Geek School: Windows 7 の学習 - リソースアクセス

Geek School のこのインストールでは、フォルダーの仮想化、SID、アクセス許可、および暗号化ファイルシステムについて説明します。

Windows 7 に関するこの Geek School シリーズの以前の記事を必ずチェックしてください。

今週は残りのシリーズをお楽しみに。

フォルダーの仮想化

Windows 7 ではライブラリの概念が導入され、コンピュータ上の別の場所にあるリソースを一元的に表示できるようになりました。具体的には、ライブラリ機能を使用すると、コンピュータ上のどこからでも、ドキュメント、ミュージック、ビデオ、ピクチャの 4 つのデフォルトライブラリの 1 つにフォルダを追加できます。これらのライブラリには、Windows エクスプローラのナビゲーションウィンドウから簡単にアクセスできます。

ライブラリ機能については、次の 2 つの重要な点に注意してください。

フォルダーをライブラリに追加すると、フォルダー自体は移動せず、フォルダーの場所へのリンクが作成されます。
ネットワーク共有をライブラリに追加するには、オフラインで利用できる必要がありますが、シンボリックリンクを使用して回避策を使用することもできます。

フォルダーをライブラリに追加するには、ライブラリに移動して、場所のリンクをクリックするだけです。

次に、追加ボタンをクリックします。

次に、ライブラリに含めるフォルダーを見つけて、「フォルダーを含める」ボタンをクリックします。

それだけです。

セキュリティ識別子

Windows オペレーティングシステムでは、SID を使用してすべてのセキュリティ原則を表します。 SID は、マシン、ユーザー、グループを表す単なる可変長の英数字の文字列です。 SID は、ユーザーまたはグループにファイルまたはフォルダーへのアクセス許可を付与するたびに、ACL (アクセス制御リスト) に追加されます。バックグラウンドでは、SID は他のすべてのデータオブジェクトと同じ方法でバイナリで保存されます。ただし、Windows で SID を表示する場合は、より読みやすい構文を使用して表示されます。 Windows で何らかの形式の SID が表示されることはあまりありません。最も一般的なシナリオは、誰かにリソースへのアクセス許可を付与し、そのユーザーアカウントを削除する場合です。 SID は ACL に表示されます。それでは、Windows で SID が表示される一般的な形式を見てみましょう。

表示される表記法は特定の構文を使用します。以下は SID のさまざまな部分です。

「S」の接頭辞
構造のリビジョン番号
48 ビットの識別子権限値
32 ビットの副権限または相対識別子 (RID) 値の可変数

以下の画像の SID を使用して、理解を深められるようさまざまなセクションに分けて説明します。

SID 構造:

「S」 – SID の最初のコンポーネントは常に「S」です。これはすべての SID の先頭に付けられ、その後に続くのが SID であることを Windows に通知するためにあります。

‘1’ – SID の 2 番目のコンポーネントは、SID 仕様のリビジョン番号です。 SID 仕様が変更された場合、下位互換性が提供されます。 Windows 7 および Server 2008 R2 の時点では、SID 仕様はまだ最初のリビジョンにあります。

‘5’ – SID の 3 番目のセクションは、識別子権限と呼ばれます。これは、SID が生成されたスコープを定義します。 SID のこのセクションに可能な値は次のとおりです。

0 – 無効な権限

1 – 世界権威

2 – 地方自治体

3 – クリエイター権限

4 – 非固有の権限

5 – NT 当局

’21’ – 4 番目のコンポーネントはサブ権限 1 です。値 ’21’ は、後続のサブ権限がローカルマシンまたはドメインを識別することを指定するために 4 番目のフィールドで使用されます。

‘1206375286-251249764-2214032401’ – これらはそれぞれサブ権限 2、3、および 4 と呼ばれます。この例では、これはローカルマシンを識別するために使用されますが、ドメインの識別子としても使用できます。

「1000」 – サブ権限 5 は SID の最後のコンポーネントであり、RID (相対識別子) と呼ばれます。 RID は各セキュリティ原則に関連しています。Microsoft によって出荷されていないユーザー定義オブジェクトの RID は 1000 以上であることに注意してください。

セキュリティ原則

セキュリティ原則とは、SID が関連付けられているものすべてです。これらは、ユーザー、コンピュータ、さらにはグループである可能性があります。セキュリティ原則はローカルにすることも、ドメインコンテキスト内に置くこともできます。ローカルセキュリティの原則は、コンピュータ管理のローカルユーザーとグループスナップインを使用して管理します。そこにアクセスするには、スタートメニューのコンピューターショートカットを右クリックし、[管理] を選択します。

