(1)ファイルシステム
Widows2000 インストールでも触れましたが、ファイルシステムは NTFS を使用す
るようにしてください。
NTFS を使用しないと、ファイルのセキュリティ設定ができないため、大変危険 です。万一、FAT16/FAT32 のパーティションがある場合は、以下の手順で NTFS にコンバートできます。
ここでは、「ローカルディスク(D:)」が FAT32 であり、これを NTFS に変換する 作業を例として説明します。
1. 起動中のアプリケーションをすべて終了します。
2. あらかじめ、大事なデータはすべてバックアップしておきます。
3. Windows のスタートメニューで、[スタート]‑[ファイル名を指定して実行
…]を選択します。
4. 表 示 さ れ た 「 フ ァ イ ル 名 を 指 定 し て 実 行 」 画 面 で 、 名 前 の 欄 に
「convertD:/FS:NTFS」と入力し、「OK」ボタンをクリックします。
5. 下記のメッセージが表示されるので、「Y」を入力し ENTER をクリックし ます。
ファイルシステムの種類は FAT32 です。
CONVERT で D:ドライブへの排他的アクセスを実行できないため、
現時点では変換できません。次回のシステム再起動時にドライブの変換を スケジュールしますか(Y/N)?
6. 画面が自動的に閉じます。(閉じない場合は、「次回のシステム再起動時 に、変換は自動的に実行されます。」というメッセージを確認後、画面 を閉じます。)
7. システムを再起動します。
8. 起動時に下図のような画面が表示され、コンバート処理が行われます。
9. コンバート処理が完了すると自動的に再起動されます。
10. 再び Windows 2000 が立ち上がりましたら、「ローカルディスク(D:)」の プロパティにて、NTFS に変換されたことを確認します。
11. もし、ほかのドライブ「F:」などをコンバートする場合は、手順 4 で
「convertF:/FS:NTFS」と入力します。
このように、「convert」の後ろにスペースをいれ、変換するドライブ名を
(2)ファイルシステムへのセキュリティ設定
Windows 2000 では、ユーザやグループに対しフォルダ単位のアクセス権を指定 することができます。しかし、Windows 2000 をインストールした時点では、ユ ーザに関係なくローカルディスク内のファイルにアクセスできてしまいます。
ここでは、Web コンテンツの改ざんを防ぐための、「c:¥InetPub¥wwwroot」への アクセス権の設定方法を例に説明します。
1. エクスプローラを開きます。
2. セキュリティを指定するフォルダ「c:¥InetPub¥wwwroot」を開きます。
3. エクスプローラのメニューから、[ファイル]‑[プロパティ]を選択します。
4. 表示された「wwwroot のプロパティ」画面で、「セキュリティ」タブをク リックします。
5. ここでの問題点は、Everyone がすでに設定され、しかもフルコントロー ルになっていることです。
6. 「追加」ボタンをクリックして、「ユーザ、コンピュータ、またはグル ープ選択」画面を表示します。
7. 次表のグループ、ユーザを選択し、追加ボタンをクリックして以下のア クセス権限を与えます。
名前
アクセス許可 (チェックされた
許可項目)
備考
Administrators ・フルコントロール 公開用フォルダの管理と、コンテ ンツそのものの更新を行います。
コンテンツの変更者とフォルダの 管理者が異なる場合など、必要に 応じてユーザを追加し、それぞれ 設定してください。
SYSTEM ・フルコントロール Windows がアクセスするために必 要です。
AuthenticatedUsers ・読み取りと実行
・フォルダの内容の一 覧表示
・読み取り
「 AuthenticatedUsers 」 は 、
「Everyone」グループとほぼ同等 です。よって、匿名アクセス用の Windows ユーザアカウント以外も 含まれます。より厳しいセキュリ ティ設定としては、匿名アクセス 用 の ア カ ウ ン ト の み を 設 定 し ま す。
8. 「継承可能なアクセス許可を親からこのオブジェクトに継承できるよう にする」のチェックマークを外します。
9. 以下のようなメッセージボックスが表示されますが、「削除」をクリッ クします。
通常、このチェックマークは「オン」でも問題ありませんが、親フォルダのセ キュリティが変更された場合、このフォルダにもそれが影響します。場合によ っては、これが問題となる場合があるので、チェックマークを外すことにしま す。
詳細ボタンをクリックし、「wwwroot のアクセス制御の設定」画面を表示します。
wwwroot 以下のすべてのフォルダに設定を継承させるため、「すべての子オブジ ェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるよう にする」にチェックマークを付け、「OK」ボタンをクリックします。この作業 は必須ではありません。
特に、既にアクセス権の設定が行われているフォルダがある場合、その設定を 上書きしてしまいますので、注意してください。
次のようなメッセージが表示されますので、「はい」をクリックします。
プロパティ画面に戻りましたら、「OK」ボタンをクリックして画面を閉じます。
以上の設定で、「Administrators」権限を持っていないと、c:¥InetPub¥wwwroot 内のファイルを変更できなくなりました。
「AuthenticatedUsers」グループのユーザは、ファイルを書き込むことができ ないため、勝手にデータが書き変えられることはありません。これによって、
データの改ざんを予防することができます。
他のフォルダについても、設定を変更する必要があります。Windows 2000 をイ ンストールした直後は、全てのユーザに「フルコントロール」が割り当てられ ています。機密性の高いデータなどは、必ずアクセス権を設定するようにして ください。