アクセス制御の概要

[アーティクル]
08/03/2016

適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

IT プロフェッショナルは、このトピックでは、Windows では、これは、ネットワークやコンピューター上のオブジェクトにアクセスするには、ユーザー、グループ、およびコンピューターを承認するプロセスのアクセス制御について説明します。アクセス制御を構成する主要な概念とは、アクセス許可、オブジェクトの所有権、アクセス許可、ユーザーの権利、およびオブジェクトの監査の継承です。

機能の説明

サポートされているバージョンの Windows を実行しているコンピューターでは、相互に関連するために、認証と承認のメカニズムシステムおよびネットワークリソースの使用を制御できます。 Windows オペレーティングシステムが組み込みの認証とアクセス制御テクノロジを使用して、リソースを保護するは、2 番目のフェーズを実装するユーザーを認証した後: 認証されたユーザーがリソースにアクセスする適切なアクセス許可を持つかどうかを決定します。

共有リソースはリソースの所有者以外のユーザーとグループにも提供されますが、未承認の使用がなされないように保護する必要があります。アクセス制御モデルでユーザーとグループ (セキュリティプリンシパルとも呼ばれます) は、一意のセキュリティ識別子 (Sid) で表されます。権限と、オペレーティングシステムの通知、各ユーザーおよびグループで何ができるアクセス許可を割り当てられます。各リソースには、セキュリティプリンシパルにアクセス許可を与える所有者がいます。アクセス制御チェックでこれらのアクセス許可が調べられ、リソースにアクセスできるセキュリティプリンシパルとそのアクセス方法が確認されます。

セキュリティプリンシパルは、オブジェクトに対して (を読み取り、書き込み、変更、またはフルコントロールを含む) アクションを実行します。オブジェクトには、ファイル、フォルダー、プリンター、レジストリキー、Active Directory ドメインサービス (AD DS) オブジェクトなどがあります。リソースを使用してアクセス制御リスト (Acl) をアクセス許可の割り当てを共有します。これには、次の方法でアクセス制御を適用するリソースマネージャーが有効にします。

承認されていないユーザーとグループにアクセスを許可しない
承認されたユーザーとグループに与えられるアクセス権に、適切に定義された制限を設定する

オブジェクト所有者は、通常、個々のユーザーではなくセキュリティグループにアクセス許可を与えます。既存のグループに追加されるユーザーとコンピューターには、そのグループのアクセス許可が与えられます。オブジェクト (フォルダーなど) が他のオブジェクト (サブフォルダーやファイルなど) を含むことができる場合、そのオブジェクトはコンテナーと呼ばれます。オブジェクトの階層で親コンテナーを参照して、コンテナーとそのコンテンツ間のリレーションシップが表されます。コンテナー内のオブジェクトは、子と呼ばれますし、子が親のアクセス制御の設定を継承しています。オブジェクトの所有者は、アクセス制御の管理を簡易化するために、個々の子オブジェクトではなく、コンテナーオブジェクトのアクセス許可を定義することがよくあります。

このコンテンツセットが含まれています。

実際の適用例

サポートされているバージョンの Windows を使用する管理者は、次のセキュリティを提供するには、アプリケーションとオブジェクトとサブジェクトに対するアクセス制御の管理に細かく設定できます。

多数の各種ネットワークリソースが誤用されないように保護する。
組織のポリシーと、ジョブの要件と一貫性のある方法でリソースにアクセスするユーザーをプロビジョニングします。
ユーザーが多数の場所にある多種多様なデバイスからリソースにアクセスできるようにする。
ユーザーのジョブを変更したり、組織のポリシーを変更するときに、定期的にリソースにアクセスすることができなくを更新します。
使用シナリオ (または急激に拡大、さまざまなタブレットコンピューターや携帯電話などのデバイスからリモートの場所からのアクセス) など数の増大を占めてください。
正規のユーザーが業務に必要なリソースにアクセスできない場合に、アクセス問題を特定し、解決する。

アクセス許可

権限は、ユーザーまたはグループオブジェクトまたはオブジェクトのプロパティに付与されるアクセスの種類を定義します。たとえば、経理グループには、Payroll.dat という名前のファイルの読み取りと書き込みのアクセス許可を付与できます。

