Windowsでは、ファイルとフォルダーへのアクセスを制限するため、次の2つのアクセス許可セットが用意されています。NTFSアクセス許可と共有アクセス許可。
- NTFSアクセス許可は、NTFSファイル システムでフォーマットされたボリュームに保存されているすべてのファイルとフォルダーに適用されます。デフォルトでは、アクセス許可はルート フォルダーからファイルとサブフォルダーに継承されますが、この継承は無効にすることができます。NTFSアクセス許可は、ファイルまたはフォルダーがローカルまたはリモートでアクセスされているかどうかにかかわらず、有効になります。以下に示すように、NTFSアクセス許可は、基本的なレベルで、読み取り、読み取りおよび実行、書き込み、変更、フォルダーの内容の一覧表示、およびフル コントロールのアクセス レベルを提供します。
さらに、高度なNTFSアクセス許可セットもあります。これにより、基本的なアクセス レベルをより細かく設定することができます。これらの高度なアクセス許可は、適用されるオブジェクトのタイプによって異なります。フォルダーの高度なアクセス許可について、以下に示します。
- 共有アクセス許可は、共有フォルダーにのみ適用されます。リモート システムからネットワークを介して共有フォルダーにアクセスすると有効になります。特定の共有フォルダーの共有アクセス許可は、そのフォルダーとそのコンテンツに適用されます。共有アクセス許可は、NTFSアクセス許可よりも簡略なものであり、読み取り、変更、およびフル コントロールのアクセス レベルを提供します。
NTFSアクセス許可と共有アクセス許可について覚えておくべき最も重要な点は、アクセスを規制するためにそれらを組み合わせる方法です。
特定のファイルに対するユーザーのアクセス レベルを決定するためのルールは、次のとおりです。
- ファイルがローカルでアクセスされる場合は、NTFSアクセス許可のみが使用されます。
- ファイルが共有を介してアクセスされる場合、NTFSアクセス許可と共有アクセス許可が両方とも使用され、最も制限の厳しいアクセス許可が適用されます。例えば、共有フォルダーの共有アクセス許可によってユーザーに読み取りアクセス権が付与され、NTFSアクセス許可によってユーザーに変更アクセス許可が付与された場合、ユーザーのアクセス許可レベルは、共有にリモートでアクセスするときに読み取りが有効で、ローカルでフォルダーにアクセスするときに変更が有効になります。
- ユーザーの個々のアクセス許可は、ユーザーが所属しているグループの権限と統合されます。ユーザーがファイルへの読み取りアクセス権を持っているが、ユーザーが同じファイルへの変更アクセス権を持つグループのメンバーである場合、ユーザーには変更アクセス許可が与えられます。
- 特定のファイルまたはフォルダーに直接割り当てられているアクセス許可(明示的なアクセス許可)は、親フォルダーから継承されたアクセス許可(継承されたアクセス許可)よりも優先されます。
- 明示的なアクセス許可の拒否は、明示的なアクセス許可の承諾よりも優先されますが、前のルールによって、明示的なアクセス許可の承諾は、継承されたアクセス許可の拒否よりも優先されます。
両方のアクセス許可セットは、ファイルまたはフォルダーの[プロパティ]ウィンドウで割り当てることができます。NTFSアクセス許可は、プロパティウィンドウの[セキュリティ]タブで割り当てられます。共有アクセス許可は、[共有]タブで[高度な共有]をクリックし、次に[権限]をクリックして割り当てます。