【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~ | SEの道標
Windows基礎

【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~

Windows の NTFS アクセス権の種類

Windows の NTFS アクセス権には、『基本のアクセス許可』と『高度なアクセス許可』が存在します。

高度なアクセス許可には 13 種類のアクセス権があり、全てが許可された状態を『フルコントロール』と呼びます。

また、その 13 種類の組合せのうち、基本的によく使われる組合せを基本のアクセス許可として用意しています。

そしてその基本的な組み合わせとは異なる組合せのものを『特殊なアクセス許可』と呼びます。

※なので特殊なアクセス許可がチェックできないのは当然です。高度なアクセス許可で基本的な組み合わせと異なる場合に勝手にチェックが付きます。

アクセス許可の種類はファイルへの適用時とフォルダへの適用時で意味が異なるものがあります。

基本のアクセス許可

基本のアクセス許可の一覧とそれぞれの意味を以下に示します。

基本のアクセス許可ファイルへの適用時フォルダへの適用時
フルコントロール全ての操作が可能
変更所有権の変更およびアクセス権の変更以外の操作が可能
読み取りと実行ファイルの読み取りと実行が可能
(実行には読み取りが必要)
フォルダへのアクセスおよびその
フォルダの内容の一覧表示が可能
フォルダーの一覧表示存在しない
読み取りファイルの読み取りが可能
(実行は不可)
書き込みファイルへの書き込みが可能
属性への書き込みも可能
そのフォルダ配下にファイルや
フォルダの作成が可能
属性への書き込みも可能
特殊なアクセス許可高度なアクセス許可の組合せが特殊な場合

高度なアクセス許可

高度なアクセス許可の一覧とそれぞれの意味を以下に示します。

高度なアクセス許可ファイルへの適用時フォルダへの適用時
フォルダーのスキャン
/ファイルの実行
プログラムとして起動可能そのフォルダの1つ下のフォルダ
へのアクセスが可能
フォルダーの一覧
/データの読み取り
ファイルのデータ領域を閲覧可能そのフォルダ内へのアクセス
および一覧表示が可能
属性の読み取りTime Stamp等の属性情報を閲覧可能
拡張属性の読み取り拡張属性($EA)を閲覧可能
ファイルの作成
/データの書き込み
ファイルへの書き込みが可能そのフォルダ配下にファイルの
作成が可能
フォルダーの作成
/データの追加
ファイルへの追記が可能
(上書き保存は不可)
そのフォルダ配下にフォルダの
作成が可能
属性の書き込みTime Stamp等の属性情報を書き込み可能
拡張属性の
書き込み
拡張属性($EA)を書き込み可能
サブフォルダーと
ファイルの削除
存在しないそのフォルダ配下のフォルダと
ファイルの削除が可能
削除そのファイル自体の削除が可能そのフォルダ自体の削除が可能
アクセス許可
の読み取り
アクセス権情報の読み取りが可能
アクセス許可の変更アクセス権の変更が可能
所有権の取得所有権の変更が可能

『フルコントロール』と『変更』の違い

フルコントロール』が全ての権限を与えられるのに対し、『変更』では「所有者の変更やアクセス権の変更」が出来ません

つまり、フルコントロールではなく『変更』権限に落とすことで、ファイルやフォルダのアクセス権を勝手に変えさせない、という制限を課すことができます

ただし、この設定については NTFS アクセス権で設定しても効果が無いです。

というのも、ファイル/フォルダを作成したユーザは、そのファイル/フォルダの「所有者」となり、「所有者」はアクセス権設定に関係なく、アクセス権を変更できるからです。

なのでこのようなケースでは SMB/CIFS 共有アクセス権で『変更』を設定することで解決できます

詳細は以下をご参照下さい。『所有者』と混同されがちな『CREATOR OWNER』の考え方についても整理しています。

【図解/Windows】Creator Owner のアクセス権 ~所有者との違い,削除した時の挙動~
CREATOR OWNER とは CREATOR OWNER は Windows...

『フォルダーのスキャン』と『フォルダーの一覧』の違い

『フォルダーの一覧』はそのフォルダーへのアクセスおよびそのフォルダ内のフォルダ/ファイルを一覧表示する権限です。

一方、『フォルダーのスキャン』とは、そのフォルダーを横断する権限です。

例えば t.taro というユーザに対して "C:\Project-X\Task1" へのフルコントロールを与えるときの制約条件として、 t.taro には "C:\Project-X" 配下の Task1 以外のフォルダーは見せたくないし、アクセスさせたくない、というケースを考えます。

このとき、"Project-X" のフォルダーへのアクセス権として『フォルダーのスキャン』のみを与えます。すると t.taro は エクスプローラで "C:\Project-X\Task1" のパスを直接指定することで、Project-X を横断し、Task1 へアクセスができるようになります

なお、注意点として、これはあくまで Windows ログインしたローカルマシン内の操作についての話です。

CIFS によるリモートアクセスの場合、実はこの『フォルダーのスキャン』はわざわざ付ける必要はありません

具体的には、"C:\Project-X" を共有名 "Project-X" で CIFS アクセス出来る状態にした場合、t.taro に "C:\Project-X\Task1" へのフルコントロール等を与えておけばよく、"C:\Project-X"に対して『フォルダーのスキャン』の権限を与える必要はありません。

『サブフォルダーとファイルの削除』と『削除』の違い

t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限を与えた場合、その配下のファイル (例えば "C:\temp\test.txt") やフォルダは削除可能となります。

一方、t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限が無い場合であっても、"C:\temp\test.txt" に対して『削除』権限が与えられている場合はこのファイルを削除できます。

どちらか一方が与えられてれば OK なのです

 『データの書き込み』と『データの追加』の違い

『データの書き込み』は上書き保存が可能であるのに対し、『データの追加』は上書き保存ができません。ログファイルにどんどん追記していくような操作は『データの追加』権限のみで事足りますが、Word や Excel 等、ユーザが手動で利用するプログラムのほとんどではデータを追記しようとしても保存時に "上書き保存" することになりますので、どうしても『データの書き込み』権限が必要になります。

『アクセス許可の読み取り』と『所有権の変更』について

『アクセス許可の読み取り』の権限が無い場合、アクセス権設定を見ようとすると、以下のように『このオブジェクトのプロパティを表示するには、読み取りアクセス許可が必要です』と表示されます。

また、この場合、『詳細設定』をクリックすると以下のように表示されます。

『現在の所有者を表示できません。』となりますが、このとき『所有権の取得』の権限がある場合は上記の『変更』リンクをクリックし、自分のユーザ名を指定することで所有者を自分にすることができます。

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー (VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services (IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

コメント

  1. aaa より:

    参考になりました。記事の各々についてそれ自体は分かるのですが、それぞれの機能と13種類との掛け合わせで表現いただけると分かりやすいと思います。例えば「書き込み」が可能なら「読み取り」は? などです

タイトルとURLをコピーしました