Posted on

あのわかりにくいWindows 7のファイル/共有権限を理解する方法

, Author

  • Taylor Gibb

    @taybgibb

  • Updated October 28, 2019, 8:49am EDT

Windowsで権限をすべて把握しようとしたことがありますか? 共有の権限、NTFS の権限、アクセス制御リスト、その他があります。 2243>

セキュリティ識別子

Windows オペレーティング システムでは、すべてのセキュリティ プリンシパルを表すために SID を使用します。 SIDは、マシン、ユーザー、グループを表す英数字の可変長文字列にすぎません。 SID は、ユーザーまたはグループにファイルまたはフォルダーへのアクセス許可を与えるたびに、ACL (Access Control Lists) に追加されます。 SIDは、他のすべてのデータオブジェクトと同じように、バイナリで保存されます。 しかし、WindowsでSIDを見るとき、それはより読みやすい構文を使用して表示されます。 最も一般的なシナリオは、誰かにリソースへのアクセス許可を与えた後、そのユーザーアカウントが削除され、それがACLのSIDとして表示されるときである。

表示される表記は特定の構文で、以下はこの表記における SID の異なる部分です。

  1. ‘S’ 接頭辞
  2. Structure revision number
  3. A 48-bit identifier authority value
  4. A variable number of 32-bit sub-authority or relative identifier (RID) value
Advertisement

以下の画像で私のSIDを使用して、理解を深めるために各セクションに分割してみます。

SID の構造:

‘S’ – SID の最初のコンポーネントは常に ‘S’ です。 これは、すべての SID の前に付けられており、後に続くものが SID であることを Windows に知らせるためにあります。
「1」 – SID の第 2 成分は、SID 仕様の改訂番号で、SID 仕様が変更された場合、後方互換性を提供します。 Windows 7およびServer 2008 R2では、SID仕様はまだ最初のリビジョンです。
‘5’ – SIDの3番目のセクションは、Identifier Authorityと呼ばれています。 これは、SIDがどのようなスコープで生成されたかを定義する。 SIDのこのセクションで可能な値は、以下のとおりである。

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – 第4コンポーネントは下位権威1である。 値’21’は、続くサブオーソリティーがローカルマシンまたはドメインを識別することを指定するために、4番目のフィールドで使用されます。
‘1206375286-251249764-2214032401’ – これらはそれぞれ副権限2、3、4と呼ばれるものである。 この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子にもなります。
‘1000’ – 副権限5はSIDの最後のコンポーネントで、RID(相対識別子)と呼ばれ、RIDは各セキュリティプリンシパルに関連しています。

セキュリティプリンシパル

セキュリティプリンシパルはSIDを持つもので、ユーザー、コンピュータ、そしてグループも含まれます。 セキュリティプリンシパルはローカルであるか、ドメインコンテキストにあることができます。 ローカルセキュリティプリンシパルは、コンピュータ管理のローカルユーザーとグループスナップインで管理します。

新しいユーザーセキュリティプリンシパルを追加するには、ユーザーフォルダに移動し、右クリックして新しいユーザーを選択します。

ユーザーをダブルクリックすると、[メンバー] タブでセキュリティ グループに追加できます。

広告

新しいセキュリティ グループを作成するには、右側のグループ フォルダーに移動してください。

共有の許可と NTFS の許可

Windows では、ファイルおよびフォルダーの許可に 2 種類があります。 フォルダーを共有する場合、デフォルトで “Everyone” グループに読み取り権限が与えられていることに注意してください。 フォルダのセキュリティは、通常、共有とNTFSの権限の組み合わせで行われますこの場合は、最も制限されたものが常に適用されることを覚えておくことが重要です、例えば、共有権限がEveryone =読み取り(これはデフォルトです)に設定されている場合、NTFS権限は、ユーザーがファイルに変更を加えることができ、共有権限が優先されますと、ユーザーが変更を加えることは許可されません。 パーミッションを設定すると、LSASS(Local Security Authority)がリソースへのアクセスを制御します。 ログオンすると、SIDが記載されたアクセストークンが渡され、リソースにアクセスしようとすると、LSASSはACL(アクセスコントロールリスト)に追加したSIDを比較し、SIDがACL上にあれば、アクセスを許可するか拒否するかを決定するのだそうです。

Share Permissions:

  1. ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。 ターミナル サービスなどでローカルにログオンした場合は適用されません。
  2. 共有リソース内のすべてのファイルとフォルダーに適用されます。 より詳細な制限スキームを提供したい場合は、共有権限に加えて NTFS 権限を使用する必要があります。
  3. FAT または FAT32 フォーマットのボリュームがある場合、NTFS 権限はこれらのファイル システムで使用できないため、これが唯一の制限形式となります。

NTFS Permissions:

  1. NTFS Permissions に関する唯一の制限は、NTFS ファイル システムにフォーマットされたボリュームにのみ設定できることです。

新しい共有権限

Windows 7 では、新しい「簡単な」共有技法が導入されました。 オプションは、読み取り、変更、およびフル コントロールから変更されました。 読み取り」および「読み取り/書き込み」です。 このアイデアは、ホーム グループ全体の考え方の一部であり、コンピューターに詳しくない人でも簡単にフォルダーを共有できるようにしました。 これはコンテキスト メニューから実行でき、ホーム グループと簡単に共有できます。

