【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~

Windows の NTFS アクセス権の種類

Windows の NTFS アクセス権には、『基本のアクセス許可』と『高度なアクセス許可』が存在します。

高度なアクセス許可には13種類のアクセス権があり、全てが許可された状態を『フルコントロール』と呼びます。また、その13種類の組合せのうち、基本的によく使われる組合せを基本のアクセス許可として用意しています。そしてその基本的な組み合わせとは異なる組合せのものを『特殊なアクセス許可』と呼びます。

※なので特殊なアクセス許可がチェックできないのは当然です。高度なアクセス許可で基本的な組み合わせと異なる場合に勝手にチェックが付きます。

アクセス許可の種類はファイルへの適用時とフォルダへの適用時で意味が異なるものがあります。

基本のアクセス許可

基本のアクセス許可の一覧とそれぞれの意味を以下に示します。

基本のアクセス許可ファイルへの適用時フォルダへの適用時
フルコントロール全ての操作が可能
変更所有権の変更およびアクセス権の変更以外の操作が可能
読み取りと実行ファイルの読み取りと実行が可能
(実行には読み取りが必要)
フォルダへのアクセスおよびその
フォルダの内容の一覧表示が可能
フォルダーの一覧表示存在しない
読み取りファイルの読み取りが可能
(実行は不可)
書き込みファイルへの書き込みが可能
属性への書き込みも可能
そのフォルダ配下にファイルや
フォルダの作成が可能
属性への書き込みも可能
特殊なアクセス許可高度なアクセス許可の組合せが特殊な場合

高度なアクセス許可

高度なアクセス許可の一覧とそれぞれの意味を以下に示します。

高度なアクセス許可ファイルへの適用時フォルダへの適用時
フォルダーのスキャン
/ファイルの実行
プログラムとして起動可能そのフォルダの1つ下のフォルダ
へのアクセスが可能
フォルダーの一覧
/データの読み取り
ファイルのデータ領域を閲覧可能そのフォルダ内へのアクセス
および一覧表示が可能
属性の読み取りTime Stamp等の属性情報を閲覧可能
拡張属性の読み取り拡張属性($EA)を閲覧可能
ファイルの作成
/データの書き込み
ファイルへの書き込みが可能そのフォルダ配下にファイルの
作成が可能
フォルダーの作成
/データの追加
ファイルへの追記が可能
(上書き保存は不可)
そのフォルダ配下にフォルダの
作成が可能
属性の書き込みTime Stamp等の属性情報を書き込み可能
拡張属性の
書き込み
拡張属性($EA)を書き込み可能
サブフォルダーと
ファイルの削除
存在しないそのフォルダ配下のフォルダと
ファイルの削除が可能
削除そのファイル自体の削除が可能そのフォルダ自体の削除が可能
アクセス許可
の読み取り
アクセス権情報の読み取りが可能
アクセス許可の変更アクセス権の変更が可能
所有権の取得所有権の変更が可能

『フォルダーのスキャン』と『フォルダーの一覧』の違い

『フォルダーの一覧』はそのフォルダーへのアクセスおよびそのフォルダ内のフォルダ/ファイルを一覧表示する権限です。

一方、『フォルダーのスキャン』とは、そのフォルダーを横断する権限です。

例えば t.taro というユーザに対して "C:\Project-X\Task1" へのフルコントロールを与えるときの制約条件として、 t.taro には "C:\Project-X" 配下の Task1 以外のフォルダーは見せたくないし、アクセスさせたくない、というケースを考えます。

このとき、"Project-X" のフォルダーへのアクセス権として『フォルダーのスキャン』のみを与えます。すると t.taro は エクスプローラで "C:\Project-X\Task1" のパスを直接指定することで、Project-X を横断し、Task1 へアクセスができるようになります

なお、注意点として、これはあくまで Windows ログインしたローカルマシン内の操作についての話です。

CIFS によるリモートアクセスの場合、実はこの『フォルダーのスキャン』はわざわざ付ける必要はありません

具体的には、"C:\Project-X" を共有名 "Project-X" で CIFS アクセス出来る状態にした場合、t.taro に "C:\Project-X\Task1" へのフルコントロール等を与えておけばよく、"C:\Project-X"に対して『フォルダーのスキャン』の権限を与える必要はありません。

『サブフォルダーとファイルの削除』と『削除』の違い

t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限を与えた場合、その配下のファイル(例えば "C:\temp\test.txt")やフォルダは削除可能となります。

一方、t.taro に対して "C:\temp" への『サブフォルダーとファイルの削除』権限が無い場合であっても、"C:\temp\test.txt" に対して『削除』権限が与えられている場合はこのファイルを削除できます。

どちらか一方が与えられてればOKなのです

 『データの書き込み』と『データの追加』の違い

『データの書き込み』は上書き保存が可能であるのに対し、『データの追加』は上書き保存ができません。ログファイルにどんどん追記していくような操作は『データの追加』権限のみで事足りますが、Word や Excel 等、ユーザが手動で利用するプログラムのほとんどではデータを追記しようとしても保存時に "上書き保存" することになりますので、どうしても『データの書き込み』権限が必要になります。

『アクセス許可の読み取り』と『所有権の変更』について

『アクセス許可の読み取り』の権限が無い場合、アクセス権設定を見ようとすると、以下のように『このオブジェクトのプロパティを表示するには、読み取りアクセス許可が必要です』と表示されます。

また、この場合、『詳細設定』をクリックすると以下のように表示されます。

『現在の所有者を表示できません。』となりますが、このとき『所有権の取得』の権限がある場合は上記の『変更』リンクをクリックし、自分のユーザ名を指定することで所有者を自分にすることができます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする