Upload
noro-seiji
View
610
Download
1
Embed Size (px)
Citation preview
ファイル権限デザイナー
VER 2.0 企画書 2013年3月7日
リリース時期は未定です。
株式会社エクシード・ワン( Exceedone Co., Ltd. )
野呂清二( Seiji Noro )
• http://www.facebook.com/seiji.noro
URL
• http://www.exceedone.co.jp
• http://tech.exceedone.co.jp
• http://www.office365room.com
はじめに
2011年7月発売からはや1年半経過し、たくさんの企業様に導入していただいています。
いくつかのご要望を受けVer2の開発について検討するために今回の企画を作成しています。
イメージキャラクター
ファイル権限デザイナーとは
(弊社紹介サイト)
http://fad.exceedone.co.jp/product_info
インストールが不要な「Windowsのフォルダやファイルのアクセス権限を設定・確認するためのセキュリティ対策ソフト」です。
フォルダやファイルのアイコンをクリックして、アクセス権限を追加/変更/削除することが可能です。
アクセス権限の一覧をツリー階層で表示したり、Excel形式で出力したりするレポート機能も装備しています。
ドメイン環境においては、グループに所属するメンバ情報の参照も可能です。
ファイル権限デザイナーとは
(ベクター紹介サイト)
http://www.vector.co.jp/magazine/softnews/121004/n1210041.html
アクセス権限のメンテナンスを大幅に省力化してくれる管理ソフト
一部抜粋
ローカルマシン上やサーバ上のファイル/フォルダに対するアクセス権限を変更したり、設定状況をレポートとして出力したりできるソフト。 「ファイル権限デザイナー」は、エクスプローラ風の画面で、ファイル/フォルダのアクセスに関する権限を管理できるソフト。フォルダツリー+ファイルリストでファイル/フォルダを選択すると、当該アイテムのアクセス権限をユーザアカウントごとやグループごとに一覧形式で表示してくれる。「アクセス権限がどのように設定されているか」を容易に確認でき、設定ミスの低減や安全性の向上に役立つ。ネットワーク接続にも対応し、一度ネットワークを登録しておくと、以降はワンタッチで簡単に接続できる。
VER2で実装する機能(予定)
VER2で実装する機能候補
Windows2012/Windows8対応(NTFSのみ)
権限変更ログ(Eventlog or Text)
ファイル一覧の名前昇順ソート
アカウント名だけでなく表示名を追加する
親と子の権限のチェックの仕様変更
WINDOWS2012/WINDOWS8対応
(NTFSのみ)
Win APIの確認
Windows2012/Windows8からカーネルが変わりましたので、直接 Win APIをよんでいるところの確認が必要になります。
.NET Frameworkランタイムの確認
ファイル権限デザイナーは現在 .NET Framework2.0を対象に開発されています。
Windows2012/Windows8標準インストールで.NET
Frameworkの状態を確認して対応する必要があります。
参考
.NET Frameworkのバージョンを整理するhttp://www.atmarkit.co.jp/ait/articles/1211/16/news09
3.html
権限変更ログ(EVENTLOG OR TEXT)
ファイル権限変更操作時に
Textファイルに変更内容を出力する。
Eventlogに変更内容を出力する。
検討事項
操作したPC or 操作されたPCどちらに
ログを出力するか検討する。
ファイル権限変更操作
ファイル権限変更
Eventlogに
変更内容出力
Txtファイルに
変更内容出力
ファイル一覧の名前昇順ソート
ファイル一覧を取得時にまれにソート順番がおかしくなる場合がある。
.NET Frameworkの関数を使用しているが、ファイル名ソートを保障していないので、プログラムにてソートする必要がある。
以下の赤枠のところのフォルダー・ファイル一覧のソート
アカウント名だけでなく表示名を追加する
アカウント名の近くに、表示名を追加する。
表示名を
追加
表示名を
追加
親と子の権限のチェックの仕様変更 1/3
仕様変更により改善される内容
Visa/2003の権限の上位継承問題によるチェックされない点についての対応します。 フォルダーの移動時に、権限情報をもったまま移動されるので、移動先の上位フォルダーとは権限継承フラグがついていても、上位の権限とは全く異なる状態になります。
現在のファイル権限デザイナーの仕様ですと、このような場合には発見できない場合があります。
参考:http://support.microsoft.com/kb/320246/ja
継承している権限に追加設定した場合チェックされないパターンが存在している点についての対応します。 現在のファイル権限デザイナーの仕様ですと、権限継承されているACE権限を追加されてたときに、上位と異なると発見できない場合があります。(Windowsが内部でACEを分割した場合は発見できる。)
親と子の権限のチェックの仕様変更 2/3
現在の仕様(プログラム) ①[DIFF(継承しているが追加設定あり(親権限と異なる))]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の項目にチェックが入っている場合 AND 継承なしACE(アクセス制御エントリ)が"1件以上“
②[空白(継承している(完全一致))]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の項目にチェックが入っている場合 AND 継承なしACE(アクセス制御エントリ)が"0件"
③[NIF(継承していない)] 「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の項目にチェックが入っていない場合
※参考ドキュメント(ACE,DACL) http://www.atmarkit.co.jp/fwin2k/win2ktips/700whatisacl/
whatisacl.html
親と子の権限のチェックの仕様変更 3/3
新しい仕様(プログラム) ①[NIF(継承していない)]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の項目にチェックが入っていない場合
②[空白(継承している(完全一致))] ロジックの高速化のため以下のようなプログラムロジックにします。
NT Accountの数が異なる場合は③にして終了します。
親から全部のACEをNT Account単位でチェックして、異なる権限を発見したら、③にして終了します。 ※フォルダーにはファイルとは異なり適用範囲があるので、そのフラグは除外して比較します。
③[DIFF(継承しているが (親権限と異なる))]
課題
全フォルダー・ファイル単位にてNT Account単位で権限チェックが必要になりますので、プログラムロジックを工夫して高速化すると同時に、非同期実行にて、効率よくプログラムを実行する必要があります。
その他要望のある機能
その他要望のある機能
ADのマルチドメイン環境での使用について ADがマルチドメイン時にSIDとNTアカウントの紐付についての正式サポートしてほしい。
SID履歴を使用したアカウント名の名前解決 AD移行時に、SIDはADのSID履歴に入り新しいSIDが付与されます。 しかしながら、ファイル権限には旧SIDがそのまま使用されています。 ファイル権限の旧SIDで、アカウント名の名前解決ができないので、ADのSID履歴を検索して名前を解決する必要があります。
コマンドライン機能 コマンドラインからファイル権限デザイナーを使用して、バッチ処理をしたい。
タイマー機能 権限の設定変更を人事異動発令時にしたい。
定期的にファイル権限一覧を取得したい。