新しいユーザーのセキュリティ原則を追加するには、「ユーザー」フォルダーに移動し、右クリックして「新規ユーザー」を選択します。

ユーザーをダブルクリックすると、そのユーザーを [メンバー] タブのセキュリティグループに追加できます。

新しいセキュリティグループを作成するには、右側の [グループ] フォルダーに移動します。空白部分を右クリックし、「新しいグループ」を選択します。

共有権限とNTFS権限

Windows には 2 種類のファイルとフォルダーのアクセス許可があります。まず、共有権限があります。 2 番目に、セキュリティアクセス許可とも呼ばれる NTFS アクセス許可があります。共有フォルダーの保護は、通常、共有アクセス許可と NTFS アクセス許可を組み合わせて行われます。このような場合、最も制限的な権限が常に適用されることを覚えておくことが重要です。たとえば、共有アクセス許可によってEveryoneセキュリティ原則の読み取りアクセス許可が付与されているが、NTFSアクセス許可によってユーザーがファイルを変更できる場合、共有アクセス許可が優先され、ユーザーは変更を行うことができなくなります。アクセス許可を設定すると、LSASS (Local Security Authority) がリソースへのアクセスを制御します。ログオンすると、SID が含まれたアクセストークンが与えられます。リソースにアクセスすると、LSASS は ACL (アクセス制御リスト) に追加した SID を比較します。 SID が ACL 上にある場合、SID によってアクセスを許可するか拒否するかが決定されます。どの権限を使用するかに関係なく、違いがあるため、いつ何を使用する必要があるかをより深く理解するために見てみましょう。

共有権限:

ネットワーク経由でリソースにアクセスするユーザーにのみ適用されます。これらは、ターミナルサービスなどを介してローカルにログオンする場合には適用されません。
これは、共有リソース内のすべてのファイルとフォルダーに適用されます。より詳細な種類の制限スキームを提供したい場合は、共有アクセス許可に加えて NTFS アクセス許可を使用する必要があります。
FAT または FAT32 でフォーマットされたボリュームがある場合、これらのファイルシステムでは NTFS アクセス許可が利用できないため、これが利用できる唯一の制限形式となります。

NTFS アクセス許可:

NTFS アクセス許可の唯一の制限は、NTFS ファイルシステムにフォーマットされたボリュームにのみ設定できることです。
NTFS アクセス許可は累積的であることに注意してください。つまり、ユーザーの有効な権限は、ユーザーに割り当てられた権限と、そのユーザーが属するグループの権限を組み合わせたものになります。

新しい共有権限

Windows 7 は、新しい「簡単な」共有技術に基づいて購入されました。オプションは、読み取り、変更、およびフルコントロールから読み取りおよび読み取り/書き込みに変更されました。このアイデアはホームグループ全体の考え方の一部であり、コンピューターに詳しくない人でもフォルダーを簡単に共有できるようになります。これはコンテキストメニューから行うことができ、ホームグループと簡単に共有できます。

ホームグループに属していない人と共有したい場合は、いつでも「特定の人…」オプションを選択できます。これにより、ユーザーまたはグループを指定できる、より「詳細な」ダイアログが表示されます。

前述したように、権限は 2 つだけです。これらを組み合わせることで、フォルダーとファイルに対する全か無かの保護スキームが提供されます。

読み取り 許可は「見て、触らない」オプションです。受信者はファイルを開くことはできますが、変更または削除することはできません。

読み取り/書き込みは 「何でもできる」オプションです。受信者はファイルを開いたり、変更したり、削除したりできます。

オールドスクール許可

古い共有ダイアログには、別のエイリアスでフォルダーを共有するオプションなど、より多くのオプションがありました。これにより、同時接続の数を制限したり、キャッシュを構成したりすることができました。この機能は Windows 7 では失われませんが、「高度な共有」と呼ばれるオプションの下に隠されています。フォルダーを右クリックしてそのプロパティに移動すると、共有タブの下にこれらの「詳細な共有」設定が表示されます。

[詳細な共有] ボタンをクリックすると、ローカル管理者の資格情報が必要になり、以前のバージョンの Windows で使い慣れたすべての設定を構成できます。

権限ボタンをクリックすると、よく知られた 3 つの設定が表示されます。

読み取り 権限を付与すると、ファイルやサブディレクトリを表示して開いたり、アプリケーションを実行したりすることができます。ただし、変更は許可されません。
変更権限を使用すると、 読み取り 権限で許可されているすべての操作が可能になります。また、ファイルとサブディレクトリの追加、サブフォルダの削除、ファイル内のデータの変更の機能も追加されます。
フルコントロールは 、従来のアクセス許可の「何でもできる」アクセス許可であり、以前のアクセス許可をすべて実行できるようになります。さらに、NTFS アクセス許可を高度に変更できますが、これは NTFS フォルダーにのみ適用されます。

NTFS アクセス許可

NTFS アクセス許可を使用すると、ファイルとフォルダーを非常に細かく制御できます。そうは言っても、その粒度の多さは初心者にとっては気が遠くなるかもしれません。 NTFS アクセス許可をファイル単位およびフォルダー単位で設定することもできます。ファイルに NTFS アクセス許可を設定するには、ファイルを右クリックしてプロパティに移動し、次にセキュリティタブに移動する必要があります。

