Contenu connexe Similaire à Plan of "File Authority Designer" Ver. 2 (20) Plan of "File Authority Designer" Ver. 2 1. ファイル権限デザイナー
VER 2.0 企画書 2013年3月7日
リリース時期は未定です。
株式会社エクシード・ワン( Exceedone Co., Ltd. )
野呂清二( Seiji Noro )
• snoro@exceedone.co.jp
• http://www.facebook.com/seiji.noro
URL
• http://www.exceedone.co.jp
• http://tech.exceedone.co.jp
• http://www.office365room.com
2. はじめに
2011年7月発売からはや1年半経過し、たくさんの企業
様に導入していただいています。
いくつかのご要望を受けVer2の開発について検討する
ために今回の企画を作成しています。
イメージキャラクター
7. WINDOWS2012/WINDOWS8対応
(NTFSのみ)
Win APIの確認
Windows2012/Windows8からカーネルが変わりましたの
で、直接 Win APIをよんでいるところの確認が必要になりま
す。
.NET Frameworkランタイムの確認
ファイル権限デザイナーは現在 .NET Framework2.0を対
象に開発されています。
Windows2012/Windows8標準インストールで.NET
Frameworkの状態を確認して対応する必要があります。
参考
.NET Frameworkのバージョンを整理する
http://www.atmarkit.co.jp/ait/articles/1211/16/news09
3.html
8. 権限変更ログ(EVENTLOG OR TEXT)
ファイル権限変更操作時に Txtファイルに
変更内容出力
Textファイルに変更内容を出力する。
Eventlogに変更内容を出力する。
検討事項
操作したPC or 操作されたPCどちらに
Eventlogに
ログを出力するか検討する。 変更内容出力
ファイル権限
変更操作
ファイル権限
変更
9. ファイル一覧の名前昇順ソート
ファイル一覧を取得時にまれにソート順番がおかしくな
る場合がある。
.NET Frameworkの関数を使用しているが、ファイル名
ソートを保障していないので、プログラムにてソートする必要
がある。
以下の赤枠のところのフォルダー・ファイル一覧のソート
11. 親と子の権限のチェックの仕様変更 1/3
仕様変更により改善される内容
Visa/2003の権限の上位継承問題によるチェックされない点
についての対応します。
フォルダーの移動時に、権限情報をもったまま移動されるので、移動先の上位フォルダーとは権限継承フ
ラグがついていても、上位の権限とは全く異なる状態になります。
現在のファイル権限デザイナーの仕様ですと、このような場合には発見できない場合があります。
参考:http://support.microsoft.com/kb/320246/ja
継承している権限に追加設定した場合チェックされないパ
ターンが存在している点についての対応します。
現在のファイル権限デザイナーの仕様ですと、権限継承されているACE権限を追加されてたときに、上位
と異なると発見できない場合があります。(Windowsが内部でACEを分割した場合は発見できる。)
12. 親と子の権限のチェックの仕様変更 2/3
現在の仕様(プログラム)
①[DIFF(継承しているが追加設定あり(親権限と異なる))]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の
項目にチェックが入っている場合
AND
継承なしACE(アクセス制御エントリ)が"1件以上“
②[空白(継承している(完全一致))]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の
項目にチェックが入っている場合
AND
継承なしACE(アクセス制御エントリ)が"0件"
③[NIF(継承していない)]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の
項目にチェックが入っていない場合
※参考ドキュメント(ACE,DACL)
http://www.atmarkit.co.jp/fwin2k/win2ktips/700whatisacl/
whatisacl.html
13. 親と子の権限のチェックの仕様変更 3/3
新しい仕様(プログラム)
①[NIF(継承していない)]
「子オブジェクトに適用するアクセス許可エントリを親から継承し、…」の項目に
チェックが入っていない場合
②[空白(継承している(完全一致))]
ロジックの高速化のため以下のようなプログラムロジックにします。
NT Accountの数が異なる場合は③にして終了します。
親から全部のACEをNT Account単位でチェックして、異なる権限を発見した
ら、③にして終了します。
※フォルダーにはファイルとは異なり適用範囲があるので、そのフラグは除外
して比較します。
③[DIFF(継承しているが (親権限と異なる))]
課題
全フォルダー・ファイル単位にてNT Account単位で権限チェックが必
要になりますので、プログラムロジックを工夫して高速化すると同時に、
非同期実行にて、効率よくプログラムを実行する必要があります。
15. その他要望のある機能
ADのマルチドメイン環境での使用について
ADがマルチドメイン時にSIDとNTアカウントの紐付についての正
式サポートしてほしい。
SID履歴を使用したアカウント名の名前解決
AD移行時に、SIDはADのSID履歴に入り新しいSIDが付与され
ます。
しかしながら、ファイル権限には旧SIDがそのまま使用されていま
す。
ファイル権限の旧SIDで、アカウント名の名前解決ができないので、
ADのSID履歴を検索して名前を解決する必要があります。
コマンドライン機能
コマンドラインからファイル権限デザイナーを使用して、バッチ処理
をしたい。
タイマー機能
権限の設定変更を人事異動発令時にしたい。
定期的にファイル権限一覧を取得したい。