あのわかりにくいWindows 7のファイル/共有権限を理解する方法

Posted on

  • Taylor Gibb

    @taybgibb

  • Updated October 28, 2019, 8:49am EDT

Windowsですべての権限を把握しようと思ったことがありますか。 共有の権限、NTFS の権限、アクセス制御リスト、その他があります。 ここでは、これらがどのように連携しているかを説明します。

セキュリティ識別子

Windows オペレーティング システムでは、すべてのセキュリティ プリンシパルを表すために SID を使用します。 SIDは、マシン、ユーザー、グループを表す英数字の可変長文字列に過ぎません。 SIDは、ユーザーやグループにファイルやフォルダーのアクセス許可を与えるたびに、ACL(アクセス制御リスト)に追加されます。 SIDは、他のすべてのデータオブジェクトと同じように、バイナリで保存されます。 しかし、WindowsでSIDを見るとき、それはより読みやすい構文を使用して表示されます。 最も一般的なシナリオは、誰かにリソースへのアクセス許可を与えた後、そのユーザーアカウントが削除され、それがACLのSIDとして表示されるときである。

表示される表記は、特定の構文を取りますが、以下はこの表記における SID の異なる部分です。

  1. An ‘S’ prefix
  2. Structure revision number
  3. A 48-bit identifier authority value
  4. A variable number of 32-bit sub-authority or relative identifier (RID) values
Advertisement

以下の画像で私のSIDを使って、理解を深めるために異なる部分を分割してみます。

SID の構造:

‘S’ – SID の最初のコンポーネントは常に ‘S’ です。 これは、すべての SID の前に付けられており、後に続くものが SID であることを Windows に知らせるためにあります。
「1」 – SID の第 2 成分は、SID 仕様の改訂番号で、SID 仕様が変更された場合、後方互換性を提供します。 Windows 7およびServer 2008 R2では、SID仕様はまだ最初のリビジョンです。
‘5’ – SIDの3番目のセクションは、Identifier Authorityと呼ばれています。 これは、SIDがどのようなスコープで生成されたかを定義します。 SIDのこのセクションで可能な値は、以下のとおりです。

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – 第四要素はサブ権限1、続くサブ権限でローカルマシンまたはドメインが特定できるよう値 ’21’ は第四フィールドに使用されます。
‘1206375286-251249764-2214032401’ – これらはそれぞれ副権限2、3、4と呼ばれています。 この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子にもなります。
‘1000’ – サブ権限5は、SIDの最後のコンポーネントで、RID(相対識別子)と呼ばれ、RIDはそれぞれのセキュリティプリンシパルに関連しています。

セキュリティプリンシパル

セキュリティプリンシパルとは、SIDが付加されているもので、ユーザー、コンピュータ、グループも含まれる。 セキュリティプリンシパルは、ローカルまたはドメインコンテキストにすることができます。 ローカルセキュリティプリンシパルは、コンピュータ管理のローカルユーザーとグループスナップインで管理します。 381>

新しいユーザーのセキュリティプリンシパルを追加するには、ユーザーフォルダに移動して、右クリックして新しいユーザーを選択します。

ユーザーをダブルクリックすると、[メンバー]タブでセキュリティ グループに追加できます。 381>

共有のアクセス権と NTFS アクセス権

Windows では、ファイルおよびフォルダーのアクセス権に 2 種類があります。 フォルダーを共有する場合、デフォルトで “Everyone” グループに読み取り権限が与えられていることに注意してください。 フォルダのセキュリティは、通常、共有とNTFSの権限の組み合わせで行われますこの場合は、最も制限されたものが常に適用されることを覚えておくことが重要です、例えば、共有権限がEveryone =読み取り(これはデフォルトです)に設定されている場合、NTFS権限は、ユーザーがファイルに変更を加えることができ、共有権限が優先されますと、ユーザーが変更を加えることは許可されません。 パーミッションを設定すると、LSASS(Local Security Authority)がリソースへのアクセスを制御します。 ログオンすると、SIDが記載されたアクセストークンが渡され、リソースにアクセスしようとすると、LSASSはACL(アクセスコントロールリスト)に追加したSIDを比較し、SIDがACL上にあれば、アクセスを許可するか拒否するかを決定するのだそうです。

Share Permissions:

  1. ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。 ターミナル サービスなどでローカルにログオンした場合は適用されません。
  2. 共有リソース内のすべてのファイルとフォルダーに適用されます。 より詳細な制限スキームを提供したい場合は、共有パーミッションに加えて、NTFS パーミッションを使用する必要があります
  3. FAT または FAT32 フォーマットのボリュームがある場合、NTFS パーミッションはこれらのファイル システムで使用できないため、これが唯一の制限形式となります。

NTFS Permissions:

  1. NTFS Permissions に関する唯一の制限は、NTFS ファイル システムにフォーマットされたボリュームにのみ設定できることです。

The New Share Permissions

Windows 7 では、新しい「簡単な」共有技法が導入されました。 オプションは、読み取り、変更、およびフル コントロールからに変更されました。 読み取り」および「読み取り/書き込み」です。 このアイデアは、ホーム グループ全体の考え方の一部であり、コンピューターに詳しくない人でも簡単にフォルダーを共有できるようにするものです。 これはコンテキスト メニューから実行でき、ホーム グループと簡単に共有できます。

