ホームページ » の仕方 » わかりにくいWindows 7のファイル/共有アクセス許可を理解する方法

    わかりにくいWindows 7のファイル/共有アクセス許可を理解する方法

    あなたは今までにWindowsのすべての権限を把握しようとしましたか?共有アクセス許可、NTFSアクセス許可、アクセス制御リストなどがあります。これらはすべて一緒に働く方法です。.

    セキュリティ識別子

    WindowsオペレーティングシステムはSIDを使用してすべてのセキュリティ原則を表します。 SIDは、マシン、ユーザー、およびグループを表す、可変長の英数字文字列です。ユーザーまたはグループにファイルまたはフォルダへのアクセス許可を付与するたびに、SIDがACL(アクセス制御リスト)に追加されます。舞台裏では、SIDは他のすべてのデータオブジェクトと同じ方法でバイナリ形式で格納されます。ただし、WindowsにSIDが表示された場合は、読みやすい構文で表示されます。ほとんどの場合、WindowsにSIDの形式が表示されることはありません。最も一般的なシナリオは、誰かにリソースへのアクセス許可を付与し、そのユーザーアカウントを削除すると、ACLにSIDとして表示されることです。それでは、WindowsでSIDが表示される一般的な形式を見てみましょう。.

    表示される表記は特定の構文を取ります。以下は、この表記のSIDのさまざまな部分です。.

    1. 'S'プレフィックス
    2. 構造改訂番号
    3. 48ビットのID権限値
    4. 可変数の32ビット副権限または相対ID(RID)値

    下の画像で自分のSIDを使用して、理解を深めるためにさまざまなセクションに分けます。.

    SIDの構造

    'S' - SIDの最初の構成要素は常に「S」です。これはすべてのSIDの前に付けられ、その後に続くものがSIDであることをWindowsに知らせるためにあります。.
    '1' - SIDの2つ目の要素はSID仕様の改訂番号です。SID仕様を変更する場合は、下位互換性が保たれます。 Windows 7およびServer 2008 R2の時点では、SID仕様はまだ最初のリビジョンにあります.
    '5' - SIDの3番目のセクションは、識別子機関と呼ばれます。これは、どの範囲でSIDが生成されたかを定義します。 SIDのこのセクションに有効な値は、次のとおりです。

    1. 0 - NULL権限
    2. 1 - 世界の権威
    3. 2 - 地方自治体
    4. 3 - 作成者権限
    5. 4 - 非固有権限
    6. 5 - NT機関

    '21' - 4番目のコンポーネントはサブオーソリティ1です。4番目のフィールドでは、値21がローカルコンピュータまたはドメインを識別するサブオーソリティを識別するために使用されます。.
    '1206375286-251249764-2214032401' - これらはそれぞれ副権限2、3、4と呼ばれます。この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子にもなります。.
    '1000' - サブオーソリティ5はSIDの最後のコンポーネントで、RID(Relative Identifier)と呼ばれます。RIDは各セキュリティ原則に関連しています。Microsoftから出荷されていないオブジェクトにはRIDがあります。 1000以上.

    セキュリティ原則

    セキュリティの原則とはSIDが付加されているもので、ユーザー、コンピューター、さらにはグループなどです。セキュリティ原則は、ローカルでもドメインのコンテキストでもかまいません。コンピュータの管理の下にある[ローカルユーザーとグループ]スナップインを使用して、ローカルセキュリティの原則を管理します。そこに到達するには、スタートメニューのコンピュータのショートカットを右クリックして[管理]を選択します。.

    新しいユーザーセキュリティ原則を追加するには、ユーザーフォルダに移動して右クリックし、新しいユーザーを選択します。.

    ユーザーをダブルクリックすると、そのユーザーを[所属するグループ]タブのセキュリティグループに追加できます。.

    新しいセキュリティグループを作成するには、右側の[グループ]フォルダに移動します。空白を右クリックして新しいグループを選択.

    共有アクセス許可とNTFSアクセス許可

    Windowsには2種類のファイルとフォルダのアクセス許可があります。1つは共有アクセス許可、もう1つはセキュリティアクセス許可とも呼ばれるNTFSアクセス許可です。デフォルトでフォルダを共有すると、 "Everyone"グループに読み取り権限が与えられます。フォルダのセキュリティは通常、ShareとNTFS Permissionの組み合わせで行われます。たとえば、shareパーミッションがEveryone = Read(デフォルト)に設定されている場合など、最も制限の厳しい設定が常に適用されることを忘れないでください。ただし、NTFSアクセス許可ではユーザーがファイルを変更でき、共有アクセス許可が優先され、ユーザーによる変更は許可されません。権限を設定すると、LSASS(ローカルセキュリティ機関)がリソースへのアクセスを制御します。ログオンするとSIDを含むアクセストークンが与えられます。リソースにアクセスすると、LSASSはACLに追加したSID(Access Control List)を比較し、SIDがACLにあるかどうかを判断します。アクセスを許可または拒否します。どのパーミッションを使用しても違いはありませんので、どのようなパーミッションを使用するべきかをよく理解してください。.

    共有権限:

    1. ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。ターミナルサービスなどを介してローカルにログオンした場合は適用されません。.
    2. 共有リソース内のすべてのファイルとフォルダに適用されます。より細かい種類の制限スキームを提供したい場合は、共有アクセス許可に加えてNTFSアクセス許可を使用する必要があります。
    3. FATまたはFAT32フォーマットのボリュームがある場合は、これらのファイルシステムではNTFSアクセス許可が使用できないため、これが唯一の制限となります。.

