紛らわしい Windows 7 のファイル/共有アクセス許可を理解する方法

Windows のすべての権限を把握しようとしたことがありますか?共有アクセス許可、NTFS アクセス許可、アクセス制御リストなどがあります。これらすべてがどのように連携するかは次のとおりです。

セキュリティ識別子

Windows オペレーティング システムでは、SID を使用してすべてのセキュリティ プリンシパルを表します。 SID は、マシン、ユーザー、グループを表す単なる可変長の英数字の文字列です。 SID は、ユーザーまたはグループにファイルまたはフォルダーへのアクセス許可を付与するたびに、ACL (アクセス制御リスト) に追加されます。バックグラウンドでの SID は、他のすべてのデータ オブジェクトと同じようにバイナリで保存されます。ただし、Windows で SID を表示する場合は、より読みやすい構文を使用して表示されます。 Windows で何らかの形式の SID が表示されることはあまりありません。最も一般的なシナリオは、誰かにリソースへのアクセス許可を付与し、その後そのユーザー アカウントが削除され、ACL に SID として表示されることです。それでは、Windows で SID が表示される一般的な形式を見てみましょう。

表示される表記法は特定の構文を採用しています。以下に、この表記法の SID のさまざまな部分を示します。

1. 「S」の接頭辞
2. 構造のリビジョン番号
3. 48 ビットの識別子権限値
4. 32 ビットの副権限または相対識別子 (RID) 値の可変数

以下の画像の SID を使用して、理解を深められるようさまざまなセクションに分けて説明します。

SID 構造:

「S」 – SID の最初のコンポーネントは常に「S」です。これはすべての SID の先頭に付けられ、その後に続くのが SID であることを Windows に通知するためにあります。

‘1’ – SID の 2 番目のコンポーネントは SID 仕様のリビジョン番号です。SID 仕様が変更された場合、下位互換性が提供されます。 Windows 7 および Server 2008 R2 の時点では、SID 仕様はまだ最初のリビジョンのままです。

‘5’ – SID の 3 番目のセクションは、識別子権限と呼ばれます。これは、SID が生成されたスコープを定義します。 SID のこのセクションに可能な値は次のとおりです。

1. 0 – 無効な権限
2. 1 – 世界権威
3. 2 – 地方自治体
4. 3 – 作成者権限
5. 4 – 固有でない権限
6. 5 – NT 当局

’21’ – 4 番目のコンポーネントはサブ権限 1 です。値 ’21’ は、後続のサブ権限がローカル マシンまたはドメインを識別することを指定するために 4 番目のフィールドで使用されます。

‘1206375286-251249764-2214032401’ – これらはそれぞれサブ権限 2、3、および 4 と呼ばれます。この例では、これはローカル マシンを識別するために使用されますが、ドメインの識別子としても使用できます。

「1000」 – サブ権限 5 は SID の最後のコンポーネントであり、RID (相対識別子) と呼ばれます。RID は各セキュリティ プリンシパルに相対的です。ユーザー定義のオブジェクト (Microsoft によって出荷されていないオブジェクト) には注意してください。 RID は 1000 以上になります。

セキュリティプリンシパル

セキュリティ プリンシパルとは、SID が関連付けられているものすべてであり、ユーザー、コンピューター、さらにはグループも含まれます。セキュリティ プリンシパルはローカルにすることも、ドメイン コンテキスト内に置くこともできます。ローカル セキュリティ プリンシパルは、コンピュータ管理のローカル ユーザーとグループ スナップインを使用して管理します。そこにアクセスするには、[スタート] メニューのコンピューターのショートカットを右クリックし、[管理] を選択します。

新しいユーザー セキュリティ プリンシパルを追加するには、ユーザー フォルダーに移動し、右クリックして新しいユーザーを選択します。

ユーザーをダブルクリックすると、そのユーザーを [メンバー] タブのセキュリティ グループに追加できます。

新しいセキュリティ グループを作成するには、右側の [グループ] フォルダーに移動します。空白部分を右クリックし、新しいグループを選択します。

共有権限とNTFS権限

Windows には、ファイルとフォルダーのアクセス許可には 2 種類あります。1 つ目は共有アクセス許可で、2 つ目はセキュリティ アクセス許可とも呼ばれる NTFS アクセス許可です。フォルダーを共有すると、デフォルトで「Everyone」グループに読み取り権限が与えられることに注意してください。フォルダーのセキュリティは、通常、共有アクセス許可と NTFS アクセス許可の組み合わせで行われます。この場合、最も制限的なアクセス許可が常に適用されることを覚えておくことが重要です。たとえば、共有アクセス許可がEveryone = Read (デフォルト) に設定されている場合、ただし、NTFS アクセス許可ではユーザーがファイルに変更を加えることができますが、共有アクセス許可が優先され、ユーザーは変更を行うことができません。権限を設定すると、LSASS (ローカル セキュリティ機関) がリソースへのアクセスを制御します。ログオンすると、SID が含まれたアクセス トークンが与えられます。リソースにアクセスすると、LSASS は ACL (アクセス コントロール リスト) に追加した SID を比較し、SID が ACL にある場合は、SID を追加するかどうかを決定します。アクセスを許可または拒否します。どの権限を使用するかに関係なく、違いがあるため、いつ何を使用する必要があるかをより深く理解するために見てみましょう。

共有権限:

1. ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。これらは、ターミナル サービスなどを介してローカルにログオンする場合には適用されません。
2. これは、共有リソース内のすべてのファイルとフォルダーに適用されます。より詳細な制限スキームを提供したい場合は、共有アクセス許可に加えて NTFS アクセス許可を使用する必要があります。
3. FAT または FAT32 でフォーマットされたボリュームがある場合、これらのファイル システムでは NTFS アクセス許可が利用できないため、これが利用できる唯一の制限形式となります。

NTFS アクセス許可:

1. NTFS アクセス許可の唯一の制限は、NTFS ファイル システムにフォーマットされたボリュームにのみ設定できることです。
2. NTFS は累積的であることに注意してください。これは、ユーザーの有効なアクセス許可は、ユーザーに割り当てられたアクセス許可と、ユーザーが属するグループのアクセス許可を組み合わせた結果であることを意味します。

新しい共有権限

Windows 7 は、新しい「簡単な」共有技術に基づいて購入されました。オプションが読み取り、変更、およびフル コントロールからに変更されました。読み取りと読み取り/書き込み。このアイデアはホーム グループ全体の考え方の一部であり、コンピューターに詳しくない人でもフォルダーを簡単に共有できるようになります。これはコンテキスト メニューから行うことができ、ホーム グループと簡単に共有できます。

ホームグループに属していない人と共有したい場合は、いつでも「特定の人…」オプションを選択できます。これにより、より「詳細な」ダイアログが表示されます。特定のユーザーまたはグループを指定できる場所。

前述したように権限は 2 つだけあり、これらを組み合わせることで、フォルダーとファイルに対する全か無かの保護スキームが提供されます。

1. 読み取り 許可は「見て、触らない」オプションです。受信者はファイルを開くことはできますが、変更または削除することはできません。
2. 読み取り/書き込みは 「何でもできる」オプションです。受信者はファイルを開いたり、変更したり、削除したりできます。

オールドスクールなやり方

古い共有ダイアログにはより多くのオプションがあり、別のエイリアスでフォルダーを共有するオプションがあり、同時接続の数を制限したり、キャッシュを構成したりすることができました。この機能は Windows 7 では失われませんが、「高度な共有」と呼ばれるオプションの下に隠されています。フォルダーを右クリックしてそのプロパティに移動すると、共有タブの下にこれらの「詳細な共有」設定が表示されます。

[詳細な共有] ボタンをクリックすると、ローカル管理者の資格情報が必要になり、以前のバージョンの Windows で使い慣れたすべての設定を構成できます。

権限ボタンをクリックすると、よく知られている 3 つの設定が表示されます。

1. 読み取り 権限を付与すると、ファイルやサブディレクトリを表示して開いたり、アプリケーションを実行したりすることができます。ただし、変更は許可されません。
2. 変更 権限を使用すると、 読み取り 権限で許可されているすべての操作が可能になります。また、ファイルとサブディレクトリの追加、サブフォルダの削除、ファイル内のデータの変更の機能も追加されます。
3. フル コントロールは 、従来のアクセス許可の「何でもできる」アクセス許可であり、以前のアクセス許可をすべて実行できるようになります。さらに、NTFS アクセス許可を高度に変更できます。これは NTFS フォルダーにのみ適用されます。

NTFS アクセス許可

NTFS アクセス許可を使用すると、ファイルとフォルダーを非常に細かく制御できます。そうは言っても、その粒度の多さは初心者にとっては気が遠くなるかもしれません。 NTFS アクセス許可をファイル単位およびフォルダー単位で設定することもできます。ファイルに NTFS アクセス許可を設定するには、右クリックしてファイルのプロパティに移動し、[セキュリティ] タブに移動する必要があります。

ユーザーまたはグループの NTFS アクセス許可を編集するには、編集ボタンをクリックします。

ご覧のとおり、非常に多くの NTFS アクセス許可があるため、それらを分類してみましょう。まず、ファイルに設定できる NTFS アクセス許可を見ていきます。

1. フル コントロールを使用 すると、ファイルの読み取り、書き込み、変更、実行、属性、アクセス許可の変更、およびファイルの所有権の取得が可能になります。
2. 「変更」を使用すると 、ファイルの属性の読み取り、書き込み、変更、実行、および変更を行うことができます。
3. 読み取りと実行を使用すると、 ファイルのデータ、属性、所有者、権限を表示し、ファイルがプログラムの場合は実行できます。
4. 「読み取り」を使用すると 、ファイルを開いて、その属性、所有者、およびアクセス許可を表示できるようになります。
5. 「書き込み」を使用 すると、ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

フォルダーの NTFS アクセス許可には若干異なるオプションがあるので、それらを見てみましょう。

1. フル コントロールを使用する と、フォルダー内のファイルの読み取り、書き込み、変更、実行、属性、アクセス許可の変更、フォルダーまたはフォルダー内のファイルの所有権の取得が可能になります。
2. [変更] を使用すると、 フォルダー内のファイルの読み取り、書き込み、変更、実行、およびフォルダーまたはフォルダー内のファイルの属性の変更が可能になります。
3. 読み取りと実行を使用すると、 フォルダーの内容を表示したり、フォルダー内のファイルのデータ、属性、所有者、アクセス許可を表示したり、フォルダー内のファイルを実行したりできます。
4. [フォルダーの内容の一覧表示] を使用 すると、フォルダーの内容を表示し、フォルダー内のファイルのデータ、属性、所有者、アクセス許可を表示できます。
5. 「読み取り」を使用すると 、ファイルのデータ、属性、所有者、および権限を表示できます。
6. 「書き込み」を使用 すると、ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

Microsoft のドキュメントには 、「フォルダーの内容の一覧表示」を使用するとフォルダー内のファイルを実行できるとも記載されていますが、そのためには「読み取りと実行」を有効にする必要があります。これは非常にわかりにくい文書化された許可です。

まとめ

要約すると、ユーザー名とグループは SID (セキュリティ識別子) と呼ばれる英数字の文字列で表され、共有および NTFS アクセス許可はこれらの SID に関連付けられます。共有アクセス許可は、ネットワーク経由でアクセスされる場合にのみ LSSAS によってチェックされますが、NTFS アクセス許可はローカル マシンでのみ有効です。皆さんが Windows 7 のファイルとフォルダーのセキュリティがどのように実装されているかをしっかりと理解できたことを願っています。ご質問がございましたら、お気軽にコメント欄にてお問い合わせください。