アクセス権
親フォルダにて設定されている [許可] のアクセス権が継承されているため、
ファイル移動が制御できていないと想定されます。
弊センターの検証環境においても、お客様に頂いた資料と同様に、
D: ドライブに対して、明示的にアクセス許可の権限を付与し、
子フォルダである local を作成し、[拒否] アクセス権を付与したところ、
同様の事象を確認しております。
このことから環境の依存した挙動ではないと判断しております。
また、local フォルダ配下にファイル作成した場合は、local フォルダの移動はできず、
ファイルがない場合は可能でした。
これは local フォルダ配下のファイルおよびフォルダに対して拒否の権限が優先されているためです。
従いまして、ご対応としては、継承元である親フォルダの許可の権限を取り外すか、
local フォルダへの継承しないように設定することで、想定された動作が実現可能だと存じます。
お客様環境の運用に対する影響範囲については、サポートからは判断致しかねますため、
検証環境において、十分に検証いただき影響有無をご確認の上、
対応いただきますようお願い致します。
継承されたアクセス許可
https://technet.microsoft.com/ja-jp/library/cc726071.aspx
継承されたアクセス許可とは、親オブジェクトからオブジェクトが継承したアクセス許可のことです。
継承されたアクセス許可により、アクセス許可の管理負担が軽減され、
特定のコンテナー内のすべてのオブジェクトのアクセス許可に一貫性が確保されます。
○すべてのオブジェクトの継承
オブジェクトのアクセス許可を表示したときに、アクセス制御ユーザー インターフェイスのさまざまな部分にある
[許可] と [拒否] の各アクセス許可チェック ボックスが影付きで表示されている場合、
そのオブジェクトは親オブジェクトのアクセス許可を継承しています。
これらの継承されたアクセス許可は、[セキュリティの詳細設定] プロパティ ページの [アクセス許可] タブを使用して設定できます。
継承されたアクセス許可を変更するには、次の 3 つの方法をお勧めします。
1. アクセス許可が明示的に定義されている親オブジェクトのアクセス許可を変更します。
子オブジェクトは変更後のアクセス許可を継承します。
詳細については、「オブジェクトのアクセス許可を設定、表示、変更、または削除する」を参照してください。
2. [許可] アクセス許可を選択して、継承された [拒否] アクセス許可を上書きします。
3. [このオブジェクトの親からの継承可能なアクセス許可を含める] チェック ボックスをオフにします。
これで、アクセス許可を変更したり、[アクセス許可] ボックスの一覧からユーザーやグループを削除できます。
ただし、これ以降、このオブジェクトは親オブジェクトのアクセス許可を継承しません。
注
アクセス許可エントリ [許可] が明示的に設定されたオブジェクトでは、継承された [拒否] アクセス許可によりそのオブジェクトへのアクセスが禁止されることはありません。
注
明示的なアクセス許可は、継承された "拒否" アクセス許可を含め、すべての継承されたアクセス許可より優先されます。
アクセス許可とは
https://technet.microsoft.com/ja-jp/library/cc771375.aspx
■アクセス許可とセキュリティ記述子
ネットワーク上のすべてのコンテナーとオブジェクトには、一連のアクセス制御情報が付いています。
この情報はセキュリティ記述子と呼ばれ、ユーザーやグループに許可されるアクセスの種類を制御します。
セキュリティ記述子は、コンテナーまたはオブジェクトの作成時に自動的に作成されます。
セキュリティ記述子を持つオブジェクトの典型的な例はファイルです。
アクセス許可は、オブジェクトのセキュリティ記述子の中で定義されます。
アクセス許可は、特定のユーザーおよびグループに関連付け (割り当て) られます。
たとえば、temp.dat というファイルに対して、ビルトインの Administrators グループには "読み取り"、
"書き込み"、および "削除" アクセス許可を割り当て、Backup Operators グループには "読み取り" と
"書き込み" アクセス許可だけを割り当てることができます。
ユーザーまたはグループへのアクセス許可の個別の割り当ては、
システムではアクセス制御エントリ (ACE : Access Control Entry) として表されます。
セキュリティ記述子に含まれるすべてのアクセス許可エントリは、
アクセス許可セットまたはアクセス制御リスト (ACL) と呼ばれます。
このように、Temp.dat という名前のファイルの場合、アクセス許可セットには 2 つのアクセス許可エントリがあり、
1 つはビルトインの Administrators グループのエントリで、もう 1 つは Backup Operators グループのエントリです。
■明示的なアクセス許可と継承されたアクセス許可
アクセス許可には、次の 2 種類があります。明示的なアクセス許可と、継承されたアクセス許可です。
明示的なアクセス許可とは、オブジェクトの作成時に既定で子オブジェクト以外に設定されるアクセス許可のこと、
または子オブジェクト以外、親オブジェクト、子オブジェクトに対してユーザー操作によって設定されるアクセス許可のことです。
継承されたアクセス許可とは、親オブジェクトからオブジェクトが継承したアクセス許可のことです。
継承されたアクセス許可により、アクセス許可の管理負担が軽減され、特定のコンテナー内のすべてのオブジェクトのアクセス許可に一貫性が確保されます。
既定の設定では、コンテナー内のオブジェクトは、作成時にそのコンテナーのアクセス許可を継承します。
たとえば、MyFolder というフォルダーを作成すると、このフォルダー内に作成されるすべてのサブフォルダーとファイルは
MyFolder フォルダーのアクセス許可を自動的に継承します。
このため、MyFolder は明示的なアクセス許可を持ち、
このフォルダー内のすべてのサブフォルダーとファイルは継承されたアクセス許可を持つことになります。
※注
継承された "拒否" アクセス許可によって、オブジェクトに明示的な "許可" アクセス許可エントリがある場合に、
そのオブジェクトにアクセスできないようにします。
明示的なアクセス許可は、継承された "拒否" アクセス許可を含め、すべての継承されたアクセス許可より優先されます。
ファイルとフォルダーのアクセス許可に対する継承の影響
https://technet.microsoft.com/ja-jp/library/cc731500%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
親フォルダーにアクセス許可を設定すると、そのフォルダー内に作成された新規ファイルとサブフォルダーは、
これらのアクセス許可を継承します。
新規ファイルとそのサブフォルダーにアクセス許可を継承させない場合は、
親フォルダーに特殊なアクセス許可を設定するときに、[適用先] ボックスの [このフォルダーのみ] をクリックします。
特殊なアクセス許可には、[アクセス許可] タブからアクセスできます。
特定のファイルまたはサブフォルダーにアクセス許可を継承させないようにするには、
そのファイルまたはサブフォルダーを右クリックし、[プロパティ]、[セキュリティ] タブ、
[詳細設定] の順にクリックして、[このオブジェクトの親からの継承可能なアクセス許可を含める] チェック ボックスをオフにします。
各アクセス許可に関連付けられた [許可] または [拒否] チェック ボックスが影付きの場合は、
そのファイルまたはフォルダーは親フォルダーからアクセス許可を継承しています。
継承されたアクセス許可を変更するには 3 つの方法があります。
1. 反対のアクセス許可 ([許可] または [拒否]) をオンにして、継承されたアクセス許可を上書きします。
2. [このオブジェクトの親からの継承可能なアクセス許可を含める] チェック ボックスをオフにします。
これで、アクセス許可を変更したり、アクセス許可の一覧からユーザーやグループを削除したりできます。
ただし、これ以降、このファイルまたはフォルダーは親フォルダーのアクセス許可を継承しません。
3. 親フォルダーのアクセス許可を変更すると、ファイルまたはフォルダーも変更後のアクセス許可を継承します。
ほとんどの場合、フォルダーが別の親フォルダーの競合設定を継承していない限り、
[拒否] は [許可] に優先します。
その場合、サブツリーのオブジェクトに最も近い親から継承された設定が優先します。
ファイルおよびフォルダーのアクセス許可
https://technet.microsoft.com/ja-jp/library/cc732880.aspx?f=255&MSPPError=-2147217396
アクセス許可を適用する場所を決定する
https://technet.microsoft.com/ja-jp/library/cc771309.aspx
第2回 アクセス制御リストACL (2/2)
http://www.atmarkit.co.jp/ait/articles/1407/17/news130_2.html
う~ん…なんかアクロバティックな仕事方法だなぁと。
とにかく雑
