データの保護

  • [アーティクル]

Windows 2000 におけるファイル、フォルダ、共有リソース、およびその他のシステム オブジェクトのアクセス制御設定

最終更新日: 2002年12月27日

目次

コピーと移動
ファイルのアクセス許可
フォルダのアクセス許可
アクセス許可の適用先の選択
アクセス許可の設定と変更
ファイルとフォルダのアクセス許可の継承のしくみ
共有フォルダのアクセス許可
Active Directory オブジェクトのアクセス許可
プリンタのセキュリティ アクセス許可と共有の設定

  • DAC ポリシーの定義と設定 (グループ メンバシップの定義、既定の DAC 属性の設定、ファイル システムの DAC の設定)

  • DAC のアクセス制御属性の変更 (FMT_MSA.1(a))

  • オブジェクトに関連付けられたセキュリティ属性の取消し (FMT_REV.1(b))

アクセス制御は、ネットワーク上のオブジェクトにアクセスするユーザーとグループを認証するプロセスです。アクセス制御を構成する主要なコンセプトを以下に説明します。

  • 最小特権の原則 : 認証の主要な要素のひとつが最小特権の原則です。これは、すべてのユーザーに最小限のシステム アクセスを付与し、それぞれのジョブ機能を実行できるように指定するものです。したがって、特定のファイルの閲覧だけが必要な場合、ファイルへの読み取りアクセス権のみを与え、そのファイルに対する書き込みができないようにする必要があります。

  • オブジェクトの所有権 : Windows 2000 では、オブジェクトの作成時に所有者を割り当てます。既定の所有者は、オブジェクトの作成者です。

  • オブジェクトに付与されるアクセス許可 : アクセス制御の主な方法は、アクセス許可、すなわちアクセス権によるものです。Windows システムでは、システム内のファイル、フォルダ、およびその他のオブジェクトにアクセス許可を設定することができます。アクセス許可は、ユーザーおよびグループに対する特定のアクションを許可または拒否します。アクセス許可は主にセキュリティ記述子によって実行されますが、これは監査と所有権の定義にも使用されます。オブジェクトに付与されるアクセス許可の例としては、ファイルの「読み取り」アクセス許可があります。Windows システムを初めてインストールするときは、システム オブジェクトのアクセス許可が適切に設定されるか確認します。場合によって、システムが既定で最小特権に設定される場合もあります。システムのアクセス許可が最小特権の原則に一致するか確認し、一致していない場合は変更します。このプロセスは、オペレーティング システムのハードニングと呼ばれます。これは最初のシステム インストール プロセスの一部として実行されます (Windows 2000 ST に対応した特定のオブジェクトに対して、アクセス許可を設定する必要がある場合は、『Windows 2000 Security Configuration Guide』 を参照してください)。

  • アクセス許可の継承 : Windows 2000 には、管理者がアクセス許可を簡単に割り当てたり管理したりするための機能が用意されています。継承と呼ばれるこの機能では、コンテナ内のオブジェクトがコンテナのアクセス許可を自動的に継承します。たとえば、フォルダ内にファイルを作成すると、ファイルはフォルダのアクセス許可を継承します。

  • オブジェクト マネージャ : 個別のオブジェクトのアクセス許可を変更する必要がある場合は、適切なツールを使用し、そのオブジェクトのプロパティを変更します。たとえば、ファイルのアクセス許可を変更するには、Windows エクスプローラを起動し、ファイル名を右クリックして、[プロパティ] をクリックします。表示されたダイアログ ボックスで、ファイルのアクセス許可を変更できます。

  • オブジェクトの監査 : Windows 2000 では、ユーザーによるオブジェクトへのアクセスを管理者が監査できます。セキュリティ関連イベントは、イベント ビューアのセキュリティ ログで表示できます。

コピーと移動

NTFS アクセス許可を利用して、特定のファイルやフォルダへのアクセスを保護するときは、システム上の別の場所へオブジェクトを移動またはコピーした場合のアクセス許可の状況に対して、注意を払うことが重要です。

  • オブジェクトが別のディレクトリにコピーされた場合、コピー先のフォルダのアクセス特権を継承します。

  • ファイルまたはディレクトリ オブジェクトが、あるディレクトリから別のディレクトリへ移動された場合、そのファイルに適用された NTFS アクセス許可もそれに伴って移動します。

ページのトップへ

ファイルのアクセス許可

ファイルのアクセス許可には、「フル コントロール」、「変更」、「読み取りと実行」、「読み取り」、および「書き込み」があります。それぞれのアクセス許可は、特殊なアクセス許可の論理グループから構成されています。次の表は、NTFS ファイルのアクセス許可の一覧と、そのアクセス許可と関連付けられる特殊なアクセス許可を示したものです。

NTFS File Permissions

特殊なアクセス許可 フル コントロール 変更 読み取りと実行 読み取り 書き込み
フォルダのスキャン/ファイルの実行          
フォルダの一覧表示/データの読み取り          
属性の読み取り          
拡張属性の読み取り          
ファイルの作成/データの書き込み          
フォルダの作成/データの追加          
属性の書き込み          
拡張属性の書き込み          
サブフォルダとファイルの削除          
削除          
アクセス許可の読み取り          
アクセス許可の変更          
所有権の取得          
同期          
**警告** : フォルダへの「フル コントロール」を付与されたグループまたはユーザーは、ファイルがアクセス許可で保護されているかどうかに関わらず、そのフォルダ内の任意のファイルを削除できます。 [](#mainsection)[ページのトップへ](#mainsection) ### フォルダのアクセス許可 フォルダのアクセス許可には、「フル コントロール」、「変更」、「読み取りと実行」、「フォルダの内容の一覧表示」、「読み取り」、および「書き込み」があります。それぞれのアクセス許可は、特殊なアクセス許可の論理グループから構成されています。次の表は、NTFS フォルダのアクセス許可の一覧と、そのアクセス許可と関連付けられる特殊なアクセス許可を示したものです。 **フォルダのアクセス許可**

特殊なアクセス許可 フル コントロール 変更 読み取りと実行 フォルダの内容の一覧表示 読み取り 書き込み
フォルダのスキャン/ファイルの実行            
フォルダの一覧表示/データの読み取り            
属性の読み取り            
拡張属性の読み取り            
ファイルの作成/データの書き込み            
フォルダの作成/データの追加            
属性の書き込み            
拡張属性の書き込み            
サブフォルダとファイルの削除            
削除            
アクセス許可の読み取り            
アクセス許可の変更            
所有権の取得            
同期            
**「フォルダの内容の一覧表示」**と**「読み取りと実行」**は同一の特殊なアクセス許可を持っているように見えますが、これらのアクセス許可は異なる方法で継承されます。**「フォルダの内容の一覧表示」**は、フォルダに継承され、ファイルには継承されません。また、フォルダのアクセス許可を表示したときにだけ表示されます。**「読み取りと実行」**は、ファイルとフォルダの両方で継承されるので、ファイルまたはフォルダのアクセス許可を表示したときに必ず表示されます。 [](#mainsection)[ページのトップへ](#mainsection) ### アクセス許可の適用先の選択 ファイルとフォルダにアクセス許可を設定するときは、**\[アクセス許可のエントリ\]** ダイアログ ボックスが表示されます。このダイアログ ボックスの**\[適用先\]** に、アクセス許可を適用できる場所が一覧表示されます。このアクセス許可の適用方法は、**\[これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する\]** チェック ボックスが選択されているかによって異なります。既定では、このチェック ボックスはオフになっています。 ![](images/Dd362980.w2kab086(ja-jp,TechNet.10).gif) **\[これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する\]** チェック ボックスがオフの場合、以下のようにアクセス許可が適用されます。

