これらの紛らわしいWindows7のファイル/共有アクセス許可を理解する方法

未取得のコンテンツ

Windowsのすべてのアクセス許可を理解しようとしたことがありますか？共有アクセス許可、NTFSアクセス許可、アクセス制御リストなどがあります。これらすべてがどのように連携するかを次に示します。

セキュリティ識別子

Windowsオペレーティングシステムは、SIDを使用してすべてのセキュリティプリンシパルを表します。 SIDは、マシン、ユーザー、およびグループを表す英数字の可変長文字列です。ユーザーまたはグループにファイルまたはフォルダーへのアクセス許可を付与するたびに、SIDがACL（アクセス制御リスト）に追加されます。舞台裏では、SIDは他のすべてのデータオブジェクトと同じようにバイナリで保存されます。ただし、WindowsでSIDを表示すると、より読みやすい構文を使用して表示されます。 WindowsでSIDが表示されることはめったにありません。最も一般的なシナリオは、誰かにリソースへのアクセス許可を付与した後、そのユーザーアカウントが削除され、ACLにSIDとして表示される場合です。それでは、WindowsでSIDが表示される一般的な形式を見てみましょう。

表示される表記法は特定の構文を取ります。以下は、この表記法のSIDのさまざまな部分です。

1. 「S」プレフィックス
2. 構造改訂番号
3. 48ビットの識別子機関の値
4. 可変数の32ビットサブ権限または相対ID（RID）値

下の画像で私のSIDを使用して、理解を深めるためにさまざまなセクションを分割します。

SID構造：

「S」 –SIDの最初のコンポーネントは常に「S」です。これはすべてのSIDの接頭辞であり、次がSIDであることをWindowsに通知するためにあります。
‘１’ – SIDの2番目のコンポーネントは、SID仕様のリビジョン番号です。SID仕様が変更された場合、下位互換性が提供されます。 Windows7およびServer2008 R2の時点では、SID仕様はまだ最初のリビジョンです。
‘５’ – SIDの3番目のセクションは、識別子機関と呼ばれます。これは、SIDが生成されたスコープを定義します。 SIDのこのセクションに指定できる値は次のとおりです。

1. 0 –ヌル権限
2. 1 –世界の権威
3. 2 –地方自治体
4. 3 –作成者権限
5. 4 –非固有の権限
6. 5 –NT機関

’２１’ – 4番目のコンポーネントはサブ権限1であり、値「21」は4番目のフィールドで使用され、後続のサブ権限がローカルマシンまたはドメインを識別することを指定します。
‘１２０６３７５２８６ー２５１２４９７６４ー２２１４０３２４０１’ –これらは、それぞれサブ権限2、3、および4と呼ばれます。この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子にすることもできます。
‘１０００’ –サブ権限5はSIDの最後のコンポーネントであり、RID（Relative Identifier）と呼ばれます。RIDは各セキュリティプリンシパルに関連しています。Microsoftから出荷されていないユーザー定義オブジェクトには、 1000以上のRID。

セキュリティプリンシパル

セキュリティプリンシパルとは、SIDが付加されているものであり、ユーザー、コンピューター、さらにはグループの場合もあります。セキュリティプリンシパルは、ローカルにすることも、ドメインコンテキストに含めることもできます。ローカルセキュリティプリンシパルは、コンピューターの管理下にある[ローカルユーザーとグループ]スナップインを介して管理します。そこに到達するには、スタートメニューのコンピュータショートカットを右クリックして、[管理]を選択します。

新しいユーザーセキュリティプリンシパルを追加するには、usersフォルダーに移動し、右クリックして新しいユーザーを選択します。

ユーザーをダブルクリックすると、[メンバー]タブのセキュリティグループにユーザーを追加できます。

新しいセキュリティグループを作成するには、右側の[グループ]フォルダに移動します。空白を右クリックして、新しいグループを選択します。

共有アクセス許可とNTFSアクセス許可

Windowsには、ファイルとフォルダーのアクセス許可の2つのタイプがあります。1つは共有アクセス許可で、もう1つはセキュリティアクセス許可とも呼ばれるNTFSアクセス許可です。デフォルトでフォルダを共有する場合、「Everyone」グループに読み取り権限が付与されることに注意してください。フォルダのセキュリティは通常、共有とNTFSアクセス許可の組み合わせで行われます。この場合、たとえば共有アクセス許可がEveryone = Read（デフォルト）に設定されている場合など、最も制限が常に適用されることを覚えておく必要があります。ただし、NTFSアクセス許可ではユーザーがファイルに変更を加えることができ、共有アクセス許可が優先され、ユーザーは変更を行うことができません。アクセス許可を設定すると、LSASS（ローカルセキュリティ機関）がリソースへのアクセスを制御します。ログオンすると、SIDが記載されたアクセストークンが与えられます。リソースにアクセスすると、LSASSはACL（アクセス制御リスト）に追加したSIDを比較し、SIDがACLにある場合は、次のことを行うかどうかを決定します。アクセスを許可または拒否します。使用する権限に関係なく違いがあるので、いつ何を使用すべきかをよりよく理解するために見てみましょう。

共有権限：

1. ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。ターミナルサービスなどを介してローカルでログオンする場合は適用されません。
2. これは、共有リソース内のすべてのファイルとフォルダーに適用されます。より詳細な種類の制限スキームを提供する場合は、共有アクセス許可に加えてNTFSアクセス許可を使用する必要があります
3. FATまたはFAT32でフォーマットされたボリュームがある場合、これらのファイルシステムではNTFSアクセス許可を使用できないため、これが使用可能な唯一の制限形式になります。

