【Windows】特定の利用者にのみフォルダの変更を許可し削除を禁止する詳細権限設定

共有フォルダの運用で、特定の利用者にファイルの変更は許可しつつ、誤ってファイルを削除してしまう事態を防ぎたいと考えるビジネスマンは多いでしょう。

Windowsの詳細なアクセス権限設定を利用すれば、このようなきめ細やかな制御が可能です。

この記事では、特定の利用者にフォルダの変更を許可し、かつ削除を禁止するための具体的な設定手順を解説します。

特定の利用者にフォルダの変更と削除禁止を適用する仕組み

Windowsのファイル共有において、アクセス権限は「共有アクセス許可」と「NTFSアクセス許可」の2種類で管理されます。共有アクセス許可はネットワーク経由でのアクセスを制御し、NTFSアクセス許可はファイルシステムレベルでの詳細な操作を制御します。両方の権限が「許可」である場合にのみ、操作が可能となります。

特定の利用者に「フォルダの変更を許可し、削除を禁止する」という要件を実現するには、NTFSアクセス許可の詳細設定を使います。NTFSアクセス許可は、ファイルやフォルダ単位で非常にきめ細やかな権限管理を可能にします。特に重要な原則として、設定された「拒否」の権限は「許可」の権限よりも常に優先されるという点があります。これにより、たとえ上位のフォルダで「削除」が許可されていても、特定のフォルダで「削除」を「拒否」に設定すれば、そのフォルダ内での削除操作は禁止されます。

この設定を行うには、対象のフォルダがNTFSフォーマットのドライブ上に存在している必要があります。また、権限設定を変更するためには、管理者権限を持つアカウントでの操作が必要です。

特定の利用者にフォルダの変更と削除禁止を許可する設定手順

ここでは、特定の利用者が共有フォルダ内のファイルを変更できるものの、削除はできないようにする詳細なNTFSアクセス許可を設定する手順を解説します。Windows 11を基準に説明しますが、Windows 10でも同様の操作で設定できます。

1. 対象フォルダのプロパティを開く
   アクセス権限を設定したいフォルダを右クリックし、表示されるコンテキストメニューから「プロパティ」を選択します。
2. 「セキュリティ」タブへ移動する
   プロパティウィンドウの上部にある「セキュリティ」タブをクリックします。
3. 「編集」ボタンをクリックする
   「セキュリティ」タブ内にある「編集」ボタンをクリックして、アクセス許可の設定変更画面を開きます。
4. 「追加」ボタンでユーザーを追加する
   「グループ名またはユーザー名」に、権限を設定したい特定の利用者のアカウントがリストにない場合、「追加」ボタンをクリックします。
   「ユーザーまたはグループの選択」ウィンドウが表示されたら、「選択するオブジェクト名を入力してください」の欄に、権限を設定したいユーザー名またはグループ名を入力し、「名前の確認」をクリックします。名前が正しく解決されたら「OK」をクリックして追加します。
5. 現在の権限を確認する
   追加したユーザーまたはグループを選択し、下部の「アクセス許可」欄で現在の設定を確認します。多くの場合、「変更」などの権限が「許可」になっているはずです。
6. 「詳細設定」を開く
   「セキュリティ」タブに戻り、下部にある「詳細設定」ボタンをクリックします。これは詳細なアクセス許可を設定するために必要です。
7. 権限の継承を無効にする
   「セキュリティの詳細設定」ウィンドウが開いたら、左下の「継承を無効にする」ボタンをクリックします。
   これにより、親フォルダから継承されていたアクセス許可が解除され、このフォルダ固有のアクセス許可を設定できるようになります。
8. 継承されたアクセス許可の処理を選択する
   「セキュリティの詳細設定」ダイアログが表示されたら、「このオブジェクトのアクセス許可を継承されたアクセス許可に変換します」を選択し、「OK」をクリックします。これにより、既存の継承された権限が明示的な権限に変換されます。
9. 対象ユーザーのアクセス許可を編集する
   「セキュリティの詳細設定」ウィンドウで、権限を設定したいユーザーまたはグループを選択し、「編集」ボタンをクリックします。
10. 「基本的なアクセス許可」を設定する
    「アクセス許可エントリ」ウィンドウが開いたら、「基本的なアクセス許可」の項目で、「変更」の「許可」チェックボックスがオンになっていることを確認します。
11. 「詳細なアクセス許可」を設定する
    「アクセス許可エントリ」ウィンドウの下部にある「詳細なアクセス許可の表示」をクリックします。
    以下の項目で「拒否」にチェックを入れます。
    ・「ファイルの削除」の「拒否」
    ・「サブフォルダとファイルの削除」の「拒否」
    その他の項目は必要に応じて設定しますが、基本的には「ファイルの作成/データの書き込み」、「フォルダの作成/データの追加」など、変更に必要な権限は「許可」のままにしておきます。
12. 設定を適用して閉じる
    すべての設定が完了したら、「OK」ボタンを繰り返しクリックして、開いているすべてのウィンドウを閉じます。
13. 設定の動作を確認する
    設定したユーザーアカウントでサインインし、ネットワーク経由で対象の共有フォルダにアクセスします。ファイルの内容変更ができること、およびファイルの削除ができないことを確認します。

