NASを家族や同僚と共有しはじめると、最初の壁になるのが「誰にどこまで見せるか」という権限設定です。ここを後回しにすると、バックアップフォルダを全員が削除できてしまっていたり、逆に権限を絞りすぎて自分まで締め出されたり、というトラブルが起きがちです。
やっかいなのは、Synology DSM 7.xでは「ユーザー」「グループ」「共有フォルダ」それぞれに権限の概念があり、仕組みを理解せずに設定すると後から管理が複雑になることです。この記事では、家庭利用から小規模オフィスまで使える権限設計の型と、DSM 7.xでの具体的な設定手順を、実際に手を動かして検証した内容を交えて解説します。NAS本体選びから検討している方は、Synology・QNAP・UGREENのメーカー比較記事も合わせてどうぞ。
【結論】最初に作るべきは「個人・共有・バックアップ」の3フォルダ
権限設定で迷ったら、まずは次の3フォルダ構成から始めるのが失敗しにくい型です。
- 個人フォルダ:本人のみアクセス可
- 共有フォルダ:家族や社員が共同利用
- バックアップフォルダ:管理者のみ変更可(一般ユーザーは読み取りまで)
そのうえで「必要な人に、必要な権限だけ与える」という最小権限の発想を徹底します。家庭でも小規模オフィスでも、この型を最初に作っておけば、後からユーザーが増えても破綻しません。あとは下記で具体的な作成手順とテンプレートを順に見ていきましょう。
「ユーザー権限」と「共有フォルダ権限」は別物
NAS初心者がいちばん混乱するのがこの2つの区別です。じつは、ユーザーを作っただけでは、その人がどのフォルダを使えるかは何も決まりません。
たとえば「Taka」「妻」「子ども」というユーザーを作成しても、その時点ではフォルダは何も見えない状態です。そこから「Photo」「Family」「Backup」といった共有フォルダごとに、それぞれのユーザー(またはグループ)へ「読み取りのみ/読み取り・書き込み/アクセスなし」を割り当てて、初めて使えるようになります。
つまり、ユーザー=「誰が」、共有フォルダ権限=「どこに、どこまで」を決めるもの。この2段構えを意識しておくと、後の設定がぐっと理解しやすくなります。そして実運用では、ユーザー1人ずつに権限を付けるより、後述する「グループ」単位で付与するほうが圧倒的に楽です。
ユーザーとグループの作成手順(DSM 7.x)
DSM 7.xでは、先にユーザーとグループを整理してから共有フォルダを作るのが定石です。管理画面から次の順で進みます。
- コントロールパネル → ユーザーとグループ → 「ユーザー」タブ → 作成
ユーザー作成時に設定するのは、ユーザー名・パスワード・メールアドレス・所属グループの4つが基本です。グループ分けは用途に応じて、次くらいのシンプルさで十分です。
- 家庭利用:administrators / family の2つ程度
- 小規模オフィス:administrators / management / staff / guest
続いてグループを作成します。場所はユーザーと同じ画面の「グループ」タブ → 作成です。
- コントロールパネル → ユーザーとグループ → 「グループ」タブ → 作成
個別ユーザーに直接権限を付けるのではなく、まずグループへ権限を設定し、ユーザーをそこへ所属させる——この運用にしておくと、後から人が増えてもグループへ追加するだけで済みます。最初のひと手間が、半年後の自分を助けてくれます。
共有フォルダのアクセス権設定
共有フォルダは、NAS内の実際の保管場所です。アクセス権はここで決めます。
- コントロールパネル → 共有フォルダ → 作成(または既存フォルダを編集)→ 「権限」タブ
割り当てられる権限は次の3種類です。
読み取り/書き込み
閲覧・編集・削除がすべて可能。共同作業用フォルダや、家族で写真をやり取りするフォルダ向きです。家族写真の共有・バックアップ運用の具体例は家族共有フォルダの作り方ガイドで詳しく解説しています。
読み取りのみ
閲覧はできるが変更はできない状態。マニュアルや社内資料、配布用ファイルなど「見せるけれど書き換えさせたくない」フォルダに使います。
アクセスなし
そのフォルダへ一切アクセスできない状態。見せる必要のないフォルダには迷わずこれを設定します。
権限のないユーザーにフォルダを見せない(隠しフォルダ)
DSMには、権限のないユーザーから共有フォルダを隠す設定が2つ用意されています。共有フォルダの編集画面(「全般」タブ)にある「無許可のユーザーにサブフォルダとファイルを見せない」にチェックを入れると、アクセス権のない人にはフォルダの中身が見えなくなります。さらに「『マイ ネットワーク』でこの共有フォルダを非表示にする」も併用すると、ネットワーク一覧からフォルダ名自体も隠せます。
家庭利用ではそこまで気にならないものの、小規模オフィスでは「名前だけ見えているフォルダ」が地味な混乱のもとになります。見えなくていいものは隠してしまうのが、結果的にいちばんトラブルが少なくなります。
権限設計テンプレート(そのまま使える2パターン)
ここからが実践編です。フォルダ構成と権限を一覧化した「権限マトリクス」を、家庭用・小規模オフィス用の2パターンで用意しました。縦が利用者、横がフォルダ、交点が割り当てる権限です。自分の環境に合わせて埋め替えてそのまま使えます。
家庭用テンプレート
フォルダ構成例:Home_Taka(個人)/ Home_Family(家族共有)/ Photo_Backup(写真バックアップ)
| ユーザー | Home_Taka | Home_Family | Photo_Backup |
|---|---|---|---|
| Taka(管理者) | 読取/書込 | 読取/書込 | 読取/書込 |
