アクセス制御の概要
適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナルは、このトピックでは、Windows では、これは、ネットワークやコンピューター上のオブジェクトにアクセスするには、ユーザー、グループ、およびコンピューターを承認するプロセスのアクセス制御について説明します。 アクセス制御を構成する主要な概念とは、アクセス許可、オブジェクトの所有権、アクセス許可、ユーザーの権利、およびオブジェクトの監査の継承です。
機能の説明
サポートされているバージョンの Windows を実行しているコンピューターでは、相互に関連するために、認証と承認のメカニズム システムおよびネットワーク リソースの使用を制御できます。 Windows オペレーティング システムが組み込みの認証とアクセス制御テクノロジを使用して、リソースを保護するは、2 番目のフェーズを実装するユーザーを認証した後: 認証されたユーザーがリソースにアクセスする適切なアクセス許可を持つかどうかを決定します。
共有リソースはリソースの所有者以外のユーザーとグループにも提供されますが、未承認の使用がなされないように保護する必要があります。 アクセス制御モデルでユーザーとグループ (セキュリティ プリンシパルとも呼ばれます) は、一意のセキュリティ識別子 (Sid) で表されます。 権限と、オペレーティング システムの通知、各ユーザーおよびグループで何ができるアクセス許可を割り当てられます。 各リソースには、セキュリティ プリンシパルにアクセス許可を与える所有者がいます。 アクセス制御チェックでこれらのアクセス許可が調べられ、リソースにアクセスできるセキュリティ プリンシパルとそのアクセス方法が確認されます。
セキュリティ プリンシパルは、オブジェクトに対して (を読み取り、書き込み、変更、またはフル コントロールを含む) アクションを実行します。 オブジェクトには、ファイル、フォルダー、プリンター、レジストリ キー、Active Directory ドメイン サービス (AD DS) オブジェクトなどがあります。 リソースを使用してアクセス制御リスト (Acl) をアクセス許可の割り当てを共有します。 これには、次の方法でアクセス制御を適用するリソース マネージャーが有効にします。
承認されていないユーザーとグループにアクセスを許可しない
承認されたユーザーとグループに与えられるアクセス権に、適切に定義された制限を設定する
オブジェクト所有者は、通常、個々のユーザーではなくセキュリティ グループにアクセス許可を与えます。 既存のグループに追加されるユーザーとコンピューターには、そのグループのアクセス許可が与えられます。 オブジェクト (フォルダーなど) が他のオブジェクト (サブフォルダーやファイルなど) を含むことができる場合、そのオブジェクトはコンテナーと呼ばれます。 オブジェクトの階層で親コンテナーを参照して、コンテナーとそのコンテンツ間のリレーションシップが表されます。 コンテナー内のオブジェクトは、子と呼ばれますし、子が親のアクセス制御の設定を継承しています。 オブジェクトの所有者は、アクセス制御の管理を簡易化するために、個々の子オブジェクトではなく、コンテナー オブジェクトのアクセス許可を定義することがよくあります。
このコンテンツ セットが含まれています。
実際の適用例
サポートされているバージョンの Windows を使用する管理者は、次のセキュリティを提供するには、アプリケーションとオブジェクトとサブジェクトに対するアクセス制御の管理に細かく設定できます。
多数の各種ネットワーク リソースが誤用されないように保護する。
組織のポリシーと、ジョブの要件と一貫性のある方法でリソースにアクセスするユーザーをプロビジョニングします。
ユーザーが多数の場所にある多種多様なデバイスからリソースにアクセスできるようにする。
ユーザーのジョブを変更したり、組織のポリシーを変更するときに、定期的にリソースにアクセスすることができなくを更新します。
使用シナリオ (または急激に拡大、さまざまなタブレット コンピューターや携帯電話などのデバイスからリモートの場所からのアクセス) など数の増大を占めてください。
正規のユーザーが業務に必要なリソースにアクセスできない場合に、アクセス問題を特定し、解決する。
アクセス許可
権限は、ユーザーまたはグループ オブジェクトまたはオブジェクトのプロパティに付与されるアクセスの種類を定義します。 たとえば、経理グループには、Payroll.dat という名前のファイルの読み取りと書き込みのアクセス許可を付与できます。
アクセス制御ユーザー インターフェイスを使用すると、ファイル、Active Directory オブジェクト、レジストリ オブジェクト、またはプロセスなどのシステム オブジェクトなどのオブジェクトに対する NTFS アクセス許可を設定することができます。 すべてのユーザー、グループ、またはコンピューターに許可することができます。 オブジェクトへのアクセスを検証するときに、システムのパフォーマンスを向上するために、アクセス許可をグループに割り当てることをお勧めします。
任意のオブジェクトへのアクセス許可を付与できます。
グループ、ユーザー、およびドメインのセキュリティ識別子を持つその他のオブジェクト。
グループとユーザーのドメインおよび信頼されたドメインです。
ローカル グループとオブジェクトが存在するコンピューター上のユーザーです。
オブジェクトにアタッチされているアクセス許可は、オブジェクトの種類によって異なります。 たとえば、ファイルに接続できるアクセス許可は異なるレジストリ キーに関連付けることができます。 ただし、一部のアクセス許可は、ほとんどの種類のオブジェクトに共通です。 これらの一般的なアクセス許可は次のとおりです。
読み取り
変更
所有者の変更
削除
アクセス許可を設定すると、グループとユーザーのアクセス レベルを指定します。 たとえば、1 人のユーザー ファイルの内容を読み取り、別のユーザー ファイルへの変更を許可、および他のすべてのユーザーがファイルにアクセスすることを防止することができます。 プリンターで同様のアクセス許可を設定するには、特定のユーザーがプリンターを構成し、他のユーザーしか印刷できるようにします。
ファイルに対してアクセス許可を変更する場合は、Windows エクスプ ローラーを実行、ファイル名を右クリックして] をクリックして プロパティします。セキュリティ ] タブで、ファイルのアクセス許可を変更することができます。 詳細については、次を参照してください。 Managing Permissionsします。
注意
フォルダーの共有] タブで別の種類のアクセス許可、共有アクセス許可が設定されている プロパティ ページか、共有フォルダー ウィザードを使用しています。 詳細については、次を参照してください。 共有およびファイル サーバー上の NTFS 権限します。
オブジェクトの所有権
所有者は、そのオブジェクトが作成されると、オブジェクトに割り当てられます。 既定では、所有者は、オブジェクトの作成者です。 どのようなアクセス許可は、オブジェクトの設定に関係なく、オブジェクトの所有者は常にアクセス許可を変更できます。 詳細については、次を参照してください。 オブジェクトの所有権を管理します。
アクセス許可の継承
継承では、簡単に割り当てるし、アクセス許可を管理することができます。 この機能は、そのコンテナーの継承可能なすべてのアクセス許可を継承するためのコンテナー内のオブジェクトを自動的にさせます。 たとえば、フォルダー内のファイルは、フォルダーのアクセス許可を継承します。 継承するマークされたアクセス許可のみが継承されます。
ユーザー権利
ユーザーの権利は、特定の特権およびサインイン権利をユーザーとコンピューティング環境にグループに付与します。 管理者は、グループ アカウントや個別のユーザー アカウントに、特定の権限を割り当てることができます。 これらの権限は、システムに対話的にサインインするか、ファイルとディレクトリのバックアップなどの特定のアクションを実行するユーザーを承認します。
ユーザーの権利とは異なりますアクセス許可、ユーザー アカウントにユーザーの権利を適用し、権限はオブジェクトに関連付けられているためです。 ユーザー権利は、個々 のユーザー アカウントに適用できますが、グループ アカウント単位で管理するが最良です。 ユーザーの権限を付与するアクセス制御ユーザー インターフェイスでサポートされていません。 ただし、ユーザー権利の割り当てを使って管理できます ローカル セキュリティ設定します。
ユーザー権利の詳細については、次を参照してください。 ユーザー権利の割り当てします。
オブジェクトの監査
管理者の権限を持つオブジェクトへのユーザーの成功または失敗したアクセスを監査できます。 アクセス制御ユーザー インターフェイスを使用して監査するオブジェクト アクセスを選択することができますが、まず監査ポリシーを有効を選択する必要があります オブジェクト アクセスの監査 [ ローカル ポリシー で ローカル セキュリティ設定します。 イベント ビューアーでセキュリティ ログでこれらのセキュリティ関連のイベントを表示できます。
監査の詳細については、次を参照してください。 セキュリティ監査の概要します。
関連項目
承認とアクセス制御の詳細については、次を参照してください。 Windows セキュリティ コレクションします。
承認方法の詳細については、次を参照してください。 リソース承認方法の設計します。