各オブジェクトには有効なアクセス許可のセットが関連付けられています。[セキュリティの詳細設定] プロパティ ページの [有効なアクセス許可] タブには、選択したグループまたはユーザーに割り当てられるアクセス許可がすべて表示されます。ここに表示されるアクセス許可は、グループ メンバーシップを通じて付与されるアクセス許可にのみ基づいています。オブジェクトに対してユーザーまたはグループが持っているアクセス許可を調べるには、有効なアクセス許可ツールを使用します。
有効なアクセス許可の特定時に考慮される項目
次の項目を考慮して、有効なアクセス許可が特定されます。
-
グローバル グループのメンバーシップ
-
ローカル グループのメンバーシップ
-
ローカルのアクセス許可
-
ローカル特権
-
ユニバーサル グループ メンバーシップ
有効なアクセス許可の特定時に考慮されない項目
次の既知のセキュリティ識別子 (SID) は、有効なアクセス許可を特定するためには使用されません。
-
Anonymous Logon
-
Batch、Creator Group
-
Dialup
-
Enterprise Domain Controllers
-
Interactive
-
Network
-
Proxy
-
Restricted
-
Remote
-
Service
-
System
-
Terminal Server User
-
Other Organization
-
This Organization
また、共有アクセス許可は、有効なアクセス許可の一部ではありません。アクセスが NTFS アクセス許可によって許可される場合でも、共有へのアクセスは共有アクセス許可によって定義できます。
リモートでアクセスされるオブジェクトに対する有効なアクセス許可の特定時に考慮される項目
次の項目は、リモートでアクセスされるオブジェクトの有効なアクセス許可を特定する際に考慮されません。
-
ローカル グループのメンバーシップ
-
ローカル特権
-
共有リソースのアクセス許可
有効なアクセス許可は、ユーザーのグループ メンバーシップ、ユーザー特権、およびアクセス許可をローカルで評価することにより決定されます。照会中のリソースがリモート コンピューターにある場合、表示される有効なアクセス許可には、リモート コンピューターのローカル グループを使用してユーザーに対して付与または拒否されたアクセス許可は含まれません。
有効なアクセス許可の検索
上記の情報を正確に検索するには、メンバーシップ情報を読み取るためのアクセス許可が必要です。指定されたユーザーまたはグループがドメイン オブジェクトである場合は、そのドメインに関するオブジェクトのグループ情報を読み取るためのアクセス許可が必要です。
重要 | |
|
既定のドメインに対するアクセス許可の例を示します。
-
ドメイン管理者は、すべてのオブジェクトに関するメンバーシップ情報を読み取るためのアクセス許可を持ちます。
-
ワークステーションまたはスタンドアロン サーバー上のローカル管理者は、ドメイン ユーザーのメンバーシップ情報を読み取ることはできません。
有効なアクセス許可ツール
ユーザーまたはグループがオブジェクトに対して持っているアクセス許可を調べるには、有効なアクセス許可ツールを使用します。このツールは、指定したユーザーまたはグループに付与されている特権を推定します。推定する際には、グループ メンバーシップによって付与されている有効なアクセス許可と、親オブジェクトから継承したアクセス許可を考慮に入れます。すべてのドメイン グループと、ユーザーまたはグループがメンバーとなっているローカル グループが調べられます。
選択したユーザーまたはグループが、Anonymous Logon グループのメンバーでない限り、常に Everyone グループが含まれます。
重要 | |
|
有効なアクセス許可ツールの使用の詳細については、「ファイルおよびフォルダーの有効なアクセス許可を表示する」を参照してください。
その他の参照情報