(cache) Windows.FAQ - 基礎講座：ファイル、フォルダのアクセス権

■

Windows.FAQ - 基礎講座：ファイル、フォルダのアクセス権

このページでは、ファイルやフォルダに対する Windows のアクセス制御の仕組みを簡単に解説します。どのようにファイルやフォルダを保護することができるかの参考としてください。

■ ローカルフォルダの保護

Windows9x/Me には、ローカルフォルダを保護する仕組みはありません。他人に触られたくないフォルダがある場合、フォルダをパスワード保護するようなソフトウェアの追加を検討してください。

[Vector] Windows95/98/Me > ユーティリティ > 各種セキュリティ

また、Windows98 Plus! や、Windows Me/XP に含まれる圧縮フォルダは、次の手順でパスワード保護できます。ただし、パスワードで保護しても削除することは可能なのでご注意ください。

保護したいファイルやフォルダを右クリックし、[送る]－[圧縮フォルダ] をクリックします。
作成された圧縮フォルダを右クリックし [暗号化] をクリックします。(98/Me)
作成された圧縮フォルダを開き、[ファイル]－[パスワードの追加] をクリックします。(XP)
保護するためのパスワードを入力(設定)し、「OK」をクリックします。

Windows NT/2000/XP では、以下の手順で NTFS ドライブのファイルやフォルダに対するアクセス権を設定できます。

アクセスを制限したいファイルもしくはフォルダを右クリックして [プロパティ] をクリックします。
[セキュリティ] タブをクリックし、「追加」ボタンをクリックしてアクセス権を与えたいユーザーまたはグループを追加します。
追加されたユーザーまたはグループを選択し、アクセス許可を設定します。

アクセス制御リスト (ACL) で、アクセス許可がないユーザー/グループは、該当ファイルやフォルダにアクセスすることができません。
拒否アクセス権はすべてのアクセス権より優先されるため、使い方を間違えないようにご注意ください。たとえば、Administrators にフルアクセスを許可しても、Everyone に対して拒否を設定した場合、だれもアクセスできなくなります。

Windows 2000/XP では、以下の手順で NTFS ドライブのファイルやフォルダを暗号化できます。

アクセスを制限したいファイルもしくはフォルダを右クリックして [プロパティ] をクリックします。
[全般] タブの「詳細設定」ボタンをクリックします。
「内容を暗号化してデータをセキュリティで保護する」にチェックします。

暗号化を解除できないユーザーでも、削除は可能なのでご注意ください。

■ ネットワークフォルダの保護

Windows9x/Me の場合

ネットワーク共有フォルダのアクセス権は、次いずれかの方法で設定できます。

共有レベル

次のように、Windows9x 自身で共有単位にパスワードを設定して保護します。
1. [スタート]－[設定]－[コントロールパネル] から「ネットワーク」を起動します。
2. [ネットワークの設定] タブの現在のネットワークコンポーネントに [Microsoft ネットワーク共有サービス] が含まれていることを確認します。
3. [アクセスの制御] タブをクリックし、「共有レベルでアクセスを制御する」にチェックされていることを確認します。
4. エクスプローラを起動し、ネットワーク共有したいフォルダを右クリックして [共有] をクリックします。
5. 「共有する」にチェックし、共有名を設定します。(標準ではフォルダ名ですが、Windows9x/Me は 12 文字を超える共有名を設定できません。)
6. アクセスの種類として「読み取り専用」「フルアクセス」「パスワードで区別」いずれかを選択し、必要に応じて「読み取り専用アクセス用パスワード」および「フルアクセス用パスワード」を設定して「OK」をクリックします。
ユーザーレベル

Windows セキュリティアカウントマネージャ (SAM) や、NetWare 3.x/4.x バインダリのユーザーで認証して保護します。
以下の例では、Windows NT/2000/XP の SAM を使うと仮定します。
1. [スタート]－[設定]－[コントロールパネル] から「ネットワーク」を起動します。
2. [ネットワークの設定] タブの現在のネットワークコンポーネントに [Microsoft ネットワーク共有サービス] が含まれていることを確認します。
3. [アクセスの制御] タブをクリックし、「ユーザーレベルでアクセスを制御する」にチェックし、NT/2000/XP (Server である必要はありません) など SAM データベースを持つコンピュータ名を記入して「OK」をクリックします。
  Windows9x/Me クライアントがドメインに参加している場合は、コンピュータ名のかわりに、ドメイン名を指定します。(指定したコンピュータまたはドメインへのアクセス権が必要です。)
4. エクスプローラを起動し、ネットワーク共有したいフォルダを右クリックして [共有] をクリックします。
5. 「共有する」にチェックし、共有名を設定します。(標準ではフォルダ名ですが、Windows9x/Me は 12 文字を超える共有名を設定できません。)
6. 「追加」ボタンを押し、名前リストからアクセス許可を与えるユーザーまたはグループを選択して「読み取り専用」「フルアクセス」「個別に設定」いずれかのボタンをクリックします。(共有のプロパティの画面で、追加されたユーザーまたはグループのリストを選択し、「編集」ボタンをクリックして後からアクセス権を変更することもできます。)
ユーザーレベルアクセス権を使用すると、ネットワークから Windows9x/Me の共有フォルダにアクセスする場合、3 で設定した NT/2000/XP で認証が行われるようになります。

Windows NT/2000/XP の場合

Windows9x/Me の共有レベルアクセス権のように、共有フォルダにパスワードを設定することはできません。
共有フォルダへのアクセスは、共有アクセス権および NTFS アクセス権の 2 つのユーザーレベルアクセス権で制御されます。

共有レベル
- なし
ユーザーレベル
- 共有アクセス権
- NTFS アクセス権

共有アクセス権は、ネットワーク経由でアクセスされた場合に適用されます。NTFS アクセス権はネットワーク経由およびローカルアクセスどちらにも適用されます。同じフォルダに共有アクセス権と NTFS アクセス権の両方が適用された場合、ネットワークからアクセスに対しては両方のアクセス権が順次適用されるため、結果としてより厳しいアクセス権が適用されます。
例えば、共有アクセス権でフルコントロール、NTFS アクセス権で読み取りが許可されたユーザーの場合、読み取りアクセス権しか与えられません。

また、共有アクセス権/NTFS アクセス権いずれの場合も、あるユーザーが複数のグループに所属し、各グループに異なるアクセス権が設定されている場合、適用されるアクセス権は各グループに与えられたアクセス権の合計になります。

Windows 2000/XP では、次の手順で共有アクセス権を設定します。

エクスプローラを起動し、共有したいフォルダを右クリックして [共有(共有とセキュリティ)] をクリックします。
「このフォルダを共有する」にチェックし、「アクセス許可」ボタンをクリックします。
「追加」ボタンをクリックし、アクセス権を設定したいユーザーまたがグループを追加して「OK」します。
追加したグループまたはユーザーに、適切な許可アクセス権を与えます。

NTFS アクセス権は、「ローカルフォルダの保護」と同様の手順で設定します。
NTFS でフォーマットされたドライブにネットワーク共有フォルダを定義する場合、管理の煩雑さを避けるため、共有アクセス権/NTFS アクセス権どちらかだけを設定するよう強くお勧めします。通常はセキュリティの観点から NTFS アクセス権だけを設定し、共有アクセス権は Everyone フルコントロールのままにしておくことをお勧めします。