Windows Server上のアクセス権がない共有フォルダーを見えなくする方法

Windows Serverをファイルサーバーとして使用し、そのファイル共有機能を利用して複数のユーザー間で、ファイルを共有している環境はかなり多いと思います。
そして運用を始めてからしばらく経つと、ユーザーからこんな要望があがってくることがあります。

アクセス権がない共有フォルダーが見えてしまうのは困る！見えなくできないの？

通常ファイルサーバーは、セキュリティー上の理由からアクセスできる範囲を可能なかぎり限定するのが一般的です。

たとえば履歴書を電子データ化したものなど、個人情報が記されたファイルをファイルサーバーの共有フォルダーに保存している場合、そういったファイルが全ユーザーがアクセス可能な場所に保存してあったとしたら、大問題ですよね。
こういったファイルは多くの場合、採用業務を行う人事部門だけがアクセスできれば良いはず。
そのため人事部門の人だけがアクセスできる共有フォルダーを用意※し、そこに配置しておくべきでしょう。

ただWindows Serverの共有フォルダーは、アクセス権がないユーザーでも表示だけは可能(中身を見れるわけではなく、ファイル名やフォルダー名がエクスプローラー上に表示される)、という設定になっていることがあります。
そして実際にアクセスしようとすると、以下のような『ネットワークエラー xxxに対するアクセス許可がありません。ネットワーク管理者にアクセス許可を要求してください。』というメッセージが表示され、アクセスが拒否されます。

こういった設定・動作では、表示されてはいるものの、ユーザーがアクセスを許可されていないファイルやフォルダーの中身を閲覧したり、実行プログラムを実行することはできません。
ところが表示自体はされているので、アクセス不可のフォルダーであっても、そのフォルダー名などを見ることができてしまうのです。

ファイル名やフォルダー名から内容の詳細を推測するのは難しいですが、場合によってはある程度内容が推測できてしまうケースもあるでしょう。

また、□□さんはアクセスできるのに、どうして私は○○フォルダーにアクセスできないの！？
おかしいでしょ！今すぐなおしなさい！といったように、トラブルの原因となる可能性も考えられます。

だからこういった問題を防ぐために、アクセス権がない共有フォルダーが見えてしまうのは困る！見えなくできないの？
といった要望があがってくることがあるのです。

これについては結論から言いますと、現在使用されている多くのWindows Serverであれば可能です。※
そこで今回は、Windows Server上のアクセス権がない共有フォルダーを見えなくする方法をご紹介します！

※以前のバージョンのWindows Serverでは利用できませんが、本エントリー執筆時点でサポートされているServer OSであればすべてのバージョンで利用可能です。また一般向けのOSであるWindows 10などでは使用できません。

アクセス権がない共有フォルダーを見えなくする方法

Windows Server上のアクセス権がない共有フォルダーを見えなくしたい場合、ABE(Access-based Enumeration) ＝ アクセス ベースの列挙という機能を使用します。

現状、ABEは一般向けのWindowsには搭載されていません。
そのためWindows 10などのOSでは、先にも書いたとおり、この機能を使ってアクセス権がない共有フォルダーを見えなくすることはできないのです。

さて、それではさっそく。
アクセス権がない共有フォルダーを見えなくする設定について、順を追って説明していきましょう。

設定は以下の手順で行います。

※下記説明ではWindows Server 2016のWORKGROUP環境を例に説明していますが、AD環境でも同様の設定で対応可能です。(ローカルアカウントを、ADアカウントに置き換えて考えてください。)

共有するフォルダーを作成する

まずは共有するフォルダーを作成しましょう。

本説明では、Cドライブの配下に以下構成の『share』というフォルダー(C:\share)を作成し、共有設定することとします。

共有フォルダーのアクセス権の設定に使用するユーザー、グループを作成する

共有フォルダーのアクセス権の設定は、個別に各ユーザーを追加すると効率が悪いです。
そこで同じアクセス権を設定するユーザーをまとめたグループを作成し、そのグループに対してアクセス権を設定することが多いでしょう。

今回は以下2ユーザーを作成し、『test』ユーザーのみ『test-group』グループのメンバーとします。

共有するフォルダーにNTFSアクセス許可の設定を行う

共有するフォルダーと、アクセス権の設定に使用するユーザーやグループの準備ができたら、フォルダーに対してアクセス権の設定を行います。

ファイル共有のアクセス権の設定には、共有アクセス権とNTFSアクセス権(NTFSアクセス許可)の2つの設定項目が存在します。
ただしABEを使用する場合、NTFSアクセス許可の設定でアクセス権を制御する必要があります。

したがって現在運用中のファイルサーバーのアクセス権の設定を、共有アクセス権で制御している場合には、NTFSアクセス許可での制御に切り替えなければなりません。

NTFSアクセス許可の設定変更は、多数のファイルやフォルダーを含むフォルダーに対して行うと非常に時間がかかる。
変更中は共有フォルダーに対するアクセス速度が著しく低下する、といった問題が起こるため、設定変更は利用者が少ない時間に行うと良いでしょう。

共有アクセス権とNTFSアクセス権(NTFSアクセス許可)については、以前にくわしく書いているので、興味がある方は併せて以下も参照ください。

参考：ファイル共有はNTFSアクセス権と共有アクセス権のどちらで設定？

繰り返しになりますが、ABEを使用する場合はNTFSアクセス許可でアクセス権の設定をしなければなりません。

そのため『share』というフォルダー(C:\share)を共有フォルダーに設定。
そしてこのフォルダーに対し、共有アクセス権でEveryoneフルコントロール 許可に設定し、共有アクセス権ではすべてのアクセスを許可設定とします。

この説明に使用しているWindows Server 2016では、NTFSアクセス許可については初期設定のままでも、『test-group』グループと『other』ユーザーの両方が読み書き可能となるはずなので、設定の変更は不要です。

ただしこのままでは、このNTFSアクセス許可を継承している『share』フォルダー配下の『child-A』フォルダーと『child-B』フォルダーは、『test-group』グループと『other』ユーザーの両方が読み書き可能となっています。

そこで『child-A』フォルダーは、『test-group』グループのみが読み書き可能となるように、NTFSアクセス許可の継承を無効化し、設定を変更してください。

ここまでの手順により、『share』フォルダーは仕様どおりのアクセス権の設定が行われた状態で共有されており、『test』ユーザーと『other』ユーザーのどちらの資格情報でアクセスしても、以下のように2つのフォルダーを見ることができます。

DELL 充電池 Y4367 310-5351  7200mAh 11.1V
DELL 充電池 Y4367 310-5351  4800mAh 11.1V
HTC 充電池 B0PGE100  2840 mAh/10.87Whr 3.83 DVC
LENOVO 充電池 L13M4P21 L13L4P21  4600MAH 7.4V
ASUS 充電池 A32-K53 A42-K53  5200mah 10.8V
ASUS 充電池 A41-K53 A42-K53  9 CELL 10.8V (11.1 Volt compatible)
PA- 1900-24,ADP-65DB 互換ノート用ACアダプター Asus K53JS/K53JT/K53S/K53SA Laptop
HASEE 充電池 SSBS19 SSBS20  3200mAH 7.4V
GIGABYTE 充電池 GNC-C30 4300mAh/47.73Wh 10.8/11.1V