ホームページ » の仕方 » オタク学校学習Windows 7 - リソースへのアクセス

    オタク学校学習Windows 7 - リソースへのアクセス

    今回のGeek Schoolのインストールでは、フォルダ仮想化、SID、アクセス許可、および暗号化ファイルシステムについて説明します。.

    Windows 7で、このGeek Schoolシリーズの以前の記事を必ずチェックしてください。

    • ハウツーオタク学校の紹介
    • アップグレードと移行
    • デバイスの設定
    • ディスクの管理
    • アプリケーションの管理
    • Internet Explorerを管理する
    • IPアドレッシングの基礎
    • ネットワーキング
    • 無線ネットワーク
    • Windowsファイアウォール
    • リモート管理
    • リモートアクセス
    • 監視、パフォーマンス、およびWindowsの最新状態の維持

    そして今週中、シリーズの残りの部分をお見逃しなく。.

    フォルダの仮想化

    Windows 7はライブラリの概念を導入しました。これにより、コンピュータの他の場所にあるリソースを表示できる集中管理された場所を持つことができます。具体的には、ライブラリ機能を使用すると、Windowsエクスプローラのナビゲーションペインから簡単にアクセスできる、ドキュメント、音楽、ビデオ、および写真の4つのデフォルトライブラリのいずれかに、コンピュータの任意の場所からフォルダを追加できます。.

    ライブラリ機能について注意することが2つあります。

    • ライブラリにフォルダを追加すると、フォルダ自体は移動しません。むしろ、フォルダの場所へのリンクが作成されます。.
    • ネットワーク共有をライブラリに追加するには、オフラインで利用できる必要がありますが、シンボリックリンクを使用した回避策も使用できます。.

    ライブラリにフォルダを追加するには、ライブラリに移動してロケーションのリンクをクリックします。.

    次に追加ボタンをクリックします.

    ライブラリに含めるフォルダを探して、[フォルダを含める]ボタンをクリックします。.

    それだけです。.

    セキュリティ識別子

    WindowsオペレーティングシステムはSIDを使用してすべてのセキュリティ原則を表します。 SIDは、マシン、ユーザー、およびグループを表す、可変長の英数字文字列です。ユーザーまたはグループにファイルまたはフォルダへのアクセス許可を付与するたびに、SIDがACL(アクセス制御リスト)に追加されます。舞台裏では、SIDは他のすべてのデータオブジェクトと同じ方法で格納されます。つまり、バイナリです。ただし、WindowsでSIDが表示されると、読みやすい構文で表示されます。 Windowsで何らかの形式のSIDが表示されることはあまりありません。最も一般的なシナリオは、リソースへのアクセス許可を誰かに与えてから、そのユーザーアカウントを削除することです。 SIDがACLに表示されます。それでは、WindowsでSIDが表示される一般的な形式を見てみましょう。.

    表示される表記は特定の構文を取ります。以下はSIDのさまざまな部分です。.

    • 'S'プレフィックス
    • 構造改訂番号
    • 48ビットのID権限値
    • 可変数の32ビット副権限または相対ID(RID)値

    下の画像で自分のSIDを使用して、理解を深めるためにさまざまなセクションに分けます。.

    SIDの構造

    'S' - SIDの最初の構成要素は常に「S」です。これはすべてのSIDの前に付けられ、その後に続くものがSIDであることをWindowsに知らせるためにあります。.
    '1' - SIDの2番目の要素はSID仕様の改訂番号です。 SID仕様が変更される場合、それは後方互換性を提供するでしょう。 Windows 7およびServer 2008 R2の時点では、SID仕様はまだ最初のリビジョンにあります.
    '5' - SIDの3番目のセクションは、識別子機関と呼ばれます。これは、どの範囲でSIDが生成されたかを定義します。 SIDのこのセクションに有効な値は、次のとおりです。

    • 0 - NULL権限
    • 1 - 世界の権威
    • 2 - 地方自治体
    • 3 - 作成者権限
    • 4 - 非固有権限
    • 5 - NT機関

    '21' - 4番目の要素は副権限1です。値「21」は、後続の副権限がローカル・マシンまたはドメインを識別することを指定するために4番目のフィールドで使用されます。.
    '1206375286-251249764-2214032401' - これらはそれぞれ副権限2、3、4と呼ばれます。この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子にもなります。.
    '1000' - サブオーソリティ5は、SIDの最後のコンポーネントで、RID(Relative Identifier)と呼ばれています。 RIDは各セキュリティ原則に関連しています。Microsoftから出荷されていないユーザー定義オブジェクトは、1000以上のRIDを持つことに注意してください。.

    セキュリティ原則

    セキュリティ原則とは、SIDが付加されているものです。これらは、ユーザー、コンピューター、さらにはグループにすることができます。セキュリティ原則は、ローカルでもドメインのコンテキストでもかまいません。コンピュータの管理の下にある[ローカルユーザーとグループ]スナップインを使用して、ローカルセキュリティの原則を管理します。そこに到達するには、スタートメニューのコンピュータのショートカットを右クリックして[管理]を選択します。.

