かねみきのうふふ o(^-^)o

Windows Server 2003 で構築されたファイルサーバーでアクセス許可を設定したところ「アクセス許可を Everyone フルコントロール 拒否」にしたら，その共有フォルダの管理者（ドメインでは一般ユーザー）である自分もアクセスできなくなってしまいました．どうにかしてください．

という，絵に描いたようなトラブルが，自分の目の前で発生．Domain Admins の方々が，こうした場合の対処法を知らなかったので，教えました（もちろん解決）．

「アクセス許可」は，ネットワーク経由（\\ServerName\SharedFolderName\ でアクセスするケース）で適用される「共有アクセス許可」（[ 共有 ] タブ使用）と，ローカルでもネットワークでも適用される「NTFS によるアクセス許可」（[ セキュリティ] タブ使用）があります．今回は，フォルダのプロパティの「セキュリティ」タブ−つまり NTFS アクセス許可−で 「Everyone フルコントロール拒否」をやらかしたのでした．

ちなみに「共有アクセス許可」と「NTFSによるアクセス許可」が両方設定されている場合は，次のようなルールで，最終的なアクセス許可がわかります．

• [ 共有 ] タブで設定すると，ネットワーク経由のアクセスの場合のみ適用
• [ セキュリティ ] タブで設定すると，ローカルでも，ネットワーク経由でも，いずれのアクセスでも適用

を大前提とした上で

• 「許可」の設定は，そのユーザーに適用される「許可」のなかでいちばん範囲が広いものが適用
• 「拒否」の設定があれば，その設定が必ず有効になる
• ネットワーク経由のアクセスの場合は
  1. 「共有」タブ のアクセス許可が適用される
  2. 「セキュリティ」タブ のアクセス許可が適用される
  3. その結果，両者の共通部分のみが，実際のアクセス時に適用される

つまり [ セキュリティ ] タブで「Eveyone フルコントロール 拒否」の場合，誰もアクセスできなくなります（管理者も Everyone に含まれるため）．

この解決方法（アクセスできるようにするための復元作業）は，その設定を行ったコンピュータの Administrators のユーザーが，Administrators に対して「所有権」を取得し，アクセス許可を再設定することになります．Windows ドメインの各コンピュータの Administrators には，Domain Admins（ドメイン管理者）が含まれるので，今回はドメイン管理者に，所有権の取得と，アクセス許可の設定を行ってもらいました．

やっちゃった人，Domain Admins，みなさん真っ白になったらしいんですが...こんなの Windows ドメイン管理の基本だろー，しっかりしろよー！と思ったのは言うまでもありません．