NTFSセキュリティ権限
よく使われるファイルシステム
- FAT
- 利点:広く普及しており、主要なOSでサポートされている
- 欠点:セキュリティが低く、単一ファイルのサイズ制限が小さい
- NTFS
- 利点:セキュリティが高く、高速で、大容量ファイルをサポートし、ディスク効率が良い
- 欠点:「ジャーナリング」ファイルシステムであり、USBメモリやFlashストレージに負荷がかかる
- EXT
参考記事:
ディスクファイルシステムFat、Fat32、NTFS、exFATのメリット・デメリット
マルチプラットフォーム大規模ファイルシステム比較
Windows 7
| ファイルシステム | NTFS | FAT32 |
|---|---|---|
 |
 |
 |
ファイルのセキュリティ権限
仮想マシン(Windows Server 2003)のDドライブに以下のディレクトリ構造を作成します。
D:\
─ 公開ドキュメント
│ shell.txt
└─ ルール
規則1.txt最初に管理者アカウントで仮想マシンにログインしてください。
ファイルのセキュリティプロパティを開く
新規作成したユーザーはデフォルトでUserグループに属し、上記のアクセス権限を持ちます。
- 変更【読み取り、書き込み、削除を含む】
- 読み取りと実行【実行ファイルを実行できないが、ファイルの内容を表示できる】
- フォルダの一覧【ディレクトリ内容を表示できる。権限がないと開けない】
- 読み取り【ファイルの内容を表示できる】
- 書き込み【ファイルを作成し、内容を書き込める】
- 特別なアクセス許可【このディレクトリの権限関係を制御できる】
CREATOR OWNER グループはディレクトリの作成者で、そのディレクトリに対するフルコントロールを持ちます。ただし、管理者はすべてのファイルに対してフルコントロールを持ちます。
ファイルのセキュリティ権限を変更する
1. 親からの継承を解除する
 |
 |
|---|
詳細設定 をクリックし、継承の有効化 のチェックを外します。表示されるダイアログで コピー を選択します。
2. ユーザーアクセス権限を追加する
コマンドプロンプトで一時ユーザーを2つ作成します。
net user userA Pass123 /add
net user userB Pass123 /add
グループまたはユーザー名一覧で他のエントリを削除し、Administrators グループのみ残します。
 |
 |
 |
|---|---|---|
| 追加 をクリック | userA;userB を入力し、OK をクリック |
userA と userB を確定 |
 |
2つの一時アカウントが追加されました。
3. ユーザー権限を変更する
目的:
- userA:ファイルの読み取りと実行ができる
- userB:ファイルの書き込み(新規作成)ができる
 |
 |
|---|---|
| userAの権限 | userBの権限 |
4. ファイル権限を検証する
適用 をクリックしてからログオフします。
1) 管理者アカウントからログオフ
2) userA でログイン
 |
 |
|---|---|
| shell.txtの削除を試みる → 拒否される | ファイルへの書き込みを試みる → 拒否される |
結果: userA はこのディレクトリ内のファイルを読み取り、実行可能ファイルを実行できるが、修正や書き込みはできない。
3) userB でログイン
 |
 |
|---|---|
| shell.txtの読み取りを試みる → 拒否される | ファイルを書き込めるが、書き込み後に名前の変更や削除はできない。ただし、他の場所から自分がアップロードしたファイルを上書きコピーできる。 |
結果: userB はファイルの書き込みができるが、読み取りや修正はできない。
公開ドキュメント以下のすべての子アイテム(書き込まれたファイルも含む)は親のアクセス権限を継承します。
5. 権限のまとめ
| ファイル権限 | 内容 |
|---|---|
| フルコントロール | 読み取り、書き込み、修正、削除、特別なアクセス許可 |
| 変更 | 読み取り、書き込み、修正、削除 |
| 読み取りと実行 | 読み取り、実行、ダウンロード |
| 読み取り | 読み取り |
| 書き込み | 書き込み |
| 特別なアクセス許可 | ファイル権限の制御 |
| フォルダ権限 | 内容 |
|---|---|
| フルコントロール | 読み取り、書き込み、修正、削除、特別なアクセス許可 |
| 変更 | 読み取り、書き込み、修正、削除 |
| 読み取りと実行 | 読み取り、実行、ダウンロード |
| 読み取り | 読み取り |
| 書き込み | 書き込み |
| 特別なアクセス許可 | ファイル権限の制御 |
親権限の強制継承
公開ドキュメント配下のすべての子ファイル・サブディレクトリに、公開ドキュメントの権限を強制的に継承させます。
公開ドキュメントのプロパティで「親からの継承可能なアクセス許可をこのオブジェクトのすべての子に適用する」にチェックを入れるだけです。
ファイルのコピー・移動による権限の変化
異なるパーティション間
- 移動:権限が上書きされる(新規フォルダの権限を継承)
- コピー:権限が上書きされる
同じパーティション内
- 移動:元の権限を保持(唯一上書きされないケース)
- コピー:権限が上書きされる
まとめ
1. 権限の累積
ユーザーが複数のグループに属する場合、権限は累積されます。ただし、「許可」と「拒否」が競合した場合、「拒否」が最優先されます。
2. 管理者の最高権限
ユーザーuserAが自分でファイルを作成した場合、そのファイルはデフォルトでuserAのみフルコントロールを持ち、他のユーザーには権限がありません。
userAフォルダを右クリック → プロパティ → セキュリティ → 詳細設定 → 所有者 → 変更 → administrator[administrators] → 「サブコンテナとオブジェクトの所有者を置き換える」にチェック → OK
所有権の取得に成功すると、userAはこのフォルダにアクセスできなくなります。