【図解】初心者向けWindowsアクセス権~NTFSとCIFS(共有フォルダ)の優先順位や動作〜

Windows の2種類のアクセス権

Windows のフォルダ/ファイルのアクセス権には以下の2種類があります。

  1. NTFS ファイルシステムに内在するアクセス権
  2. CIFS(共有フォルダ)サービスに内在するアクセス権

1つ目の NTFS アクセス権は、NTFS ファイルシステム上に存在しているフォルダやファイル1つ1つにアクセス許可・拒否のルールが書かれているものです。その Windows マシンにログインしたユーザはこのアクセス権に従ってフォルダ/ファイルへの制御が為されます。

NTFS アクセス権の種類は単純な「読み取り」や「書き込み」だけでなく、「フォルダの内容の一覧表示」、「アクセス許可の読み取り」等、13種類あります

2つ目の CIFS アクセス権は、別のマシンが CIFS というプロトコルを使ってIPネットワーク経由でその Windows マシンのファイルシステム(共有フォルダ)にアクセスする場合に適用されるものです。

CIFS アクセス権の種類は、NTFS アクセス権と違い、「Read Only(読み取り)」と「Read/Write(読み書き)」の2種類だけです。

CIFS で別マシンの NTFS ファイルシステム上のフォルダ/ファイルへアクセスする場合、まずはこの CIFS アクセス権で許可されている必要がありますが、NTFS アクセス権でも許可されている必要があります

例えば CIFS アクセス権が読み取りの場合は NTFS アクセス権が書き込みがあっても CIFS 経由では書き込みできません(直接 Windows ログインすれば可)し、CIFS アクセス権が読み書き可であっても NTFS アクセス権で何も権限がなければ何もできません。

1. NTFSのアクセス権

OSとファイルシステムとアクセス制御

Windows OS と NTFS ファイルシステムは、独立したものではありますが、緊密に連携されています。

【図解】初心者向けファイルシステムの基礎知識〜仕組み, OSとの関係, アクセス権との連携〜
【図解】初心者向けファイルシステムの基礎知識〜仕組み, OSとの関係, アクセス権との連携〜
ファイルシステムの役割、構造、OSとの関係 WindowsからExplorer...

特にフォルダ/ファイルのアクセス制御は、OS 上で管理されている『 SID ( Windows ユーザアカウントの識別子)』が、NTFS ファイルシステム上で管理されている『アクセス権情報』に含まれていますので、OS とファイルシステムの連携の代表例になります。

所有者とアクセス権

各フォルダ/ファイルのアクセス制御に関わるのは『アクセス権』と『所有者』の2つです。

まず、アクセス権にはそのフォルダ/ファイルに対し、『誰が(どの SID が)』『どのような操作をして良いか(フルコントロールか、読み書きか、読み取りのみか、等)』が記述されています。

例えばあるファイルには、『 [ administrator の SID ] フルコントロール可[ ユーザ A の SID ] 読み書き可[ ユーザ B の SID ] 読み取りのみ可』等と書かれています。これについては最初の図の例にある通りです。

次に所有者についてですが、所有者にはそのフォルダ/ファイルへのアクセス権を自由に変更できる権限が与えられます。

なお、administrator であっても『アクセス権』で許可されていなければアクセスできません。このあたりが Linux と考え方が異なります(Linux では root ユーザはパーミッション無視で全てにアクセス可能)。

ですが、administrator 等一部の管理者ユーザについては、全てのフォルダ/ファイルに対し、アクセス権(パーミッション)無視で、所有者の変更が可能です。なのでアクセス権がなくなっても、まずは所有者を administrator に変えれば、その後に自身のアクセス権を付与し、アクセス可能になります。

Windowsで管理者(administrator)なのにフォルダ/ファイルのアクセス許可を変更できないしアクセスもできない
Windowsで管理者(administrator)なのにフォルダ/ファイルのアクセス許可を変更できないしアクセスもできない
症状 Windows の フォルダ(NTFS)アクセス権に管理者(admini...

また、アクセス権の詳細については以下を参照してください。

【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~
【Windows】NTFSのアクセス権の種類~高度なアクセス許可/特殊なアクセス許可一覧~
Windows の NTFS アクセス権の種類 Windows の NTFS ...

2. CIFS(ファイル共有)のアクセス権

Windows のファイルを IP ネットワーク経由で共有させる場合、CIFS というプロトコルを使って共有します。この CIFS は『 NTFS アクセス権』とは独立した『 CIFS アクセス権情報』を保有しています。

NTFS アクセス権がファイルシステム上のフォルダ/ファイル1つ1つにあるのに対し、CIFS アクセス権は、CIFS サービスプロセス上にあります

CIFS サービスプロセスでは、クライアント(ユーザ)からのコマンドが『どのファイルに対して』『どのような操作をするか( Read なのか Write なのか)』を見て、CIFS アクセス権に合致するかを確認し、後の処理は NTFS ファイルシステムの管理プロセスに委ねます。

つまり CIFS アクセス権はネットワークアクセスに対する門番であり、それ以降は NTFS アクセス権が制御します。

NTFS アクセス権と CIFS アクセス権の違いが分かる具体的な設定例

例えば、ある Windows に、フォルダ『c:¥test1¥test2』を共有設定(共有名 : test3、アクセス権 : taro.ito=Read Only)したとします。

このとき、Windows に直接ログインしたユーザがエクスプローラから見る分には変化ありませんが、別のマシンから CIFS で接続しに行くと、共有したフォルダが見えるようになります。例えば共有設定した Windows の IP が 10.1.1.1 だった場合、エクスプローラで

\\10.1.1.1\test3

と打つと、共有した C:\test1\test2 の中が見えるようになります。

この時、上位フォルダの “test1“ の NTFS アクセス権は無視されますが、test1 のフォルダには辿れません。test3 の CIFS アクセス権と test2 の NTFS アクセス権の両方で許可されている範囲でアクセスが可能になります。

つまり、共有したフォルダはショートカットができるが、ショートカットされた途中のパス(test1)はアクセスできないのです。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする