NTFS

メモリまたはディスクの空き容量が不足しているため、ドキュメントを開いたり、保存したりできません。 不要なブックやプログラムを終了して、メモリの空き容量を増やしてください。 ディスクに保存されている不要なファイルを削除して、ディスクの空き容量を増やしてください。 こんなメッセージがある時から頻繁にでるようになってしまいました。特に - Outlookで貰ったメールについていた添付ファイルをそのまま開こうとした時 - ブラウザでダウンロードしたOfficeファイルを開こうとした時 に、このメッセージがでて開けず困っていました。はじめはOutlookだけで事象を確認していて、iPhoneアプリからは閲覧できたので、Outlookのダウンロード周りの中で何かファイルが壊れるようなバグが紛れ込んでしまったのかな？そのうち治るだろう…なんて思っていました。Outlookの添付ファイルを開く操作は以前からずっと問題なくできていたので。 でも、今日、ブラウザからのダウンロードしたファイルでも同様の症状となったので、Outlookのせいではないなと気が付きまして…。 結局、ダウンロードしたファイルがセキュリティ的に危ないから開けないようにOffice側でブロックしているのが原因だったようです。(マニアックな方向け：NTFS代替えストリームの中身を見て、開いて良いファイルかどうかの判別が入るように何処かでOffice側に変更入った模様です。) ファイルのプロパティを開いて、「ブロックの解除」をしてあげればファイルが開けるようになることを確認しました。 (追記)単に「ブロックの解除」だけではだめで、ファイル名を変更してあげる必要があるものもありました。規則性不明です。 でも、これだと、Outlookの添付ファイルをそのまま開くアクションはできないよなぁ…と思います。Office側のセキュリティ設定を緩めれば開けるようになりそうですがとりあえず回避策はわかったのでそのまま運用してみようと思ってます。

今回はアクセス権の話です。主にファイルサーバーの運用時のお話になると思いますが、ファイル共有はいつでもどこでも(クライアントOSでも)簡単にできますので、すべてに関連するお話ですのでしっかり押さえておきましょう。 NTFSアクセス権 まずはNTFSアクセス権です。これはNTFSでフォーマットされたドライブであれば、すべてのフォルダ、ファイルが持っています。逆に言うと、FATでフォーマットされている場合にはファイルシステムとしてのアクセス権は設定できません。なので、この点だけをみてもNTFSアクセス権を採用すべきなわけです。 適当にファイルやフォルダのプロパティを開くと、「セキュリティ」タブがあります。 ここで、誰がどのような権限を持つかということを詳細に設定できます。エントリを追加するには[追加]を押して、エントリを追加し、アクセス権を設定することができます。 NTFSアクセス権の継承 新しいエントリは追加できますが、すでに登録されているエントリ(上記の例だとAdministratorsの権限)に関してはグレーアウトされていて編集できません。これはNTFSアクセス権が”継承”されているためです。継承の様子は[詳細設定]の中で確認できます。 つまり、上の階層で設定されたセキュリティの設定は基本的に子供は受け継ぐようにできているのです。自由に編集できるようにするためには明示的に継承をしないようにさせる必要があります。 この操作は[詳細設定]の中の[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める]という長ったらしいチェックボックスを外すことで実現できます。 チェックボックスを外そうとすると上記のように説明がなされて、現在の設定をコピーするのか、一度すべて削除するのかを選択することができます。どちらを選んでも最終的に設定したいことに変化があるわけではないので、つど、効率の良い方を選べばよいです。 上記の画像は[コピー]を選んだ場合ですが、継承元がすべて[継承なし]になり今まで編集できなかったエントリも編集できるようになっていることがわかります。 自由にアクセス権をつけるためにはバンバン継承を切る必要があり、そうすればいくらでも自由に設定できるのですが、はたしてそれで管理上良いのか?という問題が残ります。場合にもよりますが、たいていの場合はあまり良いことではないでしょう。 このあたりの話はファイルサーバーの設計の話にもつながってくるので詳細は別のエントリで書きたいと思います。 所有者 [詳細設定]ボタンの中に[所有者]というタブがあります。 