    新しいユーザーセキュリティ原則を追加するには、Usersフォルダに移動して右クリックし、New Userを選択します。.

    ユーザーをダブルクリックすると、そのユーザーを[所属するグループ]タブのセキュリティグループに追加できます。.

    新しいセキュリティグループを作成するには、右側の[グループ]フォルダに移動します。空白部分を右クリックして[新しいグループ]を選択します。.

    共有アクセス許可とNTFSアクセス許可

    Windowsでは、ファイルとフォルダのアクセス権には2種類あります。まず、共有アクセス許可があります。次に、NTFSアクセス許可があります。これはセキュリティアクセス許可とも呼ばれます。共有フォルダの保護は通常、共有とNTFSのアクセス許可の組み合わせで行われます。これが事実であるので、最も制限的な許可が常に適用されることを覚えていることは重要です。たとえば、共有アクセス許可によってEveryoneセキュリティ原則に読み取りアクセス許可が与えられ、NTFSアクセス許可によってユーザーがファイルに変更を加えることが許可されている場合、共有アクセス許可が優先され、ユーザーは変更を許可されません。権限を設定すると、LSASS(ローカルセキュリティ機関)がリソースへのアクセスを制御します。ログオンすると、SIDを含むアクセストークンが与えられます。リソースにアクセスすると、LSASSは追加したSIDをACL(Access Control List)に比較します。 SIDがACLにある場合は、アクセスを許可するか拒否するかを決定します。どのパーミッションを使用しても違いはありますので、何を使用すべきかについて理解を深めるために見てみましょう。.

    共有権限:

    • ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。ターミナルサービスなどを介してローカルにログオンした場合は適用されません。.
    • 共有リソース内のすべてのファイルとフォルダに適用されます。より細かい種類の制限スキームを提供したい場合は、共有アクセス許可に加えてNTFSアクセス許可を使用する必要があります。
    • FATまたはFAT32フォーマットのボリュームがある場合は、これらのファイルシステムではNTFSアクセス許可が使用できないため、これが唯一の制限となります。.

    NTFSのアクセス許可:

    • NTFSアクセス許可の唯一の制限は、NTFSファイルシステムにフォーマットされているボリュームにしか設定できないことです。
    • NTFSアクセス許可は累積的であることを忘れないでください。つまり、ユーザーの有効な権限は、ユーザーに割り当てられた権限と、そのユーザーが属するグループの権限を組み合わせた結果です。.

    新しい共有アクセス許可

    Windows 7は、新しい「簡単な」共有手法を採用しました。オプションは、読み取り、変更、およびフルコントロールから読み取りおよび読み取り/書き込みに変更されました。このアイデアは、Homegroupの考え方全体の一部であり、コンピュータに精通していない人々のために簡単にフォルダを共有することを可能にします。これはコンテキストメニューから簡単にホームグループと共有できます。.

    ホームグループに属していない人と共有したい場合は、常に「特定の人…」オプションを選択できます。これにより、ユーザーまたはグループを指定できる、より複雑なダイアログが表示されます。.

    前述のように、アクセス許可は2つだけです。一緒に、彼らはあなたのフォルダやファイルのためのオールオアナッシング保護スキームを提供します.

    1. 読む 許可は「見て、触れない」オプションです。受信者はファイルを開くことはできますが、ファイルを変更または削除することはできません。.
    2. 読み書き 「何でも」オプションです。受信者はファイルを開く、変更する、または削除することができます.

    オールドスクールの許可

    古い共有ダイアログには、フォルダを別のエイリアスで共有するオプションなど、より多くのオプションがありました。それは私達が同時接続の数を制限し、同時にキャッシュを設定することを可能にしました。この機能はWindows 7では失われていませんが、「高度な共有」というオプションの下に隠れています。フォルダを右クリックしてそのプロパティに移動すると、共有タブの下にこれらの「高度な共有」設定があります。.

    ローカルの管理者資格情報を必要とする[高度な共有]ボタンをクリックした場合は、以前のバージョンのWindowsで慣れ親しんだすべての設定を構成できます。.

    アクセス許可ボタンをクリックすると、私たち全員がよく知っている3つの設定が表示されます。.

      • 読む アクセス許可を使用すると、アプリケーションを実行するだけでなく、ファイルやサブディレクトリを表示して開くことができます。ただし、変更を加えることはできません。.
      • 修正する 許可はあなたが何かをすることを可能にします 読む パーミッションは許可します、そしてそれはまたファイルとサブディレクトリを追加し、サブフォルダを削除しそしてファイル内のデータを変更する能力を追加します.
      • フルコントロール それはあなたが前の許可のありとあらゆる許可をすることを可能にするので、古典的な許可の「何でもする」です。さらに、それはあなたに高度に変わるNTFS許可を与えます、しかしこれはNTFSフォルダーにだけあてはまります

    NTFSのアクセス許可

    NTFSアクセス許可を使用すると、ファイルやフォルダを細かく制御できます。そうは言っても、粒度の量は新人にとっては気が遠くなる可能性があります。 NTFSのアクセス許可をファイルごと、フォルダごとに設定することもできます。ファイルにNTFSアクセス権を設定するには、右クリックしてファイルのプロパティに移動し、次にセキュリティタブに移動します。.

