各オブジェクトには有効なアクセス許可のセットが関連付けられています。[セキュリティの詳細設定] プロパティ ページの [有効なアクセス許可] タブには、選択したグループまたはユーザーに割り当てられるアクセス許可がすべて表示されます。ここに表示されるアクセス許可は、グループ メンバーシップを通じて付与されるアクセス許可にのみ基づいています。オブジェクトに対してユーザーまたはグループが持っているアクセス許可を調べるには、有効なアクセス許可ツールを使用します。

有効なアクセス許可の特定時に考慮される項目

次の項目を考慮して、有効なアクセス許可が特定されます。

  • グローバル グループのメンバーシップ

  • ローカル グループのメンバーシップ

  • ローカルのアクセス許可

  • ローカル特権

  • ユニバーサル グループ メンバーシップ

有効なアクセス許可の特定時に考慮されない項目

次の既知のセキュリティ識別子 (SID) は、有効なアクセス許可を特定するためには使用されません。

  • Anonymous Logon

  • Batch、Creator Group

  • Dialup

  • Enterprise Domain Controllers

  • Interactive

  • Network

  • Proxy

  • Restricted

  • Remote

  • Service

  • System

  • Terminal Server User

  • Other Organization

  • This Organization

また、共有アクセス許可は、有効なアクセス許可の一部ではありません。アクセスが NTFS アクセス許可によって許可される場合でも、共有へのアクセスは共有アクセス許可によって定義できます。

リモートでアクセスされるオブジェクトに対する有効なアクセス許可の特定時に考慮される項目

次の項目は、リモートでアクセスされるオブジェクトの有効なアクセス許可を特定する際に考慮されません。

  • ローカル グループのメンバーシップ

  • ローカル特権

  • 共有リソースのアクセス許可

有効なアクセス許可は、ユーザーのグループ メンバーシップ、ユーザー特権、およびアクセス許可をローカルで評価することにより決定されます。照会中のリソースがリモート コンピューターにある場合、表示される有効なアクセス許可には、リモート コンピューターのローカル グループを使用してユーザーに対して付与または拒否されたアクセス許可は含まれません。

有効なアクセス許可の検索

上記の情報を正確に検索するには、メンバーシップ情報を読み取るためのアクセス許可が必要です。指定されたユーザーまたはグループがドメイン オブジェクトである場合は、そのドメインに関するオブジェクトのグループ情報を読み取るためのアクセス許可が必要です。

重要
  • [有効なアクセス許可] タブを使って、ドメイン内の特定のリソースに対してユーザーが持っているアクセス許可を調べようとした場合、[有効なアクセス許可] タブに表示される内容が、ユーザーが実際にそのリソースに対して持っているアクセス許可と一致しないことがあります。この問題は、次の状況のいずれかに該当する場合に発生します。
    • 管理者ツールをリソース サーバーからリモートで実行している。

    • 管理者ツールの実行に使用したユーザー アカウントが、リソースと同じドメインにない。

  • この問題を回避するには、有効なアクセス許可の確認を必ずリソースをホストしているローカル コンピューター上で行うようにします。さらに、管理者ツールの実行に使用する管理者ユーザー アカウントがリソースと同じドメインにあることを確認してください。

既定のドメインに対するアクセス許可の例を示します。

  • ドメイン管理者は、すべてのオブジェクトに関するメンバーシップ情報を読み取るためのアクセス許可を持ちます。

  • ワークステーションまたはスタンドアロン サーバー上のローカル管理者は、ドメイン ユーザーのメンバーシップ情報を読み取ることはできません。

有効なアクセス許可ツール

ユーザーまたはグループがオブジェクトに対して持っているアクセス許可を調べるには、有効なアクセス許可ツールを使用します。このツールは、指定したユーザーまたはグループに付与されている特権を推定します。推定する際には、グループ メンバーシップによって付与されている有効なアクセス許可と、親オブジェクトから継承したアクセス許可を考慮に入れます。すべてのドメイン グループと、ユーザーまたはグループがメンバーとなっているローカル グループが調べられます。

選択したユーザーまたはグループが、Anonymous Logon グループのメンバーでない限り、常に Everyone グループが含まれます。

重要
  • この有効なアクセス許可ツールは、ユーザーが所有する許可の概算値のみを生成します。この値は、ユーザーが実際に持っているアクセス許可とは異なる場合があります。これは、アクセス許可がユーザーのログオン方法に基づいて付与または拒否されるためです。このようなログオン固有の情報は、ユーザーがログオンしていない場合には、有効なアクセス許可ツールによって特定することができません。したがって、表示される有効なアクセス許可には、ログオンによって指定されるアクセス許可ではなく、ユーザーまたはグループによって指定されるアクセス許可のみが反映されます。
  • たとえば、ユーザーが共有フォルダーによってこのコンピューターに接続されると、そのユーザーのログオンは network logon とマークされます。アクセス許可は、既知のネットワーク SID に対して付与または拒否することができます。この SID は、ネットワークに接続したユーザーに割り当てられるものなので、ローカルでログオンした場合とネットワークを介してログオンした場合ではユーザーのアクセス許可は異なります。
  • 有効なアクセス許可にアクセス権を付与する方法の詳細については、Microsoft サポート技術情報の文書番号 331951 の記事 (https://go.microsoft.com/fwlink/?LinkId=63270) を参照してください。

有効なアクセス許可ツールの使用の詳細については、「ファイルおよびフォルダーの有効なアクセス許可を表示する」を参照してください。

その他の参照情報

目次