ここではフォルダ、ファイルの現在の所有者の確認と、所有者の変更が行えます。つまり、他の人が作ったフォルダ、ファイルを自分のものにしてしまえるわけです。 何のためにこのような機能があるのかというと、管理者がきちんと全てのフォルダ、ファイルを管理できるようにするためです。この機能がないと、誰かが誰も触れないようなセキュリティ設定をしてしまった後で、そのアカウントすら(退社などで)消してしまったような時に打つ手がなくなってしまうからです。 共有のアクセス権 共有のアクセス権はフォルダのプロパティの[共有]タブ内の[アクセス許可]から設定できます。 NTFSのアクセス権と比べるとはるかにシンプルです。権限も3種類しかありませんし、継承という概念もありません。 共有のアクセス権とNTFSのアクセス権の適用タイミング それぞれの設定がどのように適用されるのか、というと、以下のようなルールになっています。 ファイル共有を経由したアクセスの時にのみ共有のアクセス権が適用される 同じファイル、フォルダへのアクセスであっても、別のファイル共有を経由してアクセスした場合には、異なる共有アクセス権が適用される NTFSのアクセス権は常に適用される(「別経路」が存在しないから) 共有のアクセス件とNTFSのアクセス権で異なるアクセス権の場合には、両方で許可されていることのみが行える 一番気をつけなくてはいけないのは、「共有のアクセス権でアクセス制限しているのでNTFSのアクセス権は制限していない」場合に、「直接コンソールでログインされるとアクセスできてしまう」ということです。気をつけましょう。 また、それぞれの特徴として以下のようなものがあります。 NTFSのアクセス権はファイル、フォルダ単位の設定であるため、半永久的に残る。場所を移動した場合でも残る。(※例外あり。詳細は「コピー&ペーストとカット&ペーストではNTFSアクセス権が異なる」参照。) 共有のアクセス権は共有を解除するときれいに無くなる。 共有のアクセス権に細かくエントリを追加していると、それを意図せず解除してしまった場合には、同じ設定を再度行うことが困難になりますので、気をつけましょう。 どのようにアクセス制御すべきか 「で、結局どうしたらいいの?」という問いに関しては色々な答えが考えられるでしょうが、私の方針は以下のようなものです。 共有のアクセス権は常にEveryoneフルコントロール NTFSのアクセス権でのみ制御する 共有のアクセス権とNTFSアクセス権の2重管理は嫌ですし、共有のアクセス権だけでコントロールしようとするのは抜け道があるので嫌です。そうすると必然的にこのような方針になると思います。 「いや、それだとこういった問題がある」「もっとこうしたほうがいい」などコメントありましたら、是非いただければと思います。

今回の話題はパーティションの分割方法に関してです。インストールの際に出てくる以下の画面のお話です。 今回の話題は特にクライアントPCでHDDが1つしか搭載されていないものに関して当てはまる話です。企業のクライアントPCでもまだまだこのようなケースは多いかと思います。 (※注意)サーバーに関しては昨今はかなり仮想化が進んでおり、RAIDシステムはもとよりSAN環境も当たり前ですし、その上でさらにHW,SWを絡めた仮想化がなされていることが多く今回の話はあまり当てはまりません。この辺りに関しては別エントリで解説予定です。 分割のメリット パーティションを分割することのメリットには主に以下のようなものがあります。 システムとデータの分離 システム復旧(OS再インストール、イメージ流し込み)の際に、データをそのまま保持できる。 システムイメージのバックアップおよびイメージ取得時の容量を小さく、時間を短くできる。 データが肥大化する際に(特に自動的に生成されるログ等)その影響をシステムに与えないようにできる。 どちらかのパーティションが不整合な状態になった際に、別のパーティションへ影響を与えない可能性がある。 別システムとの共存 1つのDisk内に複数のOSを導入したい場合にはパーティションを区切る方が管理が容易になる。複数のOSで異なるファイルシステムを利用する場合にはパーティションの分割が必須となる。 フラグメントへの影響 ファイルを頻繁に書き換え無いパーティション(具体的にはシステムパーティション)と頻繁に書き換えるパーティションを分割しておくことにより、ファイルのフラグメントの影響がシステムパーティションに波及しづらくすることができる。 分割のデメリット パーティションを分割することのデメリットとしては主に以下のようなものがあります。 