのまれたら断れない状況になります。
その結果、つい共有フォルダを新設したり、ついアクセス権を付与したりと、ついつい運用が緩くなりがちになります。
そして最終的に共有フォルダがただのゴミ箱に。
ですが、最初にフォルダ構成とアクセス権の2点を明確にルール化することでこの問題を防ぐことができます。
はじめにフォルダ構成をしっかりと検討しましょう!
重要なポイントは、フォルダの構成とアクセス権です。
この2点が明確に定まっていない場合、運用に失敗する可能性が高いです。
フォルダ構成について
私がおすすめしたいフォルダ構成は下図のとおりです。
管理者側であらかじめ用意しなければならないフォルダ名の先頭には数字を付与します。
これはテンキーを使用して素早くアクセスするための措置です。
部門系、目的別、ワークの3種類で構成します。
部門系フォルダの運用
部門単位で共有するためのフォルダで、自部門以外はアクセスできない設定にします。
もし他部門とファイルを共有したい場合には、後ほど紹介する目的別またはワークといったフォルダを利用します。
管理者側で第2階層までを用意します。
- 第1階層:「部」単位で作成(共有フォルダ設定)
- 第2階層:「課」単位で作成
アクセス権の設定パターンのサンプルを記載しますが、ポイントは、自部門以外がアクセスできないように制御することです。
第1階層のアクセス権
| グループ名またはユーザー名 | 共有のアクセス許可 | NTFSのセキュリティ |
|---|---|---|
| Everyone | フルコントロール | 読み取り |
| Administrators | - | フルコントロール |
共有のアクセス許可とNTFSのアクセス許可の違いが良くわからないという方は、下記のサイトをご覧になってください。
基本的に共有のアクセス許可はフルコントロールにして、NTFSのセキュリティにアクセス権の制御をすべて任せるという考え方が一般的です。
第2階層のアクセス権
| グループ名またはユーザー名 | 共有のアクセス許可 | NTFSのセキュリティ |
|---|---|---|
| 東京営業所 | ― | 書き込み |
| Administrators | ― | フルコントロール |
第2階層のポイントは、継承の無効化を行い、第1階層のアクセス権を引き継がせないようにしておきます。
その上で該当部署のグループにのみアクセス権限を与えます。
目的別フォルダの運用
部門横断的に複数部門の人達が集まるプロジェクトなどで、情報を共有するためのフォルダです。
運用が始まる前に必ず、
- このフォルダの利用目的は何?
- 管理者は誰?
- 各利用者の氏名とアクセス権(読取専用 or 編集)は?
- フォルダの容量の上限(クォータ)は?
などの運用ルールをきっちり決めておきましょう。
管理者側で第2階層までを用意します。
管理者は、プロジェクトが増えたタイミングで第2階層にフォルダを追加します。
あくまでフォルダを追加する場所は第2階層であり、第1階層はずっと1個のままです。
こうすることで、サーバアクセス時に一覧表示される共有フォルダの数が増えつづけるといった問題を防ぐことができます。
- 第1階層:「目的別フォルダ」固定(共有フォルダ設定)
- 第2階層:「プロジェクト」単位で作成
第1階層のアクセス権
| グループ名またはユーザー名 | 共有のアクセス許可 | NTFSのセキュリティ |
|---|---|---|
| Everyone | フルコントロール | 読み取り |
| Administrators | - | フルコントロール |
第2階層のアクセス権
| グループ名またはユーザー名 | 共有のアクセス許可 | NTFSのセキュリティ |
|---|---|---|
| 節電プロジェクト | ― | 書き込み |
| Administrators | ― | フルコントロール |
第2階層のポイントは、継承の無効化を行い、第1階層のアクセス権を引き継がせないようにしておきます。
その上で該当プロジェクトのメンバーのみアクセス権限を与えます。
目的別フォルダの新設には承認ルートを設定
運用するとわかりますが、様々な人がことあるごとに、あれやこれやとフォルダを追加しろと言ってきます。