NTFSアクセス許可：

1. NTFSアクセス許可の唯一の制限は、NTFSファイルシステムにフォーマットされたボリュームにのみ設定できることです。
2. NTFSは累積的であることに注意してください。つまり、ユーザーの有効なアクセス許可は、ユーザーに割り当てられたアクセス許可と、ユーザーが属するグループのアクセス許可を組み合わせた結果です。

新しい共有権限

Windows 7は、新しい「簡単な」共有手法に沿って購入しました。オプションが「読み取り」、「変更」、「フルコントロール」からに変更されました。読み取りおよび読み取り/書き込み。このアイデアはホームグループ全体の考え方の一部であり、コンピューターに詳しくない人でもフォルダーを簡単に共有できます。これはコンテキストメニューを介して行われ、ホームグループと簡単に共有できます。

ホームグループに属していない人と共有したい場合は、いつでも「特定の人…」オプションを選択できます。これにより、より「手の込んだ」ダイアログが表示されます。特定のユーザーまたはグループを指定できる場所。

前述のように、許可は2つしかありません。これらを合わせると、フォルダーとファイルにオールオアナッシング保護スキームが提供されます。

1. 読んだ 許可は「見て、触れないでください」オプションです。受信者はファイルを開くことはできますが、ファイルを変更または削除することはできません。
2. 読み書き 「何でもする」オプションです。受信者は、ファイルを開いたり、変更したり、削除したりできます。

オールドスクールウェイ

古い共有ダイアログにはより多くのオプションがあり、別のエイリアスでフォルダを共有するオプションがありました。これにより、同時接続の数を制限したり、キャッシュを構成したりできました。この機能はWindows7で失われることはなく、「高度な共有」と呼ばれるオプションの下に隠されています。フォルダを右クリックしてそのプロパティに移動すると、[共有]タブの下にこれらの「詳細共有」設定があります。

ローカル管理者の資格情報が必要な[高度な共有]ボタンをクリックすると、以前のバージョンのWindowsで使い慣れていたすべての設定を構成できます。

権限ボタンをクリックすると、私たちがよく知っている3つの設定が表示されます。

1. 読んだ 権限を使用すると、ファイルやサブディレクトリを表示して開いたり、アプリケーションを実行したりできます。ただし、変更を加えることはできません。
2. 変更 許可により、次のことができるようになります 読んだ 許可があれば、ファイルとサブディレクトリを追加したり、サブフォルダを削除したり、ファイル内のデータを変更したりする機能も追加されます。
3. フルコントロール これは、以前のすべてのアクセス許可を実行できるため、従来のアクセス許可の「何でも実行」です。さらに、高度な変更NTFSアクセス許可を提供します。これは、NTFSフォルダーにのみ適用されます。

NTFSアクセス許可

NTFSアクセス許可により、ファイルとフォルダーを非常にきめ細かく制御できます。そうは言っても、粒度の量は新参者にとって気が遠くなる可能性があります。ファイルごとおよびフォルダごとにNTFSアクセス許可を設定することもできます。ファイルにNTFSアクセス許可を設定するには、右クリックしてファイルのプロパティに移動し、[セキュリティ]タブに移動する必要があります。

ユーザーまたはグループのNTFSアクセス許可を編集するには、編集ボタンをクリックします。

ご覧のとおり、NTFSアクセス許可はかなりたくさんあるので、それらを分解してみましょう。まず、ファイルに設定できるNTFSアクセス許可について説明します。

1. フルコントロール 読み取り、書き込み、変更、実行、属性、権限の変更、およびファイルの所有権の取得を可能にします。
2. 変更 ファイルの属性の読み取り、書き込み、変更、実行、および変更を行うことができます。
3. 読み取りと実行 これにより、ファイルのデータ、属性、所有者、およびアクセス許可を表示し、プログラムの場合はファイルを実行できます。
4. 読んだ ファイルを開いて、その属性、所有者、およびアクセス許可を表示できます。
5. 書く ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

フォルダのNTFSアクセス許可にはわずかに異なるオプションがあるので、それらを見てみましょう。

1. フルコントロール フォルダ内のファイルの読み取り、書き込み、変更、および実行、属性、アクセス許可の変更、およびフォルダ内の1つまたは複数のファイルの所有権の取得を可能にします。
2. 変更 フォルダ内のファイルの読み取り、書き込み、変更、実行、およびフォルダ内の1つまたは複数のファイルの属性の変更を可能にします。
3. 読み取りと実行 フォルダの内容を表示し、フォルダ内のファイルのデータ、属性、所有者、およびアクセス許可を表示し、フォルダ内のファイルを実行できるようになります。
4. リストフォルダの内容 フォルダの内容を表示し、フォルダ内のファイルのデータ、属性、所有者、およびアクセス許可を表示できます。
5. 読んだ ファイルのデータ、属性、所有者、およびアクセス許可を表示できます。
6. 書く ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

Microsoftのドキュメント また、「フォルダの内容を一覧表示」ではフォルダ内のファイルを実行できると記載されていますが、そのためには「読み取りと実行」を有効にする必要があります。これは非常に紛らわしい文書化された許可です。

概要

要約すると、ユーザー名とグループはSID（セキュリティ識別子）と呼ばれる英数字の文字列の表現であり、共有とNTFSのアクセス許可はこれらのSIDに関連付けられています。共有アクセス許可は、ネットワーク経由でアクセスされた場合にのみLSSASによってチェックされますが、NTFSアクセス許可はローカルマシンでのみ有効です。 Windows7でファイルとフォルダーのセキュリティがどのように実装されているかを十分に理解していただければ幸いです。ご不明な点がございましたら、コメント欄でお気軽にお問い合わせください。