HDD容量の有効活用 複数のパーティションに分割することで、空き容量が分割され、それによってHDD容量を最大限に利用できない。(特にHDD容量が不足しがちな環境で) 意図に反するデータ配置 特定のドライブレター(特にC)でないとうまく動作しないようなソフトウェアが存在した場合にルールが崩れる可能性がある。 容量見積もりが困難 Windows Update,復元ポイント等でシステムが肥大化する、またその容量を完全に見積もることができない。 エンドユーザーの知識レベルによる影響 パーティション分割の意味を理解していないエンドユーザーがメリットを享受できず、逆に不利益となるケースがある。 構成変更が困難 万が一容量見積もりに失敗し、特定のパーティションの空き容量が不足してしまったが、Disk全体としては空き容量が余っている、というような場合に、パーティションサイズの変更が非常に困難。専用のソフトウェアを購入したりする必要がある。 その他のトピック FATからNTFSにファイルシステムが変化したことによる影響 1パーティションの最大値の制限があり、パーティションを分割せざるを得ないケースがあったが、NTFSではそれがなくなった。 パーティションを分割しないと、小さなファイルを多数保管する際の効率が良くないという問題があったが、NTFSでは改善された。 余談 私自身は、自分が個人的に使っているPCでは昔はパーティション分割を当たり前に行っていましたが、最近はパーティションの分割は行わなくなりました。私の場合にはすぐに容量を使い切ってしまうので「空き容量の確保」という点が一番のポイントですが、パーティションを分割して云々するよりも、Diskが安くなってきたからDisk自体を別のものにしてしまえばよい、というのも大きかったりします。 仕事上では以前、以下のような仕組みを提案、実装したことがあります。(HDDは1つだけ搭載しているPCでした。) パーティションは2つに分ける。(システム用とデータ用) Cドライブにはシステム関連ファイルのみを配置する。 データはすべてDドライブに配置する。 ユーザーのプロファイルデータもDドライブに配置する(参考：[HOW TO] ユーザー プロファイルとプログラム設定のデフォルトの場所を変更する方法) システムパーティションの内容はGhostを使用してイメージ化。 もしもシステム的に不具合が起きればCDまたはファイルサーバー上のイメージからシステムパーティションのみ自動リストア このようにしておけば、もしもシステムが不安定になったりしても、システム復旧用のCDを1枚渡して、「これを入れてPCを起動して」と言っておけばOSとしてはクリーンな状態に戻ります。これを実際に適用しているお客さんではかなり快適に運用できているそうです。 ただ、これを実装するに当たっては1つ大きな問題がありました。 特定ベンダが作成したカスタムアプリケーションが、該当PCでは正常に動作しない というものです。Dドライブにプロファイルを変更している所が原因だろうとあたりをつけて、プロファイルの場所をCドライブだと決め打ちしている場所がないかどうか確認したのですが、「それはない」という回答でした。ですので、このときはかなり困ってしまった…というのが正直なところでした。 この際は、暫定的な回避策として「Cドライブにプロファイルの残っているAdministratorアカウント(このアカウントなら実行できた)として実行させるランチャーをラッパーとして使ってもらう」という方法でしばらく逃げました。 ですが、後から原因が判明したところでは、やはりプログラム内でユーザープロファイルの場所をCドライブだと決め打ちしているところがあったそうです・・・。（＾＾； このようなことがありましたよ、ということで参考にしてもらえればと思います。

今回はファイルシステムの選択に関しての話です。インストールの最中に以下のように聞かれます。 NTFSかFATか NTFSかFATか、という選択に関しては**迷うことなく「NTFS」**を選択すれば間違いありません。その理由としては「NTFSの方があらゆる面で高機能だから」ということになります。具体的に機能の比較表を見てみましょう。以下の評価Webサイトのあちこちから情報を拾ってきてつくった表です。(参考：ファイル システム) 全ての面でNTFSが優れていて、FATを積極的に選ぶ理由がないことが理解してもらえると思います。その中でも特に重要なのは以下のあたりだと思います。 最大ファイルサイズ FAT16, 32の4GBというのは今となっては小さすぎます。特にサーバーシステムでDBを利用するようなものに関しては1ファイルのサイズは4GBどころではなく、10GB、100GBなどというサイズも当たり前にあり得ます。 