TL;DR

Windowsをファイルサーバ等の目的でフォルダを共有する際は、共有アクセス権を「フルコントロール」にはせず、「変更」+「読取」にする。

「フルコントロール」にすると、作成したファイル、フォルダに対して権限の変更が可能になってしまう。

経緯

Windowsをファイルサーバ等の目的でフォルダを共有する際、共有フォルダ権限とNTFS権限の2つがあり、どのように設定するか迷うことも多いです。

NTFS権限のほうが細かく設定できるため、共有アクセス権限は「フルコントロール」にしてNTFS権限で制限すればよいとしているサイトを多く見かけます。当社もそのように設定していました。

ですが、このように設定すると、利用者が作成したファイルやフォルダに対して利用者自身がアクセス権の変更を行うことができてしまいます。作成したファイル・フォルダの「所有者」は利用者が設定されてしまうためです。

対応としては、NTFS権限はそのままで共有アクセス権限を「変更」+「読み取り」に変更すればよいです。