共有の奥深くにあるサブフォルダーを完全に制御できるサービス アカウントがあります。共有のルートでアクセス ベースの列挙が有効になっていますが、このサービス アカウントにはルートでの権限がありません。このサービス アカウントを使用するアプリケーションは、共有のサブフォルダーにファイルを移動または書き込もうとすると、アクセス拒否エラーをスローします。
権限を継承するには、ルートでこのサービス アカウントに権限を付与する必要がありますか? または、サブフォルダーの権限で十分ですか? アクセス ベースの列挙が権限とどのように結びつくのか知りたいだけです。
答え1
はい、ルート フォルダに対する権限を与える必要があります。フォルダにアクセスするアカウントには、少なくとも上位フォルダすべてに対する読み取り権限が必要です。そうでない場合、このアカウントはこのサブフォルダの存在を「知る」ことすらできず、アクセスできません。
たとえば、ユーザーに \\myshare\folderA\myfolder へのアクセスを許可する場合は、\\myshare\folderA に (少なくとも) 読み取り権限を追加する必要があります。
このフォルダーを他のユーザーから隠すのが目的の場合は、フォルダー自体を共有にして、共有名の末尾にドル記号を追加して非表示にします (\\myshare\folderA$ など)。このフォルダーはエクスプローラーに表示されず、パスを入力してのみアクセスできます。