ファイルやディレクトリのアクセス許可設定で「不明なアカウント(S-1-……)」を見つけた場合、これを削除してよいのか、よくないのか、悩むことはありませんか。「不明なアカウント=存在しないアカウント」ではないこともあります。前回も登場しましたが、今回もストアアプリとケーパビリティの話です。
Windowsに少々詳しい人であれば、Windowsにおけるセキュリティの基本は、ユーザーやグループといったセキュリティ対象に、セキュリティ設定が可能なリソースへのアクセス許可設定であることはご存じのはずです。
ユーザーやグループはユーザーフレンドリーな名前を持ちますが、実際には「セキュリティ識別子(Security Identifier:SID)」で識別されます。そして、リソースの「アクセス制御エントリ(Access Control Entry:ACE)」や「アクセス制御リスト(Access Control List:ACL)」(つまり、ACEのセット)には、SIDに対する「フルコントロール」「読み取り」「書き込み」の許可/拒否アクセス権が設定されます。
そのセキュリティの設定画面(ファイルのプロパティにある「セキュリティ」タブなど)で、「不明なアカウント(S-1-……)」というのを見掛けることがあると思います。以下の画面1はその一例です。
コンピュータがドメインに参加していないのであれば、この「不明なアカウント」のエントリ(ACE)なら、おそらく削除しても問題はありません。括弧内の「S-1-5-21-……-1015」がこのユーザーまたはグループのSIDですが、既にこのコンピュータ上には存在しないものです。このSIDからは、このコンピュータ上で16番目に作成された、以前は存在したユーザーまたはグループであることが分かるからです。ローカルのユーザーまたはグループのSIDは、次のような形式になります。
S-1-5-21-<マシンSID>-<相対識別子(RID)>
「マシンSID」は、コンピュータのセットアップ時に自動生成されます。ビルトインのAdministratorのRID(Relative Identifier:相対識別子)は「500」、GuestのRIDは「501」で固定です。そして、ユーザーやグループのRIDは「1000」から順番に使用されます。ですから、前出の画面1の例にある「1015」は、16番目ということになります。家庭用のコンピュータであれば、セットアップ時に使用したユーザーのRIDは、おそらく1000または1001の場合がほとんどでしょう。
Windows Sysinternalsの「PsGetSid」ユーティリティーを使用すると、これらのSIDを簡単に確認することができます(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.