NTFS(New Technology File System)は、Windowsで使用される標準ファイルシステムで、特にファイルやフォルダに対して、ACLによるアクセス権の設定が可能です。
今回は、NTFSのアクセス権の動作確認をします。
NTFSアクセス権
ファイルやフォルダにおいて、ユーザやグループに対してのアクセス権を付与することができます。
NTFSアクセス権は、ファイル/フォルダのプロパティからセキュリティタブで確認することができます。上段が適用されるユーザやグループで、下段がアクセス許可リストです。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/0329F85F-B1ED-4940-ACDC-88B3539B8B93.png)
アクセス許可は以下のような種類があり、それぞれに対して、許可、拒否ができます。
- フルコントロール:使用可能なすべてのアクセス許可をもっている。
- 変更:フルコントロールより制限があり、アクセス権の変更、所有者の変更ができません。
- 読み取りと実行:データの読み取りとプログラムの実行が可能です。アプリケーションなどで、予期せぬデータ削除や破損が発生しないようにすることができます。
- フォルダ内容の一覧表示:フォルダ内のファイルを一覧できる権限 (フォルダのみ。ファイルにはこの項目はありません)
- 読み取り:フォルダ/ファイルの読み取りができる権限
- 書き込み:フォルダ/ファイルの書き込みができる権限
- 特殊なアクセス許可:(今回の記事では割愛)
アクセス権の継承
デフォルトで、作成したファイル/フォルダなどのオブジェクトは、親フォルダのアクセス権を継承します。
例えば、Cドライブの下に共有という名前のフォルダを作成し、プロパティからセキュリティタブを移動するとアクセス権があらかじめ付与されています。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/7915CFAB-307B-4CD5-B582-C6C93566A0F0-2.png)
詳細設定をクリックすると、アクセス権の継承元が確認でき、継承元はC:¥であることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/87D19115-B7EF-4FC5-B604-0D795390B55F.png)
共有 フォルダの下に、営業部と名前のフォルダを作成し、アクセス権を確認します。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/0329F85F-B1ED-4940-ACDC-88B3539B8B93-1.png)
詳細設定を確認すると、営業部フォルダもC:¥が継承元であることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/250B8A4C-5391-4A51-9C60-D416CA297C54.png)
![](https://hirotanoblog.com/wp-content/uploads/2021/02/CBA93E6F-1F3D-4FAA-B91E-2A87F0ACB0C3.png)
アクセス権 継承の無効化
例えば、営業部のフォルダ`で、継承されたUsersへのアクセス権を削除し、営業部グループに対してフルコントロールのアクセス権を割り当てたいとします。
営業部フォルダで継承されたアクセス権を削除しようとすると、エラーになります。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/416FDAF6-08F4-435B-BB87-1DFCD595DF19.png)
エラー内容のとおり、アクセス権の継承を無効化する必要があります。営業部フォルダのセキュリティの詳細設定で、継承の無効化をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/21A3D709-355D-41B6-99DB-7373541927B7.png)
下のようなメッセージが表示されるので、「〜明示的なアクセス許可に変換します。」を選択します。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/13D9DDFB-8143-491A-8546-51D1D357B7F5.png)
クリック後、継承元がすべて なし であることを確認し、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/F237A1EE-2303-4C32-BC90-4ECD0995CB8B-1.png)
これで、営業部フォルダは親フォルダからアクセス権を継承されません。アクセス権の変更も可能です。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/D49CEE11-6831-40D2-9D8C-104683ABAD9B.png)
アクセス権の動作確認
営業部フォルダを、営業部グループからフルコントロールでアクセスできるようにし、その他のドメインユーザからはアクセスできないように変更します。
- Active Directoryユーザーとコンピュータで、営業部OU内に営業グループという名前のセキュリティグループを作成し、ユーザ yamadaをメンバーにします。
- 営業部フォルダにアクセス権で、営業グループにフルコントロールを設定します。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/32201460-A2C2-448D-B1F5-A00DBEF21A75-1024x713.png)
![](https://hirotanoblog.com/wp-content/uploads/2021/02/47F02C86-8F0E-4ECA-812F-E23D7ED36927.png)
共有アクセス(共有アクセス権はフルコントロールとします)から営業部グループの所属 yamada でアクセスすると、営業部フォルダにテキストファイルを追加することができます。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/F3A13C8B-3E78-4C5E-A318-D36DA3A5A170.png)
営業部グループ以外のユーザからはアクセスができないことが確認できます
![](https://hirotanoblog.com/wp-content/uploads/2021/02/31020640-5B4F-42E5-9F22-5E650A455B2F-1.png)
コメント