システム内部 - NTFS アクセス許可

このセクションには、MOVEit Transfer システム上での Windows フォルダーの NTFS アクセス許可に対するベストプラクティスの推奨事項が含まれています。

アクセス許可をより簡単に設定するには、新しい MOVEit システムグループを作成し、すべてのユーザーを MOVEit Transfer アプリケーションの実行環境下に保持します。次のユーザーをグループに追加します。このグループを作成し、以下に説明したようにアクセス許可を適用したら、これらのアクセス権が有効になるようにマシンを再起動します。これは、一部のユーザーが再起動中にのみサインオンするためです。

ユーザー/グループ	説明
システム	組み込み LocalSystem アカウント (MOVEit のスケジュールされたタスクで使用)
IUSR_...	組み込み匿名 Web アクセスアカウント (オンラインアプリケーションで使用)
IWAM_...	組み込み匿名 Web アクセスアカウント (オンラインアプリケーションで使用)
ASPNET	組み込み ASP.NET アカウント (オンラインアプリケーションで使用)

次の表には、MOVEit システムグループと管理者グループに割り当てるアクセス許可を示しています (管理者にはアプリケーションをインストール/更新するためのアクセス許可が必要です)。

推奨: まず、これらのアクセス許可を適用する前に、MOVEit Transfer を 1 回以上インストールします (MOVEit Transfer は、ディレクトリ構造を設定します)。デフォルトでは、読み取りアクセス許可が割り当てられており、一覧表示および実行アクセス許可が含まれています。

Windows フォルダー	管理者	MOVEit システム
(isapiroot)	フル	読み取り/実行/一覧表示
(mysqlroot)	フル	フル
(nonwebroot)	フル	読み取り/実行/一覧表示
(nonwebroot)\certs	フル	フル
(nonwebroot)\com	(継承)
(nonwebroot)\files	フル	フル
(nonwebroot)\installscripts	フル	(なし)
(nonwebroot)\logs	フル	フル
(nonwebroot)\messagefiles	(継承)
(nonwebroot)\scheduler	フル	フル
(nonwebroot)\util	フル	(なし)
(program files)\moveit	フル	読み取り/実行/一覧表示
(webroot)	フル	読み取り/実行/一覧表示
(webroot)\bin	(継承)
(webroot)\COM	(継承)
(webroot)\doc	(継承)
(webroot)\images	(継承)
(webroot)\images\bullets	(継承)
(webroot)\images\customscheme	(継承)
(webroot)\images\instlogos	フル	フル
(webroot)\templates	フル	フル

より厳格な NTFS 制御が必要な場合は、次の変更を行うことをお勧めします。

• MySQL をデータベースエンジンとして使用している場合は、MySQL を別のユーザーコードで実行します (デフォルトでは、SYSTEM となっています)。MOVEit システムから (mysqlroot) フォルダーへのアクセス許可を削除し、代わりに、特定の MySQL ユーザーへのアクセス許可を承認します。
• すべての外観の変更を MOVEit Transfer インターフェイスからではなく手動で実行する必要があるポリシーを採用します。この変更によって、(webroot)\images のセキュリティ設定をサブフォルダーに反映できます。
• MOVEit Transfer でスケジュールされたタスクが実行されるユーザーコードを変更します (デフォルトでは、SYSTEM となっています)。この情報を使用して、MOVEit システムグループを更新します。
• (nonwebroot)\scheduler フォルダーへのアクセスを、MOVEit Transfer でスケジュールされたタスクが実行されるユーザーのみに限定します。