NTFS アクセス許可の設定の仕方とか効果は Windows 2000 と変わりないんだけど、デフォルトで設定されている NTFS アクセス許可はかなりわかり難いものになっている。フォルダやファイルは上位のフォルダに設定されている NTFS アクセス許可を継承(引き継ぐ)する。一番上位にあるのはドライブなので、ドライブに設定している NTFS アクセス許可を継承することになる。ドライブのセキュリティタブを表示させると次のようになる。
まず、Administrators グループに「フルコントロール」のアクセス許可が与えられている。
Creator Owner には「特殊なアクセス許可」が与えられている。これを見るには[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Creator Owner には「サブフォルダとファイル」に対して「フルコントロール」のアクセス許可が与えられている。つまり、サブフォルダやファイルを作成したユーザーアカウントにフルコントロールのアクセス許可が与えられるということだ。
Everyone にも「特殊なアクセス許可」が与えられている。これも[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Everyone には「このフォルダのみ」に対して「読み取りと実行」のアクセス許可が与えられている。つまり、全てのユーザーは最低、このドライブを読み取ることができる。
System にフルコントロールのアクセス許可が与えられている。System は OS が使用するサービスアカウントである。
Users グループには「読み取りと実行」「フォルダの内容の一覧」「読み取り」「特殊なアクセス許可」のアクセス許可が与えられている。これも[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Users には「このフォルダ、サブフォルダおよびファイル」に対して「読み取りと実行」のアクセス許可が与えられている。
また、Users には「このフォルダとサブフォルダ」に対して「特殊」のアクセス許可が与えられている。
[編集]をクリックして詳細設定を見ると次のようになっており、ここで重要なのは「フォルダの作成/データの追加」である。つまり、Users グループのユーザーはドライブ直下にサブフォルダを作ることはできるが、ファイルを作ることはできないのだ。
また、Users には「サブフォルダのみ」に対して「ファイルの作成/データの追加」のアクセス許可が与えられている。つまり、Users グループのユーザーはサブフォルダにはファイルを作ることができるのだ。
ユーザーアカウントを作ると、一般的にはデフォルトで Users グループのみに所属する。そのため、他のグループに所属させない場合、一般ユーザーはドライブ直下にファイルを作ることはできないが、サブフォルダは作ることはでき、そのサブフォルダの中にはファイルを作ることができる。
更にわかり難くしているのが、サブフォルダを作った時にドライブにデフォルト設定している NTFSアクセス許可がそのまま継承されないことである。なぜなら、Everyone は「このフォルダのみ」に適用されサブフォルダには適用されないことと、Creator Owner にフルコントロールのアクセス許可があるためサブフォルダを作成したユーザアカウントにフルコントロールのアクセス許可が割り当てられるからである。実際に saito というユーザーアカウントでログオンして、ドライブ直下に「営業部」というフォルダを作成し、そのセキュリティタブを見ると次のようになる。
実際の運用上は助かるデフォルト設定であるが、MCP の試験勉強には難しくしているデフォルト設定だ。なぜなら、「みんなの受験記」を見ると、デフォルトでどのようなアクセス許可を持つか知っていないと解けない問題も出るようだからだ。また、困るのがユーザーアカウントを作ると、デフォルトで Users グループ(ドメインの場合は、Domain Users グループ)に所属するが、MCP の試験でこのグループに所属しているのか所属していないのか明確に書いていないことがほとんどなのだ。明確に○○グループのみに所属すると書いてくれてたらわかりやすいのだが・・・書いてないことが多い。そういう時は、消去法で解くしかない!