    NTFSのアクセス許可:

    1. NTFSアクセス許可の唯一の制限は、NTFSファイルシステムにフォーマットされているボリュームにしか設定できないことです。
    2. NTFSは累積的であることを忘れないでください。つまり、ユーザーの有効なアクセス許可は、ユーザーに割り当てられたアクセス許可とユーザーが属する任意のグループのアクセス許可を組み合わせた結果です。.

    新しい共有アクセス許可

    Windows 7は、新しい「簡単な」共有手法を採用しました。オプションがRead、Change、およびFull Controlからに変更されました。読み取りおよび読み取り/書き込みこのアイデアは、Homeグループ全体の考え方の一部であり、コンピュータに詳しい知識のない人のために簡単にフォルダを共有することを可能にします。これはコンテキストメニューから簡単にあなたのホームグループと共有できます。.

    ホームグループにいない人と共有したい場合は、いつでも「特定の人…」オプションを選択できます。これにより、より複雑なダイアログが表示されます。特定のユーザーまたはグループを指定できる場所.

    前述したように2つの許可しかありません、一緒に彼らはあなたのフォルダーとファイルのために全か無かの保護計画を提供します.

    1. 読む 許可は「見て、触れない」オプションです。受信者はファイルを開くことはできますが、ファイルを変更または削除することはできません。.
    2. 読み書き 「何でも」オプションです。受信者はファイルを開く、変更する、または削除することができます.

    オールドスクールウェイ

    古い共有ダイアログにはより多くのオプションがあり、別のエイリアスの下でフォルダを共有するオプションが与えられました。これにより、同時接続数を制限し、同時にキャッシュを設定することができました。この機能はWindows 7では失われていませんが、「高度な共有」というオプションの下に隠れています。フォルダを右クリックしてそのプロパティに移動すると、共有タブの下にこれらの「高度な共有」設定があります。.

    ローカルの管理者資格情報を必要とする[高度な共有]ボタンをクリックした場合は、以前のバージョンのWindowsで慣れ親しんだすべての設定を構成できます。.

    アクセス許可ボタンをクリックすると、3つの設定が表示されます。.

    1. 読む アクセス許可を使用すると、アプリケーションを実行するだけでなく、ファイルやサブディレクトリを表示して開くことができます。ただし、変更を加えることはできません。.
    2. 修正する 許可はあなたが何かをすることを可能にします 読む 許可すると、ファイルやサブディレクトリを追加したり、サブフォルダを削除したり、ファイル内のデータを変更したりすることもできます。.
    3. フルコントロール それはあなたが前の許可のありとあらゆる許可をすることを可能にするので、古典的な許可の「何でもする」です。さらに、それはあなたに高度に変わるNTFS許可を与えます、これはNTFSフォルダーにだけあてはまります

    NTFSのアクセス許可

    NTFSアクセス許可を使用すると、ファイルやフォルダをきめ細かく制御できます。それによると、粒度の量は新参者にとって大変なことです。 NTFSのアクセス許可をファイルごと、フォルダごとに設定することもできます。ファイルにNTFSアクセス許可を設定するには、右クリックしてファイルのプロパティに移動し、セキュリティタブに移動する必要があります。.

    ユーザーまたはグループのNTFSアクセス許可を編集するには、編集ボタンをクリックしてください。.

    ご覧のとおり、かなりの数のNTFSアクセス許可があるので、それらを分割してみましょう。まず、ファイルに設定できるNTFSアクセス許可を確認します。.

    1. フルコントロール ファイルの読み取り、書き込み、変更、実行、属性、権限の変更、所有権の取得を許可します。.
    2. 修正する ファイルの属性を読み取り、書き込み、変更、実行、および変更することができます。.
    3. 読み取りと実行 ファイルのデータ、属性、所有者、および許可を表示し、ファイルがプログラムの場合はそのファイルを実行することを許可します。.
    4. 読む ファイルを開き、その属性、所有者、および権限を表示することを許可します。.
    5. 書きます ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更を可能にします。.

    フォルダに対するNTFSアクセス許可には少し異なるオプションがありますので、それらを見てみましょう。.

    1. フルコントロール フォルダ内のファイルの読み取り、書き込み、変更、実行、属性、アクセス許可の変更、およびフォルダ内のファイルの所有権の取得を許可します。.
    2. 修正する フォルダ内のファイルの読み取り、書き込み、変更、実行、およびフォルダの属性の変更を許可します。.
    3. 読み取りと実行 フォルダの内容を表示したり、フォルダ内のファイルのデータ、属性、所有者、権限を表示したり、フォルダ内のファイルを実行したりできます。.
    4. フォルダの内容の一覧表示 フォルダの内容を表示したり、フォルダ内のファイルのデータ、属性、所有者、権限を表示したりできます。.
    5. 読む ファイルのデータ、属性、所有者、パーミッションを表示することを許可します.
    6. 書きます ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更を可能にします。.

    Microsoftの文書では、「フォルダの内容の一覧表示」を選択するとフォルダ内のファイルを実行できるようになりますが、そのためには「読み取りと実行」を有効にする必要があります。非常に分かりにくく文書化された許可です.

    概要

    要約すると、ユーザー名とグループはSID(セキュリティ識別子)と呼ばれる英数字の文字列の表現であり、共有とNTFSのアクセス許可はこれらのSIDに関連付けられています。共有アクセス許可は、ネットワーク経由でアクセスされている場合にのみLSSASによってチェックされますが、NTFSアクセス許可はローカルコンピューターでのみ有効です。 Windows 7のファイルとフォルダのセキュリティがどのように実装されているかについて、皆さん全員がしっかりと理解していることを願います。ご質問がありましたらコメント欄でお気軽にお送りください。.