アクセス許可とセキュリティ記述子
ネットワーク上のすべてのコンテナーとオブジェクトには、一連のアクセス制御情報が付いています。この情報はセキュリティ記述子と呼ばれ、ユーザーやグループに許可されるアクセスの種類を制御します。セキュリティ記述子は、コンテナーまたはオブジェクトの作成時に自動的に作成されます。セキュリティ記述子を持つオブジェクトの典型的な例はファイルです。
アクセス許可は、オブジェクトのセキュリティ記述子の中で定義されます。アクセス許可は、特定のユーザーおよびグループに関連付け (割り当て) られます。たとえば、temp.dat というファイルに対して、ビルトインの Administrators グループには "読み取り"、"書き込み"、および "削除" アクセス許可を割り当て、Backup Operators グループには "読み取り" と "書き込み" アクセス許可だけを割り当てることができます。
ユーザーまたはグループへのアクセス許可の個別の割り当ては、システムではアクセス制御エントリ (ACE : Access Control Entry) として表されます。セキュリティ記述子に含まれるすべてのアクセス許可エントリは、アクセス許可セットまたはアクセス制御リスト (ACL) と呼ばれます。このように、Temp.dat という名前のファイルの場合、アクセス許可セットには 2 つのアクセス許可エントリがあり、1 つはビルトインの Administrators グループのエントリで、もう 1 つは Backup Operators グループのエントリです。
明示的なアクセス許可と継承されたアクセス許可
アクセス許可には、次の 2 種類があります。明示的なアクセス許可と、継承されたアクセス許可です。
-
明示的なアクセス許可とは、オブジェクトの作成時に既定で子オブジェクト以外に設定されるアクセス許可のこと、または子オブジェクト以外、親オブジェクト、子オブジェクトに対してユーザー操作によって設定されるアクセス許可のことです。
-
継承されたアクセス許可とは、親オブジェクトからオブジェクトが継承したアクセス許可のことです。継承されたアクセス許可により、アクセス許可の管理負担が軽減され、特定のコンテナー内のすべてのオブジェクトのアクセス許可に一貫性が確保されます。
既定の設定では、コンテナー内のオブジェクトは、作成時にそのコンテナーのアクセス許可を継承します。たとえば、MyFolder というフォルダーを作成すると、このフォルダー内に作成されるすべてのサブフォルダーとファイルは MyFolder フォルダーのアクセス許可を自動的に継承します。このため、MyFolder は明示的なアクセス許可を持ち、このフォルダー内のすべてのサブフォルダーとファイルは継承されたアクセス許可を持つことになります。
 | 注 |
|
継承された "拒否" アクセス許可によって、オブジェクトに明示的な "許可" アクセス許可エントリがある場合に、そのオブジェクトにアクセスできないようにします。明示的なアクセス許可は、継承された "拒否" アクセス許可を含め、すべての継承されたアクセス許可より優先されます。 |
その他の参照情報