ホーム グループに属さないユーザーと共有したい場合は、いつでも [特定のユーザー] オプションを選択できます。 これにより、より「詳細な」ダイアログが表示されます。

広告

前述のように 2 つの権限だけがあり、一緒にフォルダとファイルのオール オアナッシング保護スキームを提供します。 受信者はファイルを開くことはできますが、変更や削除はできません。

  • リード/ライトは「何でもできる」オプションです。

    • The Old School Way

    以前の共有ダイアログにはより多くのオプションがあり、別のエイリアスでフォルダを共有するオプションがあり、同時接続数を制限したり、キャッシュを設定したりすることが可能でした。 この機能は Windows 7 では失われておらず、むしろ「高度な共有」と呼ばれるオプションの下に隠されています。 フォルダーを右クリックしてプロパティを表示すると、共有タブの下にこれらの「高度な共有」設定があります。

    ローカル管理者の資格情報を必要とする「高度な共有」ボタンをクリックすると、以前のバージョンの Windows でおなじみの設定をすべて構成することが可能です。

    アクセス権ボタンをクリックすると、私たちがよく知っている 3 つの設定が表示されます。

    1. 読み取り権限により、ファイルおよびサブディレクトリの表示と開き、アプリケーションを実行することが可能になります。 しかし、それはどんな変更を行うことはできません。
    2. Modify 権限は、読み取り権限が許可するすべてのことを行うことができます、それはまた、ファイルやサブディレクトリを追加する機能を追加し、サブフォルダを削除し、files.Full コントロールのデータを変更することができますようにそれはあなたが以前の権限の任意およびすべてを行うために許可されているように、クラシック権限の “do anything “です。 さらに、NTFS 権限を変更する高度な機能を提供し、これは NTFS フォルダ

    NTFS 権限

    NTFS 権限により、ファイルおよびフォルダに対して非常に細かい制御を行うことが可能です。 とはいえ、その粒度の大きさは、初心者には理解しがたいかもしれません。 また、NTFS パーミッションは、ファイル単位とフォルダ単位で設定することができます。 ファイルに NTFS アクセス許可を設定するには、右クリックしてファイルのプロパティに移動し、セキュリティ タブに移動する必要があります。

    広告

    ユーザーまたはグループの NTFS アクセス許可を編集するには編集ボタンをクリックします。

    1. フル コントロールでは、ファイルの読み取り、書き込み、変更、実行、属性、アクセス権の変更、および所有権の取得が可能です。
    2. 修正では、ファイルの読み取り、書き込み、修正、実行、属性の変更ができます。
    3. リード & 実行では、ファイルのデータ、属性、オーナー、権限を表示し、プログラムであればファイルを実行することが可能です。
    4. Read では、ファイルを開き、その属性、所有者、権限を表示します。
    5. Write では、ファイルにデータを書き込み、ファイルに追加し、その属性を読み取ったり変更したりします。

    NTFS のフォルダーに対するアクセス許可には若干異なるオプションがありますので、それらを見てみましょう。

    1. フル コントロールでは、フォルダー内のファイルの読み取り、書き込み、変更、および実行、属性、アクセス権の変更、フォルダーまたはファイルの所有権を取得することが可能です。
    2. Modify では、フォルダー内のファイルの読み取り、書き込み、変更、実行、およびフォルダーまたはファイルの属性の変更ができます。
    3. Read & Execute では、フォルダーの内容を表示し、フォルダー内のファイルのデータ、属性、所有者および権限を表示し、フォルダー内のファイルを実行できます。
    4. List Folder Contents では、フォルダー内のコンテンツを表示し、フォルダー内のファイルのデータ、属性、所有者および権限を表示することができます。
    5. Readでは、ファイルのデータ、属性、所有者、およびパーミッションを表示します。
    6. Writeでは、ファイルへのデータの書き込み、ファイルへの追加、および属性の読み取りまたは変更が可能です。
    広告

    Microsoft のドキュメントでは、「List Folder Contents」によってフォルダ内のファイルを実行できるようにもなっていますが、そのためには「Read & Execute」を有効にしなければならないようです。

    概要

    要約すると、ユーザー名とグループは SID (Security Identifier) と呼ばれる英数字の文字列の表現で、共有および NTFS 権限はこれらの SID に結びつけられています。 Share Permissionはネットワーク経由でアクセスされた時のみLSSASがチェックし、NTFS Permissionはローカルマシンのみで有効である。 Windows 7 のファイルとフォルダーのセキュリティがどのように実装されているか、ご理解いただけたと思います。

    Taylor Gibb
    Taylor Gibb はプロのソフトウェア開発者で、ほぼ 10 年の経験を持っています。 彼は、2 年間南アフリカのマイクロソフト地域ディレクターを務め、複数のマイクロソフト MVP (Most Valued Professional) 賞を受賞しています。 現在、Derivco InternationalのR&Dに勤務しています。

    Read Full Bio “

    コメントを残す

    メールアドレスが公開されることはありません。