| [System Environment] | |||||||||||||||
subinaclコマンドでオブジェクトのセキュリティ情報を表示させる(subinaclの基本)
|
|||||||||||||||
|
|||||||||||||||
| 解説 |
ファイルやフォルダの持つアクセス権(アクセス制御リスト)や所有者などの情報を確認するには、エクスプローラでセキュリティ・プロファイルを表示させたり、caclsやicacls、xcaclsコマンドを使う方法がある。具体的な方法については、次のTIPSを参照していただきた。
- caclsコマンドの出力の見方
- icaclsコマンドでアクセス制御リスト中のメンバーを検索する
- icaclsコマンドでファイルのアクセス制御リストACLを保存/復元する
- ファイルやフォルダのアクセス権をリセットして親フォルダから継承させる
- icaclsコマンドでファイルの所有者を変更する
これらのコマンドではファイルやフォルダのアクセス権情報を操作していたが、Windows OSでは、ファイル以外のさまざまなオブジェクトに対してもこのようなアクセス権が設定されており、それに基づいて厳密にアクセス制御が行われ、システムのセキュリティが確保されている。通常はファイルやフォルダ以外のアクセス権設定について考慮する必要性はほとんどないが、例えばレジストリに対するアクセス権が緩すぎるとウイルスなどに乗っ取られたりする可能性があるし、アクセス権がきつすぎるとサービスが起動できないといったトラブルになることがある。
ファイル以外のオブジェクトにおけるアクセス権や所有者情報などを検査、変更するにはsubinacl.exeというコマンドが利用できる。このコマンドは非常に多くのサブコマンドを持つが、本TIPSではsubinaclの一番基本的な使い方として、オブジェクトのセキュリティ情報を表示させる方法について解説する。それ以外の利用法については今後別TIPSで解説する。
| 操作方法 |
subinaclコマンドの入手
subinacl.exeは、もともとはWindows 2000やWindows Server 2003のリソースキットで提供されていたコマンドであるが、次のページから最新版をダウンロードしてインストールするか(リソースキットのものよりも新しいので、これに更新しておくのが望ましい)、インストール済みのコンピュータからsubinac.exeファイルをコピーすれば、ほかのOSでも利用できる(ただし英語版しかない)。
subinaclのヘルプ
subinaclコマンドは、ファイルやフォルダに限らず、レジストリやプロセス、サービス、共有、カーネル・オブジェクトなど、Windows OSに含まれるさまざまなオブジェクトのセキュリティ情報を表示したり、設定したりするコマンドである。そのため非常に多くのオプションを持っている。このコマンドの使い方を見るには、まず「subinacl /help」で概要を確認し、その後さらに、「subinacl /help /display」などのようにして詳細ヘルプを表示させる。全ヘルプを確認するには「subinacl /help /full」とする。
C:\>subinacl …引数無しで起動 |
subinaclでファイルやフォルダのセキュリティ情報を確認する
subinaclの操作対象はファイルやフォルダに限らない。そのため、対象となるオブジェクトを特定するために、「/file *.obj」や「/share \\server1\shr1」といった特別な表記方法を利用する。subinaclで指定可能なオブジェクトには次のようなものがある。
| 表記 | オブジェクト |
| /file | ファイル |
| /subdirectories | サブフォルダ |
| /service | サービス |
| /keyreg | レジストリの特定のキー |
| /subkeyreg | レジストリのサブキー |
| /clustershare | クラスタ共有 |
| /kernelobject | カーネル・オブジェクト(ミューテックスやセクション、イベント・オブジェクトなど) |
| /metabase | IISのメタベース |
| /printer | プリンタ共有 |
| /process | プロセス |
| /onlyfile | 特殊ファイル(パイプなど)も含むファイル |
| /share | 共有 |
| /samboject | SAMオブジェクト(ユーザーやグループ名など) |
 |
|
| subinaclで指定可能なオブジェクト・タイブ表記 | |
単に特定のファイルの情報を見るだけなら、「/file <ファイル名>」とすればよい。ただしcacls.exeなどと違い、ファイルを対象とする場合でも、必ず先頭に/fileを付ける必要がある。
C:\>subinacl /file boot.ini …c:\boot.iniの情報の表示 |
サブフォルダ以下をスキャンする場合は、/subdirectoriesタイプを指定する。
C:\>subinacl /subdirectories \windows\* |
特定の情報だけを表示したければ、/displayオプション(subinaclでは「アクション」という)を指定する。
C:\>subinacl /subdirectories \windows\* /display=owner …所有者情報のみ表示 |
レジストリの場合は/keyregや/subkeyregを指定する。
C:\>subinacl /keyreg HKEY_CURRENT_USER\Software …HKCU\Softwareの表示 |
/keyregの代わりに/subkeyregとすると、指定されたキー以下のレジストリに関する情報がすべて表示される。
これ以外にも、共有やSAMオブジェクト(ユーザーやグループ)など、さまざまなオブジェクトのセキュリティ情報が確認できる。
C:\>subinacl /share \\127.0.0.1\c …ファイル共有の例 |
なお、出力が長くて見づらい場合は、「/outputlog=<ファイル名>」オプションで特定のファイルに出力させたり、/noverboseオプションで表示する情報量を少なくしたりできる(オプションは先頭に付けること)。詳細は/helpや、コマンドと同時にインストールされるヘルプ・ファイルなどを参照していただきたい。
C:\>subinacl /outputlog=c:\tmp\acllog.txt /subdirectories \windows\system32\* |
この記事と関連性の高い別の記事
- subinaclでアクセス制御リスト中のメンバーを変更する(TIPS)
- subinaclコマンドでアクセス制御リスト中のメンバーを検索する(TIPS)
- icacls/subinaclでアクセス制御リストからメンバーを削除する(TIPS)
- subinaclコマンドでオブジェクトの所有者やプライマリ・グループを変更する(TIPS)
- Windowsのicaclsコマンドでファイルの所有者を変更する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