言われるがままフォルダを新設していたら、また無法地帯に逆戻りです。
あらかじめ申請ルートを作成しておき、しかるべき承認のもとで作成を行います。
申請時に必要な情報を利用者へ周知徹底します。私の場合は新たに申請書フォーマットを作成しました。
- 新設するフォルダ名
- 利用目的
- 利用者の氏名と各利用者の権限種別(変更 or 読取)
- 管理者の氏名
新設するフォルダには必ずクォーターを設定し、一律○○GBに制限することを周知してください。
目的別フォルダは定期的に棚卸を実施
年に1度以上、必ず各フォルダの利用状況を確認するための棚卸を実施します。
あらかじめ目的別フォルダのアクセス権台帳を作成しておきます。
棚卸の手順としては、
- システム管理者がフォルダ別のアクセス権一覧表を出力し、各フォルダ管理者へ渡す。
- 各フォルダ管理者は、アクセス権一覧表の内容を精査し、アクセス権に不要なものがないか確認し、もしあれば該当箇所に×をつける。
- システム管理者はアクセス権一覧表を回収し、削除を実施する。
ワークフォルダの運用
他部門の人とファイルを受け渡すためのフォルダです。
メールで送ることができないサイズのファイルをこのフォルダで受け渡します。
このワークフォルダの特徴は下記3点になります。
- 誰でも書き込むことができること
- 決まった時間に前日書き込まれたファイルが自動的に削除されるようにすること
- 誰がいつ保存したものなのか、ファイルの操作履歴を取得できること
2番目の機能は時限ファイルと言います。
3番目の機能は特に重要で、管理者によって監視されている事実を利用者に周知し、機密情報が不用意に保存されないように注意を促します。
ただし、この機能はツールを使用する必要があり、もしこれができないのあればワークフォルダの運用はあきらめるべきだと思います。
使用するツールはLanScope Catがおすすめです。
管理者側で用意するのは1階層目だけです。
第1階層のアクセス権
| グループ名またはユーザー名 | 共有のアクセス許可 | NTFSのセキュリティ |
|---|---|---|
| Everyone | フルコントロール | 書き込み |
| Administrators | - | フルコントロール |
ワークフォルダで時限ファイルの設定
ワークフォルダに書き込まれたファイルは、自動的に決まった時刻になると前日のファイルが削除される必要があります。
この機能を実装するにはforfilesコマンドを利用します。
コマンドの実装例です。
ワークフォルダ内にある1日前のファイルやフォルダに対して、delとrdコマンドで強制削除します。
下記のコマンドでファイルとフォルダを削除します。
|
1 2 |
forfiles /P ”¥¥共有ファイルサーバ¥ワーク" /D -1 /S /C "cmd /c rd /S /Q @path" forfiles /P ”¥¥共有ファイルサーバ¥ワーク" /D -1 /S /C "cmd /c del /F /Q @path" |
オプションの説明
- /P 実行するパス名です。
- /D -1 1日前のファイルを抽出します。
- /S サブディレクトリに対しても処理を行います。
- /C 抽出したフィルに対して実行するコマンドを示します。
- /F 読み取り専用ファイルを強制的に削除します。
- /c で示すコマンドはダブルクォーテーションで括ります。
オプションの詳しい説明を知りたいときは、forfiles /? を実行します。
このコマンドをタスクで決まった時刻に実行すればOKです。
最後に
最近はWindowsOSを搭載した3年保証付モデルのNASがIOデータから出ていますね。
僕のところでも、ファイルサーバとして購入させていただきました。
ハードディスクは壊れやすいので、複数年の保証が付いているので安心です。
さらに、データ重複除去機能、ActiveDirectoryとの連携、接続数無制限など、機能的にも申し分ありません。
おススメです。
アイ・オー・データ機器 Windows Storage Server 2012 R2 Standard Edition搭載 2ドライブモデル NAS 2TB HDL-Z2WL2C2
