【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~

Windows の NTFS アクセス権の種類

Windows の NTFS アクセス権には、『基本のアクセス許可』と『高度なアクセス許可』が存在します。

高度なアクセス許可には13種類のアクセス権があり、全てが許可された状態を『フルコントロール』と呼びます。また、その13種類の組合せのうち、基本的によく使われる組合せを基本のアクセス許可として用意しています。そしてその基本的な組み合わせとは異なる組合せのものを『特殊なアクセス許可』と呼びます。

※なので特殊なアクセス許可がチェックできないのは当然です。高度なアクセス許可で基本的な組み合わせと異なる場合に勝手にチェックが付きます。

アクセス許可の種類はファイルへの適用時とフォルダへの適用時で意味が異なるものがあります。

基本のアクセス許可

基本のアクセス許可の一覧とそれぞれの意味を以下に示します。

基本のアクセス許可 ファイルへの適用時 フォルダへの適用時
フルコントロール 全ての操作が可能
変更 所有権の変更およびアクセス権の変更以外の操作が可能
読み取りと実行 ファイルの読み取りと実行が可能
(実行には読み取りが必要)
フォルダへのアクセスおよびその
フォルダの内容の一覧表示が可能
フォルダーの一覧表示 存在しない
読み取り ファイルの読み取りが可能
(実行は不可)
書き込み ファイルへの書き込みが可能
属性への書き込みも可能
そのフォルダ配下にファイルや
フォルダの作成が可能
属性への書き込みも可能
特殊なアクセス許可 高度なアクセス許可の組合せが特殊な場合

高度なアクセス許可

高度なアクセス許可の一覧とそれぞれの意味を以下に示します。

高度なアクセス許可 ファイルへの適用時 フォルダへの適用時
フォルダーのスキャン
/ファイルの実行
プログラムとして起動可能 そのフォルダの1つ下のフォルダ
へのアクセスが可能
フォルダーの一覧
/データの読み取り
ファイルのデータ領域を閲覧可能 そのフォルダ内へのアクセス
および一覧表示が可能
属性の読み取り Time Stamp等の属性情報を閲覧可能
拡張属性の読み取り 拡張属性($EA)を閲覧可能
ファイルの作成
/データの書き込み
ファイルへの書き込みが可能 そのフォルダ配下にファイルの
作成が可能
フォルダーの作成
/データの追加
ファイルへの追記が可能
(上書き保存は不可)
そのフォルダ配下にフォルダの
作成が可能
属性の書き込み Time Stamp等の属性情報を書き込み可能
拡張属性の
書き込み
拡張属性($EA)を書き込み可能
サブフォルダーと
ファイルの削除
存在しない そのフォルダ配下のフォルダと
ファイルの削除が可能
削除 そのファイル自体の削除が可能 そのフォルダ自体の削除が可能
アクセス許可
の読み取り
アクセス権情報の読み取りが可能
アクセス許可の変更 アクセス権の変更が可能
所有権の取得 所有権の変更が可能

『フォルダーのスキャン』と『フォルダーの一覧』の違い

『フォルダーの一覧』はそのフォルダーへのアクセスおよびそのフォルダ内のフォルダ/ファイルを一覧表示する権限です。

一方、『フォルダーのスキャン』とは、そのフォルダーを横断する権限です。

例えば t.taro というユーザに対して "C:\Project-X\Task1" へのフルコントロールを与えるときの制約条件として、 t.taro には "C:\Project-X" 配下の Task1 以外のフォルダーは見せたくないし、アクセスさせたくない、というケースを考えます。

このとき、"Project-X" のフォルダーへのアクセス権として『フォルダーのスキャン』のみを与えます。すると t.taro は エクスプローラで "C:\Project-X\Task1" のパスを直接指定することで、Project-X を横断し、Task1 へアクセスができるようになります

なお、注意点として、これはあくまで Windows ログインしたローカルマシン内の操作についての話です。

CIFS によるリモートアクセスの場合、実はこの『フォルダーのスキャン』はわざわざ付ける必要はありません

具体的には、"C:\Project-X" を共有名 "Project-X" で CIFS アクセス出来る状態にした場合、t.taro に "C:\Project-X\Task1" へのフルコントロール等を与えておけばよく、"C:\Project-X"に対して『フォルダーのスキャン』の権限を与える必要はありません。

『サブフォルダーとファイルの削除』と『削除』の違い

t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限を与えた場合、その配下のファイル(例えば "C:\temp\test.txt")やフォルダは削除可能となります。

一方、t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限が無い場合であっても、"C:\temp\test.txt" に対して『削除』権限が与えられている場合はこのファイルを削除できます。

どちらか一方が与えられてればOKなのです

 『データの書き込み』と『データの追加』の違い

『データの書き込み』は上書き保存が可能であるのに対し、『データの追加』は上書き保存ができません。ログファイルにどんどん追記していくような操作は『データの追加』権限のみで事足りますが、Word や Excel 等、ユーザが手動で利用するプログラムのほとんどではデータを追記しようとしても保存時に "上書き保存" することになりますので、どうしても『データの書き込み』権限が必要になります。

『アクセス許可の読み取り』と『所有権の変更』について

『アクセス許可の読み取り』の権限が無い場合、アクセス権設定を見ようとすると、以下のように『このオブジェクトのプロパティを表示するには、読み取りアクセス許可が必要です』と表示されます。

また、この場合、『詳細設定』をクリックすると以下のように表示されます。

『現在の所有者を表示できません。』となりますが、このとき『所有権の取得』の権限がある場合は上記の『変更』リンクをクリックし、自分のユーザ名を指定することで所有者を自分にすることができます。

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー(VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services(IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG