[System Environment] | |||||||||||||||
icacls/subinaclでアクセス制御リストからメンバーを削除する
|
|||||||||||||||
|
解説 |
TIPS「icaclsコマンドでアクセス制御リスト中のメンバーを検索する」や「subinaclコマンドでアクセス制御リスト中のメンバーを検索する」では、icacls/subinaclコマンドを使ってアクセス制御リスト(以下ACL)中に含まれる、特定のメンバー名(が含まれるエントリ)を検索する方法を紹介した。本TIPSではこの応用として、特定のメンバーが含まれるエントリを削除する方法を紹介する。人事異動などでセキュリティ設定を変更する場合や、すでに削除してしまったユーザーやグループ・アカウントが含まれるエントリを削除したいといった場合に利用できる。caclsコマンドで行う方法はTIPS「caclsコマンドでACLを編集する」で紹介しているが、本TIPSではicaclsやsubinaclコマンドでの利用方法を解説する。
なお、Windows Server 2003向けのicaclsコマンドの入手方法については、TIPS「icaclsコマンドでファイルの所有者を変更する」を参照していただきたい。またsubinaclコマンドの入手はTIPS「subinaclコマンドでオブジェクトのセキュリティ情報を表示させる(subinaclの基本)」を参照するか、以下のリンク先からダウンロードしていただきたい。
操作方法 |
icaclsコマンドで特定のアカウントのACLエントリを削除する
icaclsコマンドで特定のユーザー/グループ・アカウントが含まれるエントリを削除するには、/removeオプションを利用する。
C:\>icacls /? ……ヘルプの表示 |
今、次のようなアクセス権が設定されたファイルがあるとする。
C:\>icacls x.txt ……caclsコマンドによる確認。以下の6つのエントリがある |
このACLから、例えば先頭のuser01アカウント(これはローカルPCのアカウント)に対する許可エントリを削除するには、次のように/removeオプションを指定する。
C:\>icacls x.txt /remove user01 …user01のエントリを削除する |
サブフォルダ全体を処理する場合は、/tオプションを追加する。
subinaclコマンドで特定のアカウントのACLエントリを削除する
subinaclコマンドで特定のユーザー/グループ・アカウントが含まれるエントリを削除するには、/revokeオプションを利用する。
C:\>subinacl /help /revoke ……ヘルプの表示 |
先ほどと同じファイル(x.txt)がある場合に、user01アカウントに対するエントリを削除するには次のようにする。
C:\>icacls x.txt ……caclsコマンドによる確認 |
「/file <名前>」は、ファイルを処理する場合の指定である。サブフォルダ全体を指定する場合は「/subdirectories <名前>」のように指定する。レジストリや共有などのオブジェクトを指定する方法については、TIPS「subinaclコマンドでオブジェクトのセキュリティ情報を表示させる(subinaclの基本)」を参照していただきたい。
不明アカウントに対するエントリの削除
ローカル・コンピュータやドメインからユーザーやグループを削除しても、ファイルやフォルダなどのオブジェクトに付けられたACL中のエントリはそのままである。そのようなケースでACLの内容を表示させると、アカウントの代わりに、「<アカウント ドメインが見つかりません>」や「アカウント名とセキュリティ ID の間のマッピングは実行されませんでした。」といったメッセージが表示される。例えば、アカウントuser02を削除すると次のようになる。
※先ほどの例において、user02というアカウントが削除された場合の例 |
このような場合は、削除されたアカウントをSID文字列形式で指定すればよい。SID文字列とは、オブジェクトの内部名であり、例えば「S-1-1-0」といった形式となっている。詳細はTIPS「オブジェクトを識別するSIDとは?」「whoamiコマンドでユーザーのSIDや権利を調査する」を参照していただきたい。subinaclコマンドでは、アカウントが不明な場合はSID形式で表示されるので、これで確認する。
C:\>subinacl /file x.txt ……subinaclによる確認 |
このリストの中にある、「S-1-5-21-……」というのが削除されたエントリに対するSID文字列である。これを指定して、エントリを削除すればよい。
subinaclなら、アカウント名の代わりにSID文字列を直接そのまま記述すればよい。
C:\>subinacl /file x.txt /revoke=S-1-5-21-515967499-1637732038-1606110848-1031 ……削除 |
なおicaclsコマンドでは、SID文字列の前に「*」を付ければSID形式でアカウントを指定できることになっているが、削除済みアカウント(や存在しないアカウントなど)の場合は利用できないようである(SIDとして正しいかどうか検証できないのでエラーとしているようだ)。icaclsではこの表記方法は、有効なアカウントを使ってACLを編集したり、削除する場合にのみ利用できる。
C:\>icacls x.txt /remove *S-1-5-21-515967499-1637732038-1606110848-1031 ……SID形式で指定してみる |
この記事と関連性の高い別の記事
- subinaclでアクセス制御リスト中のメンバーを変更する(TIPS)
- subinaclでアクセス制御リストから不明なメンバーを削除する(TIPS)
- subinaclコマンドでアクセス制御リスト中のメンバーを検索する(TIPS)
- subinaclコマンドでオブジェクトのセキュリティ情報を表示させる(subinaclの基本)(TIPS)
- icaclsコマンドでアクセス制御リスト中のメンバーを検索する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

![]() |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
![]() |
|
|
|
![]() |