アクセス制御ユーザーインターフェイスを使用すると、ファイル、Active Directory オブジェクト、レジストリオブジェクト、またはプロセスなどのシステムオブジェクトなどのオブジェクトに対する NTFS アクセス許可を設定することができます。すべてのユーザー、グループ、またはコンピューターに許可することができます。オブジェクトへのアクセスを検証するときに、システムのパフォーマンスを向上するために、アクセス許可をグループに割り当てることをお勧めします。

任意のオブジェクトへのアクセス許可を付与できます。

グループ、ユーザー、およびドメインのセキュリティ識別子を持つその他のオブジェクト。
グループとユーザーのドメインおよび信頼されたドメインです。
ローカルグループとオブジェクトが存在するコンピューター上のユーザーです。

オブジェクトにアタッチされているアクセス許可は、オブジェクトの種類によって異なります。たとえば、ファイルに接続できるアクセス許可は異なるレジストリキーに関連付けることができます。ただし、一部のアクセス許可は、ほとんどの種類のオブジェクトに共通です。これらの一般的なアクセス許可は次のとおりです。

読み取り
変更
所有者の変更
削除

アクセス許可を設定すると、グループとユーザーのアクセスレベルを指定します。たとえば、1 人のユーザーファイルの内容を読み取り、別のユーザーファイルへの変更を許可、および他のすべてのユーザーがファイルにアクセスすることを防止することができます。プリンターで同様のアクセス許可を設定するには、特定のユーザーがプリンターを構成し、他のユーザーしか印刷できるようにします。

ファイルに対してアクセス許可を変更する場合は、Windows エクスプローラーを実行、ファイル名を右クリックして] をクリックして プロパティします。セキュリティ ] タブで、ファイルのアクセス許可を変更することができます。詳細については、次を参照してください。 Managing Permissionsします。

注意

フォルダーの共有] タブで別の種類のアクセス許可、共有アクセス許可が設定されている プロパティ ページか、共有フォルダーウィザードを使用しています。詳細については、次を参照してください。共有およびファイルサーバー上の NTFS 権限します。

オブジェクトの所有権

所有者は、そのオブジェクトが作成されると、オブジェクトに割り当てられます。既定では、所有者は、オブジェクトの作成者です。どのようなアクセス許可は、オブジェクトの設定に関係なく、オブジェクトの所有者は常にアクセス許可を変更できます。詳細については、次を参照してください。オブジェクトの所有権を管理します。

アクセス許可の継承

継承では、簡単に割り当てるし、アクセス許可を管理することができます。この機能は、そのコンテナーの継承可能なすべてのアクセス許可を継承するためのコンテナー内のオブジェクトを自動的にさせます。たとえば、フォルダー内のファイルは、フォルダーのアクセス許可を継承します。継承するマークされたアクセス許可のみが継承されます。

ユーザー権利

ユーザーの権利は、特定の特権およびサインイン権利をユーザーとコンピューティング環境にグループに付与します。管理者は、グループアカウントや個別のユーザーアカウントに、特定の権限を割り当てることができます。これらの権限は、システムに対話的にサインインするか、ファイルとディレクトリのバックアップなどの特定のアクションを実行するユーザーを承認します。

ユーザーの権利とは異なりますアクセス許可、ユーザーアカウントにユーザーの権利を適用し、権限はオブジェクトに関連付けられているためです。ユーザー権利は、個々のユーザーアカウントに適用できますが、グループアカウント単位で管理するが最良です。ユーザーの権限を付与するアクセス制御ユーザーインターフェイスでサポートされていません。ただし、ユーザー権利の割り当てを使って管理できます ローカルセキュリティ設定します。

ユーザー権利の詳細については、次を参照してください。ユーザー権利の割り当てします。

オブジェクトの監査

管理者の権限を持つオブジェクトへのユーザーの成功または失敗したアクセスを監査できます。アクセス制御ユーザーインターフェイスを使用して監査するオブジェクトアクセスを選択することができますが、まず監査ポリシーを有効を選択する必要があります オブジェクトアクセスの監査 [ ローカルポリシー で ローカルセキュリティ設定します。イベントビューアーでセキュリティログでこれらのセキュリティ関連のイベントを表示できます。

監査の詳細については、次を参照してください。セキュリティ監査の概要します。