スポンサーリンク
IT全般

📝 MotionBoardでのフォルダ権限設定と「禁止優先」の落とし穴

IT全般
この記事は約4分で読めます。

はじめに

MotionBoardで帳票を出力し、特定のグループだけに共有したい── そんなシンプルな要件でも、アクセス権限の優先順位設定によっては、思わぬ落とし穴にハマることがあります。

今回は、「禁止優先」設定のままでは実現できなかった実例と、そこから見えてきた設計と運用のポイントをまとめます。

📁 想定したフォルダ権限設定

帳票出力先のフォルダに、以下のようなアクセス権限を設定しました:

対象権限
管理者読み書き
グループA読み取り
everyoneアクセス禁止

この設定により、「グループAのメンバーだけが帳票フォルダを閲覧できる」ことを想定していました。

❗ところが…グループAのユーザーでも見えない!?

実際に確認すると、グループAに所属しているはずのユーザーでもフォルダが見えないという現象が発生。 調査の結果、そのユーザーはグループAのほかに複数の業務グループに所属しており、さらにフォルダには everyone に対して「アクセス禁止」が設定されていました。

つまり、ユーザーが everyone にも含まれている(=全ユーザーが対象)ため、「禁止優先」のルールによりアクセスがブロックされていたのです。 たとえグループAで「読み取り」が許可されていても、everyone の「禁止」が優先されてしまう──これが禁止優先の落とし穴でした。

公式サイトにも以下のように記載されていました。

ボードへのアクセス制限設定ガイド | WingArc1st
このナレッジでわかること このナレッジでは、MotionBoardでボードへのアクセスを制限する方法について説明します。 MotionBoardのアクセス制限の基本的な仕組み フォルダ単位でのアクセス権限設定手順 権限の優先順位と複数グルー...
cs.wingarc.com

🔍 MotionBoardの「禁止優先」とは?

MotionBoardでは、アクセス権限の評価において「禁止優先」「許可優先」のどちらかを選択できます。 初期設定は「禁止優先」で、これは以下のような動作になります:

ユーザーが所属するいずれかのグループで「アクセス禁止」が設定されていれば、他のグループで「許可」されていてもアクセスできない。

この仕様により、セキュリティは強化されますが、柔軟なアクセス制御が難しくなるという側面があります。

✅ 解決策:「許可優先」への切り替え

今回の要件は「グループAに所属していれば見えるようにしたい」というものでした。 そのため、MotionBoardの設定で「許可優先」に切り替えることで、意図した動作を実現できました。

設定手順:

  1. 管理画面で「システム設定」→「セキュリティ」→「権限の優先順位」を開く
  2. 「許可優先」に変更して保存
  3. MotionBoardサービスを再起動

✅ 解決策:「許可優先」への切り替え

今回の要件は「グループAに所属していれば見えるようにしたい」というものでした。 そのため、MotionBoardの設定で「許可優先」に切り替えることで、意図した動作を実現できました。

設定手順:

  1. 管理画面で「システム設定」→「セキュリティ」→「権限の優先順位」を開く
  2. 「許可優先」に変更して保存
  3. MotionBoardサービスを再起動

🔄 MotionBoardサービスの再起動方法(Windows環境)

今回の設定変更はMotionBoardのアプリケーション設定に関するものであり、Dr.Sum本体には影響しません。 そのため、再起動が必要なのはMotionBoardのサービスのみです。

net stop "MotionBoard 6.1 Service"
net start "MotionBoard 6.1 Service"

または、services.mscから「MotionBoard 6.1 Service」を右クリックして「再起動」でもOK!

💡 注意: 「Dr.Sum Server」や「Dr.Sum MotionBoard Gateway」など、Dr.Sum関連のサービスは停止しないように注意してください。

🤔 「禁止優先」のままで実現する方法はある?

セキュリティポリシー上、「禁止優先を維持したい」というケースもあるかもしれません。 その場合、以下のような運用が必要になります:

🛠️ 対応案:専用グループを使った制御

  1. アクセスを許可したいユーザーだけを集めた専用グループを作成
  2. そのグループにのみ「読み取り」権限を付与
  3. 他のすべてのグループに「アクセス禁止」を設定

⚠️ ただし、ここに限界が…

  • ユーザーが他の禁止グループにも所属していると、禁止が優先されてアクセスできない
  • everyone に「アクセス禁止」を設定している場合、すべてのユーザーが対象となるため、許可が効かない
  • 不特定多数のユーザーが複数のグループに所属している環境では、禁止設定の管理が非常に煩雑になる

🎯 結論:禁止優先は「セキュリティ重視」、でも柔軟性は低い

比較項目禁止優先許可優先
セキュリティ◎(見せたくない人を確実にブロック)△(許可があれば見えてしまう)
柔軟性△(複数グループ所属に弱い)◎(柔軟なアクセス制御が可能)
運用負荷高い(禁止設定の管理が大変)低い(許可グループだけで制御可能)

💡 おすすめの設計方針

  • 「一部の人にだけ見せたい」なら、許可優先が現実的!
  • 「絶対に見せたくない人がいる」なら、禁止優先+厳密なグループ設計が必要!

✍️ おわりに

MotionBoardの権限設定は柔軟ですが、優先順位の設定によって挙動が大きく変わるため、 要件に応じた設計と運用ルールの明確化がとても大切です。

「禁止優先」は強力な仕組みですが、万能ではないことを理解しておくと、トラブルを未然に防げます!

スポンサーリンク

コメント

タイトルとURLをコピーしました