フォルダ権限設定における注意点とよくある失敗

詳細なフォルダ権限を設定する際には、いくつかの注意点があります。設定ミスは意図しないアクセス制限やセキュリティリスクにつながる可能性があるため、以下の点に留意してください。

権限の継承を解除し忘れてしまう

親フォルダから継承されたアクセス許可が有効なままだと、その権限が優先されてしまい、意図した詳細な設定が適用されないことがあります。特に「削除」を拒否したい場合、親フォルダで「削除」が許可されていると、子フォルダでの拒否設定が正しく機能しない場合があります。必ず「継承を無効にする」操作を行い、そのフォルダ固有のアクセス許可を設定してください。

共有アクセス許可とNTFSアクセス許可の混同

共有アクセス許可はネットワーク経由でのアクセスを許可するかどうかを大まかに制御します。NTFSアクセス許可は、その許可された範囲内で、さらに詳細な操作を制御します。この二つの権限は別々に設定する必要があり、より制限の厳しい方が適用されます。例えば、共有アクセス許可で「読み取り」のみを許可している場合、NTFSアクセス許可で「変更」を許可しても、ネットワーク経由では変更できません。両方の権限が適切に設定されているか確認してください。

拒否設定の過度な利用

「拒否」の権限は「許可」の権限より常に優先されます。そのため、安易に「拒否」を設定しすぎると、意図しないユーザーがフォルダにアクセスできなくなるなど、システム全体の運用に支障をきたす可能性があります。必要最小限の「拒否」設定に留め、基本的には「許可」でアクセスを制御するように心がけてください。

ネットワーク経由でのアクセス確認

フォルダの権限設定後、必ず設定した特定のユーザーアカウントで、ネットワーク経由で対象の共有フォルダにアクセスし、動作を確認してください。ローカルで管理者アカウントから確認するだけでは、実際のネットワークアクセス時の挙動と異なる場合があります。複数のユーザーで確認すると、より確実な検証ができます。

共有アクセス許可とNTFSアクセス許可の比較

Windowsのファイル共有における二つの主要なアクセス許可設定について、その特徴を比較します。

この記事で解説した手順により、Windowsの共有フォルダにおいて、特定の利用者にファイルの変更を許可しつつ、削除を禁止する詳細な権限設定ができるようになりました。

設定後は必ず、対象のユーザーアカウントでネットワーク経由の動作確認を行い、意図した通りに機能するかを検証してください。

この詳細なNTFSアクセス許可の設定は、企業のファイルサーバー運用におけるセキュリティ強化や、誤操作防止に役立てることができます。