アクセス制御とは、ネットワークまたはコンピューター上のオブジェクトへのアクセスをユーザー、グループ、およびコンピューターに承認する処理のことです。
アクセス制御を理解し、管理するには、以下の項目間の関係を理解する必要があります。
- オブジェクト (ファイル、プリンター、その他のリソース)
- アクセス トークン
- アクセス制御リスト (ACL) とアクセス制御エントリ (ACE)
- アクセス制限対象 (ユーザーまたはアプリケーション)
- オペレーティング システム
- アクセス許可
- ユーザー権利と特権
オブジェクトへのアクセス許可を得るには、アクセス制限の対象となるユーザーやアプリケーションが、オペレーティング システムのセキュリティ サブシステムに対して自身の ID を証明する必要があります。この ID は、制限対象のユーザーやアプリケーションがログオンするたびに再作成される、アクセス トークンに含まれています。制限対象のユーザーやアプリケーションにオブジェクトへのアクセス許可を付与する前に、オペレーティング システムはそれらのアクセス トークンをチェックし、オブジェクトにアクセスして必要なタスクを実行するための権限が与えられているかどうかを判定します。この判定は、アクセス トークン内の情報を、オブジェクトのアクセス制御エントリ (ACE) と照合することによって行われます。
ACE は、オブジェクトの種類に応じて多様な動作を許可または拒否することができます。たとえば、ファイル オブジェクトの ACE には、読み取り、書き込み、実行などがあります。プリンター オブジェクトの ACE には、印刷、プリンターの管理、ドキュメントの管理などがあります。
オブジェクトの個々の ACE は、アクセス制御リスト (ACL) としてまとめられます。セキュリティ サブシステムは、オブジェクトの ACL をチェックし、ユーザーやユーザーが属しているグループに適用される ACE について調べます。セキュリティ サブシステムは、ユーザーまたはユーザー グループからのアクセスを許可または拒否する ACE が見つかるまで、またはチェックする ACE がなくなるまで、ACE のチェックを続けます。ACL の最後までチェックを終えても、要求されたアクセスを明示的に許可する ACE も拒否する ACE も見つからなかった場合、セキュリティ サブシステムはその要求元からのオブジェクトへのアクセスを拒否します。
アクセス許可
アクセス許可は、あるオブジェクトまたはオブジェクトのプロパティについて、ユーザーまたはグループに許可されるアクセスの種類を定義します。たとえば、Finance グループに対しては、Payroll.dat というファイルの "読み取り" および "書き込み" アクセス許可を与えることができます。
アクセス制御ユーザー インターフェイスを使用すると、ファイル、Active Directory オブジェクト、レジストリ オブジェクト、システム オブジェクト (プロセスなど) といった各種オブジェクトに対して、NTFS アクセス許可を設定することができます。アクセス許可は任意のユーザー、グループ、またはコンピューターに付与できますが、オブジェクトへのアクセスを検証するときにシステム パフォーマンスが向上するため、アクセス許可をグループに割り当てることをお勧めします。
次のオブジェクトに対してアクセス許可を付与できます。
-
ドメイン内のグループ、ユーザー、およびセキュリティ識別子を持つその他のオブジェクト
-
ドメインおよび信頼される側のドメインのグループとユーザー
-
オブジェクトが存在するコンピューターのローカル グループとユーザー
オブジェクトに付与されるアクセス許可は、オブジェクト タイプによって異なります。たとえば、ファイルに付与できるアクセス許可は、レジストリ キーに付与できるアクセス許可と異なります。ただし、一部のアクセス許可はほとんどのオブジェクト タイプに共通です。共通のアクセス許可は次のとおりです。
-
読み取り
-
変更
-
所有者の変更
-
削除
アクセス許可を設定するときは、グループとユーザーのアクセス レベルを指定します。たとえば、あるユーザーにファイル内容の読み取りを許可し、別のユーザーにファイルの変更を許可し、残りのユーザーにファイルへのアクセスを禁止できます。プリンターにも同様のアクセス許可を設定できます。したがって、特定のユーザーだけにプリンターの構成を許可し、他のユーザーには印刷だけを許可するようにできます。
ファイルのアクセス許可を変更する必要がある場合は、エクスプローラーを実行し、ファイル名を右クリックし、[プロパティ] をクリックします。[セキュリティ] タブで、ファイルのアクセス許可を変更します。詳細については、「アクセス許可を管理する」を参照してください。
 | 注 |
|
もう 1 つのアクセス許可 (共有アクセス許可) は、[<フォルダー> のプロパティ] ページの [共有] タブで設定するか、または共有フォルダー ウィザードを使用して設定します。詳細については、「ファイル サーバーの共有アクセス許可と NTFS アクセス許可」を参照してください。 |
オブジェクトの所有権
オブジェクトを作成すると、所有者がそのオブジェクトに割り当てられます。既定の設定では、所有者はオブジェクトの作成者です。オブジェクトの所有者は、そのオブジェクトに設定されているすべてのアクセス許可を任意の時点で変更できます。詳細については、「オブジェクトの所有権を管理する」を参照してください。
アクセス許可の継承
管理者は、継承を使用することにより容易にアクセス許可の割り当てと管理を行うことができます。この機能では、コンテナー内のオブジェクトがそのコンテナーの継承可能なすべてのアクセス許可を自動的に継承します。たとえば、フォルダー内にファイルを作成すると、ファイルはフォルダーのアクセス許可を継承します。継承されるようにマークされたアクセス許可だけが継承されます。
ユーザー権利と特権
ユーザー権利により、コンピューティング環境内のユーザーおよびグループに、特定の特権およびログオン権利が与えられます。管理者は、グループ アカウントや個別のユーザー アカウントに特定の権利を割り当てることができます。これらの権利は、システムへの対話型ログオン、ファイルとディレクトリのバックアップなど、特定の操作を行うことをユーザーに許可します。
ユーザー権利はユーザー アカウントに適用され、アクセス許可はオブジェクトに付与されるので、ユーザーの権利とアクセス許可は異なります。ユーザー権利は個別のユーザー アカウントにも適用できますが、グループ アカウント単位で管理するのが最良です。アクセス制御ユーザー インターフェイスには、ユーザー権利を付与する機能はありません。ユーザー権利の割り当ては、ローカル セキュリティ設定スナップインの [ローカル ポリシー] の [ユーザー権利の割り当て] を使って行います。詳細については、「ユーザー権利と特権」を参照してください。
オブジェクトの監査
管理者権限があれば、オブジェクトに対してユーザーが成功または失敗したアクセスを監査できます。アクセス制御ユーザー インターフェイスでは、監査するオブジェクト アクセスを選択できますが、それにはまず、ローカル セキュリティ設定スナップインで [ローカル ポリシー]、[監査ポリシー]、[ローカル ポリシー] の順にクリックし、[オブジェクト アクセスの監査] を選択して監査ポリシーを有効にする必要があります。その後、イベント ビューアーのセキュリティ ログでこれらのセキュリティ関連のイベントを表示できるようになります。
その他の参照情報
- 承認およびアクセス制御の詳細については、
Windows セキュリティ コレクションに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=4565) を参照してください。 - 承認方法の詳細については、
リソース承認方法の設計に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=4734) を参照してください。