最大パーティションサイズ こちらもFAT16, FAT32では4GB、2TBとなっており今となっては小さすぎます。 ローカルセキュリティ機能の組み込み これはつまりファイルやフォルダに対してアクセス権を設定できるということです。具体的にはファイルやフォルダのプロパティを開いたときの「セキュリティ」タブの有無ですね。昨今のシステムでセキュリティ設定ができないなんてありえませんので、これは非常に重要なことです。 ちなみにこれはファイルシステムとしてのセキュリティ機能であり、共有フォルダのアクセス権とは別ですので、混同しないようにしましょう。 ローカル暗号化機能の組み込み これはつまりEFSが使えるかどうかということです。「内容を暗号化してデータをセキュリティで保護する」にチェックを入れると暗号化できます。この設定を行わないと、物理的にPCにアクセスできれば事実上セキュリティ設定なんて意味がありませんので(詳細は別エントリで解説予定)、これも非常に重要な機能です。 FATをあえて選ぶのはどのような時か? FATよりもNTFSの方があらゆる面で優れているということは理解してもらえたと思いますが、ではファイルシステムとしてFATを選択するケースというのは存在しないのでしょうか?存在しないのならそもそも選択肢として用意されている意味がないのでは? もちろんFATを選択することになるケースも存在します。それはたとえば以下のようなケースです。 FATは扱えるがNTFSは扱えないOSからアクセスされる可能性があるとき。 デュアルブート環境 ブートディスクからの起動時 リムーバブルメディア 等 最近ですとLinuxからもNTFSの読み書きも行えますが、少し前は読むことはできても書くことはできないという状況がありました。WindowsとLinuxのデュアルブートにしつつ、データの受け渡し用のパーティションはあえてFATを選択するということを私自身していたことがあります。 他にもあえてFATを選ぶケースがありそうですが、ちょっと私には思いつきませんでした、そのくらいFATを選ぶケースというのは現状では稀だと思います。

Windows上でフォルダをコピーする、移動するというのは日常的によく行う動作ですが、実はコピー&ペーストとカット&ペーストでは結果が異なるということを知っていましたでしょうか? - コピー&ペースト → ペースト先のアクセス権を上位フォルダから継承 - カット&ペースト(同一ドライブ上) → ペースト先のアクセス権には依存せず(上位からの継承は無効にした状態で)、カットした元のNTFSアクセス権が設定される。 - カット&ペースト(別ドライブへ) → ペースト先のアクセス権を上位フォルダから継承 実はこのようにコピー&ペーストとカット&ペーストは動きが明確に異なるし、別ドライブへのカット&ペーストでも動きが異なるのです。面白いですね。 おそらく、コピーというのは結局元のファイルとは別のものを「新規作成」することになるのだと思います。で、「新規作成」されたファイル、フォルダは上位のNTFSアクセス権を継承するのが規定の動作であるため、コピー&ペーストの時には継承になるのだと思います。 一方カット&ペーストの場合には別のものを新規作成するわけではなく、既存のファイル、フォルダの位置情報だけを書き換えるのではないかと思います。で、その際にNTFSアクセス権をどうするか･･･というところで、「継承を切って、今のアクセス権をそのまま」という動きをするようにロジックが組まれているのだと思います。(おそらく。) さらにカット&ペーストでもドライブをまたぐ場合には完全に新しく作成して、元のものを消す、という操作が必要なので、コピー&ペーストと同じ結果になるものと思われます。(おそらく。) 個人的にはカット&ペーストの時だって、上位のフォルダのアクセス権を継承したっていいじゃないか、と思わないでもないのですが、そうなっていないということは継承であっても、NTFSのアクセス権はきちんとそれぞれのファイル、フォルダに書き込まれているということなのではないかと思います。なぜならそのほうが個別の処理がはやそうだから、アクセスがあるたびにいちいちアクセス権が本当に設定してあるところまで上へ上へ･･･とたどっていたら遅そうですものね。 というわけで、「なるべく早く動くように」と考えた結果がこの動作の違いになっているのでは、というのが私の予想です。 もしかしたらおおはずれかもしれませんが、このように裏側のロジックを予想した上で動きを覚えると記憶に定着します。ルールというか考え方だけ覚えておけばいいわけですからね!