Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

有効なファイル・アクセス権を調査する

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2006/01/21
 
対象OS
Windows XP
Windows Server 2003
ACLを利用すると、ファイルやフォルダのアクセス権を柔軟に制御することができる。
だが複雑なアクセス権を設定すると、アクセス権に関するトラブルシューティングが面倒になる。
「有効なアクセス許可」の確認機能を利用すると、ユーザーやグループに対してどのような権限が与えられているかを確認することができる。
 
解説

 Windows TIPS「アクセス制御リストACLとは?」では、Windows OSのNTFSファイル・システムにおけるアクセス制御リスト(ACL)について簡単にまとめた。NTFSでは、オブジェクト(ファイルやフォルダ)ごとにACLが設定されており、アクセスするユーザーに対して許可されたアクセス制御エントリ(ACE)が見つからない限り、アクセスできないようになっている。これにより、柔軟なアクセス制御(誰にアクセスを許可し、誰には禁止するかといった、オブジェクトへのアクセスを管理すること)が可能になる。

 だが複雑なアクセス権を設定すると、あるユーザーがファイルにアクセスできないといったトラブルが発生した場合、アクセス権の設定の問題なのか、それとも別の要因によるものかなどが分かりづらくなる。このような場合は、セキュリティ設定画面にある「有効なアクセス許可」を確認する機能を利用するとよい。この機能を利用すると、ある特定のユーザーやグループに対して、どのようなアクセス権(フル・コントロール、読み取りのみ、書き込み可能、など)が利用可能かを表示してくれる。この機能はWindows XPおよびWindows Server 2003で利用できる。


操作方法

 「有効なアクセス許可」を確認するには、まずエクスプローラ上で対象となるファイルやフォルダを選択し、右クリックしてポップアップ・メニューから[プロパティ]を実行し、ファイルのプロパティ・ダイアログを表示させる。

 次に[セキュリティ]タブを選び、画面の一番下にある[詳細設定]ボタンをクリックして、セキュリティの詳細設定ダイアログを表示させる。そして[有効なアクセス許可]タブを選択する。すると次のような画面が表示される。

有効なアクセス許可の確認
この機能を利用すると、ある特定のユーザーやグループに対して、どのようなアクセス権が利用可能かを確認することができる。この機能はWindows XPおよびWindows Server 2003で利用できる。ファイルの[プロパティ]−[セキュリティ]タブで[詳細設定]をクリックし、セキュリティの詳細設定画面を表示させる。
  このタブを選択する。
  これをクリックして、対象となるユーザー名やグループ名、組み込みアカウント名などを入力する。

Windows TIPS:Windows XPで変わったユーザー/コンピュータ/グループの選択方法

 次に[選択]ボタンを押して、アクセス権を調査したいユーザー名やグループ名を指定する。ボタンを押すと[ユーザー または グループ の選択]ダイアログが表示されるので、名前を直接入力するか、そのダイアログ中にある検索機能を使って名前を指定する(選択ダイアログの使い方については関連記事参照)。

 ユーザー名もしくはグループ名を入力して[OK]ボタンをクリックすると、次のようなに結果が表示される。

有効なアクセス許可の結果
ある特定のユーザーやグループに対して、このファイルやフォルダのアクセス権はどうなっているかを確認することができる。複数のACLが定義されているとそれらが合成され、最終的にそれぞれの権利がどのようになるか(許可されているか、そうでないか)が表示される。ローカルのアカウントやドメインのアカウントだけでなく、システムの組み込みアカウントなども指定して、アクセス権を調査することができる。
  アクセス許可のチェックの対象となるアカウント。ユーザー名やグループ名、システムの組み込みアカウントなどが指定できる。
  結果。チェック・ボックスの内容(結果)は変更できないので、常にグレーアウトして表示される。チェック・ボックスがオフのものはその権利がない、オンのものはその権利がある、ということを表している。
  どのようにしてアクセス権を判定しているかなどの情報については、これをクリックしてヘルプ・ファイルで確認していただきたい。

 これは、「ドキュメント.doc」というファイルが、「Guest」ユーザーに対してどのようなアクセス権を持っているかを表示している。[有効なアクセス許可]のところに表示されているのが結果である。チェック・ボックスがオフのものはその権利は持たない、オンのものはその権利が有効になっている、という意味である。チェック・ボックスがすべてグレーアウトしているのは、これは結果を表すためのものであって、ユーザーが設定を変更するためのものではない、ということを表している。そのため、常に、すべての項目がグレーアウトしている。

 この結果を見ると、ユーザーGuestに対しては、4つのアクセス権利(ファイルやフォルダの読み取りのみ可能)が許可されていることが分かる。権利がまったくない場合は、すべてのチェック・ボックスはオフのまま(およびグレーアウトしたまま)になる。フル・コントロールの場合は、すべてのチェック・ボックスがオン状態になる。End of Article

関連記事(Windows Server Insider)
Windows TIPS:アクセス制御リストACLとは?
Windows TIPS:有効なファイル・アクセス権を調査する
Windows TIPS:caclsコマンドの出力の見方
Windows TIPS:caclsコマンドでACLを編集する
Windows TIPS:セキュリティ設定を記述するSDDL文字列とは?
Windows TIPS:caclsコマンドでACLを編集する(SDDL編)
Windows TIPS:オブジェクトを識別するSIDとは?
Windows TIPS:caclsコマンドをバッチ・ファイルで利用する
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間