Windowsアクセス権設定(ACL)の基礎知識
フォルダのセキュリティを適切に設定するためには、Windowsのアクセス権設定の仕組みについて知る必要があります。
ファイルサーバを管理するシステム管理者の立場にある方であれば、Windowsエクスプローラでフォルダを右クリックして「セキュリティ」タブをクリックし、 アクセス権設定を見たり、変更したりしたことがあるはずです。しかし、自分が何をしているのかどうにも判りにくいと思ったことがあると思います。 私たちも、大規模ファイルサーバの運用現場でお客様からご相談をうける立場上、Windowsのセキュリティについて調べたのですが、当初は難解で腑に落ちないことだらけでした。 皆様が難しいと感じることを、できるだけ簡単にご説明いたします。(ただし、難しい概念を避けて通らずに正面から解説します)
では、始めましょう
Windowsの標準セキュリティ設定画面は役に立ちません
Windowsエクスプローラでフォルダを右クリックして、プロパティを表示し、セキュリティタブを選択すると、下記のような画面が出現します。
フォルダのセキュリティ設定をするためには、この画面で許可や拒否のチェックを入れれば良いと思われるかもしれませんが、 あえて申し上げます。この「セキュリティ」設定画面は簡易設定画面にすぎません。 表示される情報も使える機能も中途半端です。 Everyoneフルコントロールで使うなんちゃって管理で良い場合を除き、 この「セキュリティ」画面は何の役にも立ちません。見る必要もありません。 画面右下の「詳細設定」ボタンを押してさっさと詳細表示に切り替えましょう。 詳細設定画面の方が、わかってしまえば、自分のやっていることがよく見えて安心です。 おそらく、Windows 95(FATファイルシステム)以前の古い画面に慣れたユーザにとって違和感がないように作られたために、 現在(NTFSファイルシステム)ではかえって混乱の元になっているのでしょう。
アクセス設定リスト(ACL)を読むためのポイント
それでは、「セキュリティの詳細設定」画面を見てみましょう。
基本的事項
まず、以下についてはよく知られているので詳しくは解説いたしません。
- フォルダのアクセス権は、フォルダのアクセス制御リスト、ACL(Access Control List)を中心に設定される。
- アクセス制御リストACLは、ACE(Access Control Entry)と呼ばれるエントリの一覧で構成される
- ACE(アクセス制御エントリ)には、拒否のエントリと 許可のエントリの二種類がある
- 原則として親フォルダのACLを引き継ぐが、親フォルダのACLを引き継がずに、ゼロから自由にACLを組み立てることもできる。 (詳細設定画面のチェックボックス「子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されるものに含める」で選択できる)
- よって、ACEは、親フォルダから継承したエントリと、当フォルダで定義されたエントリがある
- ACE(アクセス制御エントリ)には、適用先のユーザ・グループが割り当てらる
- ACEは、許可/拒否される操作の組み合わせを、「アクセス許可」として持つ。「フル コントロール」や「読み取りと実行」など、文字列で表示されることがあるが、 実際には複数の個別アクセス許可の組み合わせであるため、何千通りもの組み合わせが存在し、代表的なもの以外は「特殊なアクセス許可」と表示される
- ACE(アクセス制御エントリ)は、「このフォルダとファイル」など、適用先が関連付けられる
ACLが「分かった」気になるポイント
ACLの分かりにくいところについて、以下の通りまとめて見ました。順に読んでいただけると、霧が晴れるように 疑問が解消すると思います。
- ACEの適用先は13通りも存在する
- 個別許可の組み合わせでアクセス許可が決まるが、主要な組合わせには名前がついている
- エントリの継承は、原則としてサブフォルダで権限を追加するのに向いている