ユーザーまたはグループの NTFS アクセス許可を編集するには、編集ボタンをクリックします。

ご覧のとおり、NTFS アクセス許可は非常にたくさんあるので、それらを分類してみましょう。まず、ファイルに設定できる NTFS アクセス許可を見ていきます。

フルコントロールを使用 すると、ファイルの読み取り、書き込み、変更、実行、属性、アクセス許可の変更、およびファイルの所有権の取得が可能になります。

「変更」を使用すると 、ファイルの属性の読み取り、書き込み、変更、実行、および変更を行うことができます。

[読み取りと実行] を使用すると、 ファイルのデータ、属性、所有者、権限を表示し、ファイルがプログラムの場合は実行できます。

「読み取り」を使用すると 、ファイルを開いて、その属性、所有者、およびアクセス許可を表示できるようになります。

「書き込み」を使用 すると、ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

フォルダーの NTFS アクセス許可には若干異なるオプションがあるので、それらを見てみましょう。

フルコントロールを使用すると、 フォルダー内のファイルの読み取り、書き込み、変更、実行、属性、アクセス許可の変更、フォルダーまたはフォルダー内のファイルの所有権の取得が可能になります。

「変更」を使用すると 、フォルダー内のファイルの読み取り、書き込み、変更、実行、およびフォルダーまたはフォルダー内のファイルの属性の変更が可能になります。

読み取りと実行を使用すると、 フォルダーの内容を表示したり、フォルダー内のファイルのデータ、属性、所有者、アクセス許可を表示したり、フォルダー内のファイルを実行したりできます。

[フォルダーの内容の一覧表示] を使用すると、フォルダーの内容を表示し、フォルダー内のファイルのデータ、属性、所有者、およびアクセス許可を表示し、フォルダー内のファイルを実行できます。

「読み取り」を使用すると 、ファイルのデータ、属性、所有者、および権限を表示できます。

「書き込み」を使用 すると、ファイルへのデータの書き込み、ファイルへの追加、およびその属性の読み取りまたは変更が可能になります。

まとめ

要約すると、ユーザー名とグループは、SID (セキュリティ識別子) と呼ばれる英数字の文字列を表現したものです。共有および NTFS アクセス許可は、これらの SID に関連付けられています。共有アクセス許可はネットワーク経由でアクセスされる場合にのみ LSSAS によってチェックされますが、NTFS アクセス許可は共有アクセス許可と組み合わされて、ネットワーク経由およびローカルでアクセスされるリソースに対してより詳細なレベルのセキュリティを可能にします。

共有リソースへのアクセス

PC 上でコンテンツを共有するために使用できる 2 つの方法について学びました。では、実際にネットワーク経由でコンテンツにアクセスするにはどうすればよいでしょうか?とてもシンプルです。ナビゲーションバーに次のように入力するだけです。

\\コンピュータ名\共有名

注: 明らかに、共有をホストしている PC の名前をcomputername、共有の名前をsharenameに置き換える必要があります。

これは 1 回限りの接続には最適ですが、大規模な企業環境ではどうなるでしょうか?確かに、この方法を使用してネットワークリソースに接続する方法をユーザーに教える必要はありません。これを回避するには、各ユーザーにネットワークドライブをマップすると、共有への接続方法を説明するのではなく、ドキュメントを「H」ドライブに保存するようにユーザーにアドバイスできます。ドライブをマッピングするには、コンピュータを開き、「ネットワークドライブのマッピング」ボタンをクリックします。

次に、共有の UNC パスを入力するだけです。

すべての PC でそれを行う必要があるのかと疑問に思われるかもしれませんが、幸いなことに答えはノーです。代わりに、ログオン時にユーザーのドライブを自動的にマップし、グループポリシー経由で展開するバッチスクリプトを作成できます。

コマンドを詳しく分析してみると、次のようになります。

net use コマンドを使用してドライブをマッピングしています。
* を使用して、次に使用可能なドライブ文字を使用することを示します。
最後に、ドライブをマッピングする 共有を指定します 。 UNC パスにはスペースが含まれているため、引用符を使用していることに注意してください。

暗号化ファイルシステムを使用したファイルの暗号化

Windows には、NTFS ボリューム上のファイルを暗号化する機能が含まれています。これは、あなただけがファイルを復号化して表示できることを意味します。ファイルを暗号化するには、ファイルを右クリックし、コンテキストメニューからプロパティを選択するだけです。

次に、「詳細設定」をクリックします。

ここで、「コンテンツを暗号化してデータを保護する」チェックボックスをオンにし、「OK」をクリックします。

次に、設定を適用してください。

ファイルを暗号化するだけで済みますが、親フォルダーも暗号化するオプションもあります。

ファイルが暗号化されると緑色に変わることに注意してください。

ファイルを開くことができるのは自分だけであり、同じ PC 上の他のユーザーは開くことができないことがわかります。暗号化プロセスでは公開キー暗号化を使用するため、暗号化キーを安全に保管してください。これらを紛失した場合、ファイルは失われ、復元する方法はありません。

宿題

権限の継承と効果的な権限について学びます。
この Microsoft ドキュメントをお読みください。
BranchCache を使用する理由を学びましょう。
プリンターを共有する方法と、共有する理由について説明します。