| 妻 | 不可 | 読取/書込 | 読取 |
| 子ども | 不可 | 読取 | 不可 |
ポイントは写真バックアップ領域です。家族の思い出は一度消すと取り返しがつかないので、削除につながる「書き込み」を持つ人を管理者だけに絞り、ほかは「読み取り」にとどめています。
小規模オフィス用テンプレート
フォルダ構成例:Management(経営・管理)/ Shared(全社共有)/ Backup(バックアップ)/ Archive(保管)。こちらはユーザーではなくグループ単位で割り当てます。
| グループ | Management | Shared | Backup | Archive |
|---|---|---|---|---|
| administrators | 読取/書込 | 読取/書込 | 読取/書込 | 読取/書込 |
| management | 読取/書込 | 読取/書込 | 読取 | 読取 |
| staff | 不可 | 読取/書込 | 不可 | 読取 |
| guest | 不可 | 読取 | 不可 | 不可 |
最初から部門ごとに細かく分けたくなりますが、運用がまわらなくなるのが定番の失敗です。まずはこのくらい大づかみに分け、必要が出たら足していくほうが長続きします。
権限の優先順位ルール(実機検証)
「グループには読み書きを許可したのに、特定の1人だけはアクセスを拒否したい」——こうした競合時に、どちらの設定が勝つのか。多くの解説記事が曖昧にしているこの部分を、実際にSynology NAS(DSM 7.3)で検証してみました。
テスト用のユーザー・グループ・共有フォルダを作り、組み合わせを切り替えながら接続を確認した結果が次のとおりです。切り替えのたびに一度すべて「アクセスなし」にしてフォルダが見えなくなることを確認し、古い接続が残らないようにしています。
| グループ権限 | 個人(ユーザー)権限 | 実際の結果 |
|---|---|---|
| 読み取り/書き込み | アクセスなし | 読み書きできた |
| アクセスなし | 読み取り/書き込み | 読み書きできた |
| なし(未設定) | なし(未設定) | フォルダ自体が見えない |
つまり検証環境では、「ユーザーかグループのどちらか一方にでも許可があれば、その許可が有効になる」という挙動でした。どこにも権限が設定されていないときだけ、フォルダ自体が見えなくなります。
ここで注意したいのは、ネット上には「アクセスなしが常に最優先で勝つ」と書かれた解説も少なくないことです。今回の環境ではそうなりませんでしたが、DSMのバージョンやファイル単位のACL設定によっては挙動が変わる可能性があります。大切なデータを守る設定をするときは、通説を鵜呑みにせず、必ずご自身の環境で一度テストしてから運用に入ることを強くおすすめします。
なお「設定したのにアクセスできない/逆に見えてしまう」というトラブルが起きたら、まず次の2点を疑うと原因を絞り込めます。①接続を一度切断して繋ぎ直す(PC側に古い接続がキャッシュされていることがある)。②対象ユーザーが所属するすべてのグループの権限を確認する。
管理者が陥りやすい罠チェックリスト
権限設定で「やってしまいがちな失敗」を、作業前のチェックリストにまとめました。
- ☐ 管理者権限を持つアカウントを常に2つ以上確保している(1つしかないアカウントを誤って降格・無効化するとロックアウトされる)
- ☐ 普段の作業は一般権限のアカウントで行い、管理者アカウントは管理作業のときだけ使う運用にしている
- ☐ 家族・社員の全員に管理者権限を渡していない
- ☐ バックアップフォルダの「書き込み(削除)」権限を限られた人だけに絞っている
- ☐ 共有フォルダを作った後、もう一度権限を見直した
- ☐ 新しいユーザーを追加したとき、所属グループを必ず確認した
特に最初の項目は重要です。DSM 7.xではセットアップ時に既定の「admin」アカウントを無効化し、自分用の管理者アカウントを作る流れが推奨されますが、その管理者が1つしかない状態でうっかり権限を変えると、自分自身が締め出されます。管理者まわりをいじるときは、別の管理者アカウントでログインできることを確認してから作業してください。
外部アクセス時のセキュリティ対策
NASを外出先からも使う場合、権限設定だけでは守りきれません。インターネットに口を開ける以上、最低限これらは有効にしておきたい設定です。
- 2段階認証(MFA)
- 強力なパスワードポリシー
- DSMの定期アップデート
- QuickConnectまたはVPN経由での接続
- 使っていないアカウントの削除
なかでも効果が大きいのが2段階認証です。万一パスワードが漏れても、もう一段の認証があれば不正ログインを防げる可能性が高まります。DSMにログインできるユーザーは、管理者に限らず全員で有効化を検討しておくと安心です。外部アクセスの具体的な設定方法(QuickConnect・VPN)はNASの外部アクセス設定ガイドで詳しく解説しています。
まとめ:複雑にしないことが、いちばんの安全策
NASの権限設定でやるべきことは、難しいルールを作り込むことではありません。むしろ逆で、シンプルに保つことがそのまま安全につながります。
まずは「個人・共有・バックアップ」の3フォルダを作り、最小権限で運用する。そのうえで、ユーザーはグループでまとめて管理し、バックアップ領域の書き込みは管理者中心に絞り、権限変更後は一度見直す。この流れさえ守れば、家庭でも小規模オフィスでも崩れにくいNAS環境になります。
そして今回いちばん伝えたいのは、権限の優先順位のように「ネットの通説と実機の挙動が食い違うことがある」という点です。大事なデータを預ける設定だからこそ、最後はご自身の環境で一度テストしてから本運用に入ってください。