【図解】初心者向けWindowsアクセス権~NTFSとSMB/CIFS(共有フォルダ)の優先順位や動作〜

Windows の2種類のアクセス権

Windows のフォルダ/ファイルのアクセス権には以下の 2 種類があります。

  1. NTFS ファイルシステムに内在するアクセス権
  2. SMB/CIFS (共有フォルダ) サービスに内在するアクセス権

1つ目の NTFS アクセス権は、NTFS ファイルシステム上に存在しているフォルダやファイル 1 つ 1 つにアクセス許可・拒否のルールが書かれているものです。その Windows マシンにログインしたユーザはこのアクセス権に従ってフォルダ/ファイルへの制御が為されます。

NTFS アクセス権の種類は単純な「読み取り」や「書き込み」だけでなく、「フォルダの内容の一覧表示」、「アクセス許可の読み取り」等、13 種類あります

2 つ目の SMB/CIFS アクセス権は、別のマシンが SMB (CIFS) というプロトコルを使って IP ネットワーク経由でその Windows マシンのファイルシステム (共有フォルダ) にアクセスする場合に適用されるものです。

SMB/CIFS アクセス権の種類は、NTFS アクセス権と違い、「Read Only (読み取り)」と「Read/Write (読み書き)」の 2 種類だけです。

SMB/CIFS で別マシンの NTFS ファイルシステム上のフォルダ/ファイルへアクセスする場合、まずはこの SMB/CIFS アクセス権で許可されている必要がありますが、NTFS アクセス権でも許可されている必要があります

例えば SMB/CIFS アクセス権が読み取りの場合は NTFS アクセス権が書き込みがあっても SMB/CIFS 経由では書き込みできません (直接 Windows ログインすれば可) し、SMB/CIFS アクセス権が読み書き可であっても NTFS アクセス権で何も権限がなければ何もできません。

1. NTFSのアクセス権

OS とファイルシステムとアクセス制御

Windows OS と NTFS ファイルシステムは、独立したものではありますが、緊密に連携されています。

https://milestone-of-se.nesuke.com/sv-basic/architecture/os-and-filesystem/

特にフォルダ/ファイルのアクセス制御は、OS 上で管理されている『 SID (Windows ユーザアカウントの識別子)』が、NTFS ファイルシステム上で管理されている『アクセス権情報』に含まれていますので、OS とファイルシステムの連携の代表例になります。

所有者とアクセス権

各フォルダ/ファイルのアクセス制御に関わるのは『アクセス権』と『所有者』の2つです。

まず、アクセス権にはそのフォルダ/ファイルに対し、『誰が(どの SID が)』『どのような操作をして良いか(フルコントロールか、読み書きか、読み取りのみか、等)』が記述されています。

例えばあるファイルには、『 [ administrator の SID ] フルコントロール可[ ユーザ A の SID ] は読み書き可、[ ユーザ B の SID ] は読み取りのみ可』等と書かれています。これについては最初の図の例にある通りです。

次に所有者についてですが、所有者にはそのフォルダ/ファイルへのアクセス権を自由に変更できる権限が与えられます。

なお、administrator であっても『アクセス権』で許可されていなければアクセスできません。このあたりが Linux と考え方が異なります (Linux では root ユーザはパーミッション無視で全てにアクセス可能)。

ですが、administrator 等一部の管理者ユーザについては、全てのフォルダ/ファイルに対し、アクセス権(パーミッション)無視で、所有者の変更が可能です。なのでアクセス権がなくなっても、まずは所有者を administrator に変えれば、その後に自身のアクセス権を付与し、アクセス可能になります。

関連記事

症状 Windows の フォルダ (NTFS) アクセス権に管理者 (administrator) が無いため、フォルダにアクセスできない。また、アクセス権の変更 (administratorの追加) もできない。 具体的には、ま[…]

また、アクセス権の詳細については以下を参照してください。

関連記事

Windows の NTFS アクセス権の種類 Windows の NTFS アクセス権には、『基本のアクセス許可』と『高度なアクセス許可』が存在します。 高度なアクセス許可には13種類のアクセス権があり、全てが許可された状態を『フ[…]

2. SMB/CIFS (ファイル共有) のアクセス権

Windows のファイルを IP ネットワーク経由で共有させる場合、SMB というプロトコルを使って共有します。(もともとは CIFS という名前だった)

この SMB は『 NTFS アクセス権』とは独立した『 SMB/CIFS アクセス権情報』を保有しています。

NTFS アクセス権がファイルシステム上のフォルダ/ファイル1つ1つにあるのに対し、SMB/CIFS アクセス権は、SMB/CIFS サービスプロセス上にあります

SMB/CIFS サービスプロセスでは、クライアント(ユーザ)からのコマンドが『どのファイルに対して』『どのような操作をするか(Read なのか Write なのか)』を見て、SMB/CIFS アクセス権に合致するかを確認し、後の処理は NTFS ファイルシステムの管理プロセスに委ねます。

つまり SMB/CIFS アクセス権はネットワークアクセスに対する門番であり、それ以降は NTFS アクセス権が制御します。

NTFS アクセス権と SMB/CIFS アクセス権の違いが分かる具体的な設定例

例えば、ある Windows に、フォルダ『c:¥test1¥test2』を共有設定 (共有名 : test3、アクセス権 : taro.ito=Read Only) したとします。

このとき、Windows に直接ログインしたユーザがエクスプローラから見る分には変化ありませんが、別のマシンから SMB/CIFS で接続しに行くと、共有したフォルダが見えるようになります。例えば共有設定した Windows の IP が 10.1.1.1 だった場合、エクスプローラで

\\10.1.1.1\test3

と打つと、共有した C:\test1\test2 の中が見えるようになります。

この時、上位フォルダの “test1“ の NTFS アクセス権は無視されますが、test1 のフォルダには辿れません。test3 の SMB/CIFS アクセス権と test2 の NTFS アクセス権の両方で許可されている範囲でアクセスが可能になります。

つまり、共有したフォルダはショートカットができるが、ショートカットされた途中のパス (test1)はアクセスできないのです。

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー(VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services(IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG