none
Windows7のアクセス制御リストの挙動がおかしい RRS feed

  • 質問

  • Windows7でHDDのフォーマットを行い、ドライブルートのアクセス制御リストをicaclsコマンドで出力したところ、以下の結果が返ってきました。

    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(M)
    NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
    BUILTIN\Users:(RX)
    BUILTIN\Users:(OI)(CI)(IO)(GR,GE)

    まずこの時点でおかしいのが、エクスプローラのプロパティからセキュリティ情報を表示しても上記の半分しか表示されないことです。

    上記の結果を見ると各ユーザごとに2行のリストが存在するのですが、セキュリティ情報のウィンドウでは各ユーザに1行しか表示されていません。

    この状態でリストを追加(pc1\test)したところ、以下の値が返ってきました。

    BUILTIN\Administrators:(OI)(CI)(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(F)
    NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
    BUILTIN\Users:(OI)(CI)(RX)
    pc1\test:(OI)(CI)(F)

    ・・・2行あったのが1行になってしまっています。

    この状況がなぜ発生するのか、また、回避方法(フォーマット直後の時点で重複リストが無い状態にする)があるのか、ご存知の方がいらっしゃいましたら教えて下さい。

    2011年2月16日 5:41

すべての返信

  • こんにちは、箱舟 さん。

    MSDN フォーラムのご利用ありがとうございます。オペレーターの山本です。

    こちらのカテゴリは Windows クライアント開発に関するカテゴリになりますので、コマンドなどのご質問については TechNet フォーラムのほうが適切だったかもしれません。

    私の手元の環境で試してみました。
    ドライブルートを icacls コマンドでリスト出力してみたところ、箱舟 さんと同じように「各ユーザごとに2行のリストが存在する」ような出力結果になりました。
    この結果がおかしいのか否かといった判断できるものですが、以下の資料は caclsコマンドの出力の見方を紹介したものです。もしかしたら参考になるかもしれません。

     caclsコマンドの出力の見方
     http://www.atmarkit.co.jp/fwin2k/win2ktips/704cacls/cacls.html

    上記資料の "caclsによるACLの表示例" の解説を見ると、
      11) フォルダに対するアクセス権
      12) このフォルダおよびサブフォルダなどに対するアクセス権
    とありますので、該当のフォルダだけではなく、サブフォルダなどについての説明のように見えますね。
    (cacls コマンドと、icacls コマンドでは異なる点もあるかと思いますので、ヘルプを参照してみてください。)

    なお、手元の環境で icacls コマンドでドライブルートにローカル ユーザー(フルコントロール)を追加してみましたが、「2行あったのが1行になってしまっています」とおっしゃる結果は確認できませんでした。
    ちなみに、試してみたコマンドは以下のとおりです。

     C:\>icacls c:\ /grant PC1\user1:F

    icacls コマンドはファイルのアクセス制御リストを表示/変更するものだと思うので、出力結果のとおり解釈することになると思います。
    コマンドを実行してもアクセス権が変更できないなどといった問題が発生しているのでしょうか。

    上記では十分な説明にはなっていないと思いますが、説明資料など検索してみたのですが上記以外には私のほうでは見つけられませんでした。
    箱舟 さんの状況についての詳細説明となると、有償となりますが、弊社のサポートサービスのご利用をご検討いただいたほうがいいかもしれません。

    よろしくお願いいたします。
                                                                                 
    日本マイクロソフト株式会社 フォーラム オペレーター 山本 春海


     

    2011年2月22日 7:38
  • なお、手元の環境で icacls コマンドでドライブルートにローカル ユーザー(フルコントロール)を追加してみましたが、「2行あったのが1行になってしまっています」とおっしゃる結果は確認できませんでした。
    ちなみに、試してみたコマンドは以下のとおりです。

     C:\>icacls c:\ /grant PC1\user1:F

    私が行ったのは、エクスプローラのドライブのプロパティからACLを操作するやり方です。

    icaclsから実行するとこの2行の状態が維持されるということは、今後はこの状態が正として扱われるようになるということでしょうか。

     

    追加情報として、Vistaでも同様の状態になりました。

    2011年2月22日 10:55