    ユーザーまたはグループのNTFSアクセス許可を編集するには、編集ボタンをクリックしてください。.

    ご覧のとおり、NTFSのアクセス許可はかなりたくさんありますので、それらを分割してみましょう。まず、ファイルに設定できるNTFSアクセス許可を確認します。.

    • フルコントロール ファイルの読み取り、書き込み、変更、実行、属性、権限の変更、所有権の取得を許可します。.
    • 修正する ファイルの属性を読み取り、書き込み、変更、実行、および変更することができます。.
    • 読み取りと実行 ファイルのデータ、属性、所有者、パーミッションを表示し、プログラムの場合はファイルを実行することを許可します。.
    • 読む ファイルを開き、その属性、所有者、および権限を表示することを許可します。.
    • 書きます ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更を可能にします。.

    フォルダに対するNTFSアクセス許可には少し異なるオプションがありますので、それらを見てみましょう。.

    • フルコントロール フォルダ内のファイルの読み取り、書き込み、変更、実行、属性、権限の変更、およびフォルダ内のファイルの所有権の取得を許可します。.
    • 修正する フォルダ内のファイルの読み取り、書き込み、変更、および実行を可能にし、フォルダまたはその中のファイルの属性を変更できます。.
    • 読み取りと実行 フォルダの内容を表示したり、フォルダ内のファイルのデータ、属性、所有者、権限を表示したり、フォルダ内のファイルを実行したりできます。.
    • フォルダの内容の一覧表示 フォルダの内容を表示したり、フォルダ内のファイルのデータ、属性、所有者、権限を表示したり、フォルダ内のファイルを実行したりできます。
    • 読む ファイルのデータ、属性、所有者、パーミッションを表示することを許可します.
    • 書きます ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更を可能にします。.

    概要

    要約すると、ユーザー名とグループはSID(Security Identifier)と呼ばれる英数字の文字列の表現です。共有とNTFSのアクセス許可はこれらのSIDに関連付けられています。共有アクセス許可はネットワーク経由でアクセスされている場合にのみLSSASによってチェックされますが、NTFSアクセス許可は共有アクセス許可と組み合わされて、ネットワーク経由およびローカル経由でアクセスされるリソースに対してよりきめ細かいレベルのセキュリティを提供.

    共有リソースへのアクセス

    それでは、PC上でコンテンツを共有するために使用できる2つの方法について学んだので、実際にネットワーク経由でコンテンツにアクセスするにはどうすればよいでしょうか。とても簡単です。ナビゲーションバーに次のように入力するだけです。.

    \\コンピュータ名\共有名

    注:明らかに、共有をホストしているPCの名前をcomputernameに、共有の名前をsharenameに置き換える必要があります。.

    これは一回限りの接続には最適ですが、大規模な企業環境ではどうでしょうか。もちろん、この方法を使ってネットワークリソースに接続する方法をユーザーに教える必要はありません。これを回避するには、各ユーザーのネットワークドライブを割り当てます。これにより、共有への接続方法を説明するのではなく、「H」ドライブにドキュメントを保存するようにユーザーにアドバイスできます。ドライブをマッピングするには、コンピュータを開き、「ネットワークドライブの割り当て」ボタンをクリックします。.

    次に、共有のUNCパスを入力するだけです。.

    あなたはおそらくあなたがすべてのPCでそれをしなければならないかどうか疑問に思います、そして幸運にも答えはノーです。そうではなく、ログオン時にユーザーのドライブを自動的にマップしてグループポリシーで展開するバッチスクリプトを作成できます。.

    コマンドを分析すると:

    • 私たちは使っています ネット利用 ドライブをマップするコマンド.
    • 私達は使用します * 次に利用可能なドライブ文字を使用したいことを示す.
    • 最後に私たち シェアを指定 ドライブをにマップしたいです。 UNCパスにスペースが含まれているため、引用符を使用したことに注意してください。.

    暗号化ファイルシステムを使用したファイルの暗号化

    Windowsには、NTFSボリューム上のファイルを暗号化する機能があります。これは、あなただけがファイルを復号化して見ることができるということを意味します。ファイルを暗号化するには、ファイルを右クリックしてコンテキストメニューからプロパティを選択します。.

    それから高度をクリックしてください.

    内容を暗号化してデータを保護するチェックボックスをオンにして、OKをクリックします。.

    今すぐ進んで設定を適用します.

    ファイルを暗号化するだけですが、親フォルダも暗号化するオプションがあります。.

    ファイルが暗号化されると緑色に変わります。.

    あなたはあなただけがファイルを開くことができるようになり、同じPC上の他のユーザーはそれができないことに気付くでしょう。暗号化プロセスは公開鍵暗号化を使用するため、暗号化鍵を安全に保管してください。あなたがそれらを失うと、あなたのファイルは消えてしまい、それを回復する方法はありません。.

    宿題

    • 権限の継承と有効な権限について学ぶ.
    • このMicrosoftの文書を読む.
    • BranchCacheを使用する理由を学びましょう.
    • プリンタを共有する方法となぜあなたがしたいのかを学ぶ.