ホーム グループ以外のユーザーと共有したい場合は、いつでも [特定のユーザー] オプションを選択できます。 そうすると、より「詳細な」ダイアログが表示されます。

広告

前述のように 2 つの権限しかありませんが、これらは一緒に、フォルダーとファイルに対するオール・オア・ナッシングの保護スキームを提供します。

  • Read/Write は「何でもできる」オプションです。

    • The Old School Way

    以前の共有ダイアログにはより多くのオプションがあり、別のエイリアスでフォルダを共有するオプションがあり、同時接続数を制限したり、キャッシュを設定したりすることが可能でした。 この機能は Windows 7 では失われておらず、むしろ「高度な共有」と呼ばれるオプションの下に隠されています。 フォルダーを右クリックしてプロパティを表示すると、共有タブの下にこれらの「高度な共有」設定があります。

    ローカル管理者の資格情報を必要とする「高度な共有」ボタンをクリックすると、以前のバージョンの Windows でおなじみの設定をすべて構成することができます。

    アクセス権ボタンをクリックすると、私たちがよく知っている 3 つの設定が表示されます。

    1. 読み取り権限により、ファイルおよびサブディレクトリの表示とオープン、ならびにアプリケーションを実行することが可能になります。 しかし、それは任意の変更が行われることはありません。
    2. Modify 権限は、読み取り権限が許可するすべてのことを行うことができます、それはまた、ファイルやサブディレクトリを追加する機能を追加し、サブフォルダを削除してfiles.Fullコントロールでデータを変更することができます
    3. それはあなたが以前の権限のすべてといずれかを行うためのものとして、クラシックパーミッションの “何でもできる “です。 さらに、それはあなたに高度な変更 NTFS 権限を与える、これは NTFS フォルダ

    NTFS 権限

    NTFS 権限でファイルとフォルダの非常に細かい制御を許可する上で適用されます。 とはいえ、その粒度の大きさは、初心者を悩ませるかもしれません。 また、NTFS パーミッションはファイル単位とフォルダ単位で設定できます。 ファイルに NTFS アクセス許可を設定するには、右クリックしてファイルのプロパティに移動し、セキュリティ タブに移動する必要があります。

    広告

    ユーザーまたはグループの NTFS アクセス許可を編集するには、編集ボタンをクリックしてください。

    1. フル コントロールでは、ファイルの読み取り、書き込み、変更、実行、属性、権限の変更、および所有権の取得が可能です。
    2. 修正では、ファイルの読み取り、書き込み、修正、実行、属性の変更ができます。
    3. リード & 実行では、ファイルのデータ、属性、所有者、権限を表示し、プログラムであればファイルを実行することも可能です。
    4. Read では、ファイルを開き、その属性、所有者、権限を表示します。
    5. Write では、ファイルにデータを書き込み、ファイルに追加し、その属性を読み込んだり変更したりします。

    NTFS のフォルダーに対するアクセス許可には、若干異なるオプションがありますので、それらを見てみましょう。

    1. フル コントロールでは、フォルダー内のファイルの読み取り、書き込み、変更、および実行、属性、アクセス権の変更、フォルダーまたはファイルの所有権を取得することが可能です。
    2. Modify では、フォルダー内のファイルの読み取り、書き込み、変更、実行、およびフォルダーまたはファイルの属性の変更ができます。
    3. Read & Execute では、フォルダーの内容を表示し、フォルダー内のファイルのデータ、属性、所有者および権限を表示し、フォルダー内のファイルを実行します。
    4. List Folder Contents では、フォルダー内のコンテンツを表示し、フォルダー内のファイルのデータ、属性、所有者および権限を表示します。
    5. Read では、ファイルのデータ、属性、所有者、および権限を表示できます。
    6. Write では、ファイルへのデータの書き込み、ファイルへの追加、および属性の読み取りと変更ができます。
    広告

    Microsoft のドキュメントには、「List Folder Contents」によってフォルダ内のファイルを実行できると書かれていますが、そのためには、「Read & Execute」 が有効になる必要があります。 これは非常にわかりにくい権限です。

    要約すると、ユーザー名とグループは SID (Security Identifier) と呼ばれる英数字の文字列の表現で、共有および NTFS 権限はこれらの SID に結び付けられています。 Share Permissionはネットワーク経由のアクセス時のみLSSASがチェックし、NTFS Permissionはローカルマシンのみで有効です。 Windows 7 のファイルとフォルダーのセキュリティがどのように実装されているか、ご理解いただけたと思います。 もし何か質問があれば、コメント欄でお気軽にお尋ねください。

    Taylor Gibb
    Taylor Gibb はプロのソフトウェア開発者で、ほぼ 10 年の経験があります。 彼は、2 年間南アフリカのマイクロソフト地域ディレクターを務め、複数のマイクロソフト MVP (Most Valued Professional) 賞を受賞しています。 現在はDerivco InternationalのR&Dに勤務しています。

    Read Full Bio “

    コメントを残す

    メールアドレスが公開されることはありません。