NTFSのアクセス権設定¶
NTFSのアクセス権設定について¶
NTFSでは、アクセスコントロールリスト(ACL: Access Control List)により、誰(SID)が、どこ(ファイル・ディレクトリ)に、どのようなアクセスをするかの許可または禁止を定義します。
また、上位のディレクトリのアクセス権を継承するかしないかの設定もあります。
ファイル(ディレクトリ)のアクセスの種類¶
| 16進コード | アクセス種類 | 意味 |
|---|---|---|
| 8000 0000 | GENERIC_READ | |
| 4000 0000 | GENERIC_WRITE | |
| 2000 0000 | GENERIC_EXECUTE | |
| 1000 0000 | GENERIC_ALL | |
| 0100 0000 | ACCESS_SYSTEM_SECURITY | セキュリティの読み取り |
| 0010 0000 | SYNCHRONIZE | 待機関数(WaitForSingleObject他)の利用 |
| 0008 0000 | WRITE_OWNER | 所有者の変更 |
| 0004 0000 | WRITE_DAC | アクセス許可の変更 |
| 0002 0000 | READ_CONTROL | アクセス許可の読み取り |
| 0001 0000 | DELETE | 削除 |
| 0000 0100 | FILE_WRITE_ATTRIBUTES | 属性の書き込み |
| 0000 0080 | FILE_READ_ATTRIBUTES | 属性の読み取り |
| 0000 0040 | FILE_DELETE_CHILD | サブフォルダとファイルの削除 |
| 0000 0020 | FILE_EXECUTE(対象がファイル) | ファイルの実行 |
| FILE_TRAVERSE(対象がディレクトリ) | フォルダのスキャン | |
| 0000 0010 | FILE_WRITE_EA | 拡張属性の書き込み |
| 0000 0008 | FILE_READ_EA | 拡張属性の読み取り |
| 0000 0004 | FILE_APPEND_DATA | フォルダの作成/データの追加 |
| 0000 0002 | FILE_WRITE_DATA | ファイルの作成/データの書き込み |
| 0000 0001 | FILE_READ_DATA | フォルダの一覧/データの読み取り |
ユーザー(グループ)の種類¶
よく見かけるものを抜粋します。
| SID | 名前 | 意味 |
|---|---|---|
| S-1-1-0 | Everyone | 認証を受けたユーザー、Guest、匿名アクセスユーザーが該当 |
| S-1-3-0 | Creator Owner | オブジェクトの作成者(システムがオブジェクトの現在の所有者に振り替える) |
| S-1-3-1 | Creator Group | オブジェクトの作成者のグループ(システムがオブジェクトの現在の所有者のプライマリグループに振り替える) |
| S-1-5-11 | Authenticated Users | 認証を受けた全てのユーザー(Guestは含まない) |
| S-1-5-32-544 | Administrators | |
| S-1-5-32-545 | Users | |
| S-1-5-21-...-500 | (ドメイン)Administrator | |
| S-1-5-21-...-512 | Domain Admins | |
| S-1-5-21-...-513 | Domain Users |
アクセス権の設定と確認方法¶
icaclsコマンド¶
適用先
| 記号 | 名称 | 意味 |
|---|---|---|
| (OI) | Object Inherit(オブジェクト継承) | このフォルダとファイル |
| (CI) | Container Inherit(コンテナー継承) | サブフォルダにのみ適用 |
| (IO) | Inherit Only(継承のみ) | ファイルとフォルダにのみ適用 |
| (I) | Inherit | 親コンテナーから継承 |
| (IO)(CI) | このフォルダにのみ適用 | |
| (OI)(CI)(IO) | このフォルダ、サブフォルダ、ファイルに適用 | |
| (CI)(IO) | サブフォルダにのみ適用 | |
| (OI)(IO) | ファイルにのみ適用 |
アクセス権
単純な権限を列挙:
N - アクセス権なし
F - フル アクセス権
M - 変更アクセス権
RX - 読み取りと実行のアクセス権
R - 読み取り専用アクセス権
W - 書き込み専用アクセス権
D - 削除アクセス権
特定の権限をコンマ区切りでかっこ内に列挙:
DE - 削除
RC - 読み取り制御
WDAC - DAC の書き込み
WO - 所有者の書き込み
S - 同期
AS - システム セキュリティへのアクセス
MA - 無制限
GR - 一般的な読み取り
GW - 一般的な書き込み
GE - 一般的な実行
GA - 一般的なすべての操作
RD - データ読み取り/ディレクトリの一覧表示
WD - データ書き込み/ファイルの追加
AD - データの追加/サブディレクトリの追加
REA - 拡張属性の読み取り
WEA - 拡張属性の書き込み
X - 実行/スキャン
DC - 子の削除
RA - 属性の読み取り
WA - 属性の書き込み
Windows 7での既定のディレクトリのアクセス権¶
C:\ProgramData¶
C:\Users\foo\Documents>icacls C:\ProgramData
C:\ProgramData NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(WD,AD,WEA,WA)
1 個のファイルが正常に処理されました。0 個のファイルを処理できませんでした
C:\Users\foo\Documents>