Windows TIPS ディレクトリ

アクセス制御

更新日:2006/03/31

 サブディレクトリ
 アクセス制御
リモート・ログオン・ユーザーからのファイル・アクセスを制限する
リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 / このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 / リモート・デスクトップでログオンしたユーザーにはREMOTE INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。
有効なファイル・アクセス権を調査する
ACLを利用すると、ファイルやフォルダのアクセス権を柔軟に制御することができる。 / だが複雑なアクセス権を設定すると、アクセス権に関するトラブルシューティングが面倒になる。 / 「有効なアクセス許可」の確認機能を利用すると、ユーザーやグループに対してどのような権限が与えられているかを確認することができる。
アクセス制御リストACLとは?
ファイルやフォルダに対するアクセス権はアクセス制御リストACLで柔軟に制御できる。 / ACLには、(複数の)アクセス制御エントリACEを含むことができる。 / 各ACEには、どのユーザーやグループに対して、どのような権利を許可するか(もしくは拒否するか)を設定する。 / ACEには許可のACEと、拒否のACEの2種類があり、該当するACEが両方ある場合は、拒否のACEが優先される。 / ACLは上位のフォルダから継承することができる。
ファイルの所有者を変更する(GUI操作編)
ファイルには所有者情報があり、誰のファイルであるかを表している。 / 所有者のデフォルトはファイルの最初の作成者であるが、作成者が管理者のときはAdministratorsグループになることがある / 所有者はアクセス権を変更できるし、NTFSのクォータはこの所有者に基づいてユーザーごとの使用量を計算しているので、正しい所有者情報を設定しておく必要がある。 / 所有者を変更するには「所有権の取得」という操作を行う。
caclsコマンドでACLを編集する
コマンドラインでファイルやフォルダのACLを編集するにはcaclsコマンドを利用する。 / ACLの追加や置換、削除には、それぞれ/G、/P、/Rオプションを使用する。 / 既存のACLを残したまま編集するためには、/Eオプションを付ける必要がある。
caclsコマンドの出力の見方
コマンド・プロンプト上でACLの内容を操作/確認するにはcacls.exeコマンドが利用できる。 / 代表的なアクセス権はF、W、W、Cなどで表されるが、特殊なアクセス権の場合は個別に列挙される。 / フォルダの場合は適用先が(OI)や(CI)、(IO)という文字列で表される。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間