適用先 現在のフォルダにアクセス許可を適用する 現在のフォルダのサブフォルダにアクセス許可を適用する 現在のフォルダ内のファイルにアクセス許可を適用する すべてのサブフォルダにアクセス許可を適用する すべてのサブフォルダ内のファイルにアクセス許可を適用する
このフォルダのみ          
フォルダ、サブフォルダ、およびファイル          
このフォルダとサブフォルダ          
このフォルダとファイル          
サブフォルダとファイルのみ          
サブフォルダのみ          
ファイルのみ          
**\[これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する\]** チェック ボックスがオンの場合、以下のようにアクセス許可が適用されます。

適用先 現在のフォルダにアクセス許可を適用する 現在のフォルダのサブフォルダにアクセス許可を適用する 現在のフォルダ内のファイルにアクセス許可を適用する すべてのサブフォルダにアクセス許可を適用する すべてのサブフォルダ内のファイルにアクセス許可を適用する
このフォルダのみ          
フォルダ、サブフォルダ、およびファイル          
このフォルダとサブフォルダ          
このフォルダとファイル          
サブフォルダとファイルのみ          
サブフォルダのみ          
ファイルのみ          
[](#mainsection)[ページのトップへ](#mainsection) ### アクセス許可の設定と変更 ファイルとフォルダの特殊なアクセス許可を設定、表示、変更、または削除するには、以下を実行します。 1. **\[スタート\]** をクリックし、**\[プログラム\]**、**\[アクセサリ\]** の順にポイントして、**\[エクスプローラ\]** をクリックし、Windows エクスプローラを開きます。 2. 特殊なアクセス許可が設定されたファイルまたはフォルダを探します。 3. ファイルまたはフォルダを右クリックし、**\[プロパティ\]** をクリックして、**\[セキュリティ\]** タブをクリックします。 4. **\[詳細\]** をクリックします。 ![](images/Dd362980.w2kab087(ja-jp,TechNet.10).gif) 5. 以下のいずれかを実行します。 - 新規グループまたはユーザーに対して特殊なアクセス許可を設定するには、**\[追加\]** をクリックします。**\[名前\]** ボックスにユーザーまたはグループの名前を *domainname\\name* の形式で入力するか、一覧から選択します。ドメインのアカウント名にアクセスするには、**\[探す場所\]** リスト ボックスをクリックします。現在のコンピュータ、ローカル ドメイン、信頼されたドメイン、およびアクセス可能なその他のリソースがここに一覧表示されます。ローカル ドメインを選択すると、ドメインのすべてのアカウント名が表示されます。 ![](images/Dd362980.w2kab088(ja-jp,TechNet.10).gif) - 入力後に **\[OK\]** をクリックすると、**\[アクセス許可のエントリ\]** ダイアログ ボックスが自動的に開きます。 ![](images/Dd362980.w2kab089(ja-jp,TechNet.10).gif) - 既存のグループまたはユーザーの特殊なアクセス許可を表示または変更するには、グループまたはユーザーの名前をクリックし、**\[表示/編集\]** をクリックします。 ![](images/Dd362980.w2kab090(ja-jp,TechNet.10).gif) - グループまたはユーザーとその特殊なアクセス許可を削除するには、グループまたはユーザーの名前をクリックし、**\[削除\]** をクリックします。**\[削除\]** ボタンが利用できない場合は、**\[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする\]** チェック ボックスをオフにします。これ以後、このファイルまたはフォルダはアクセス許可を継承しません。ステップ 4、5、および 6 は省略してください。 6. 必要に応じて、**\[アクセス許可のエントリ\]** ダイアログ ボックスの **\[適用先\]** ボックスで、アクセス許可を適用する場所をクリックします。**\[適用先\]** ボックスは、フォルダの場合にだけ利用可能です。 7. アクセス許可ごとに、**\[アクセス許可\]** の **\[許可\]** または **\[拒否\]** をクリックします。 8. ツリーに含まれるサブフォルダおよびファイルがアクセス許可を継承しないようにするには、**\[これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する\]** チェック ボックスをオンにします。 **注意** アクセス許可を設定できるのは、NTFS でフォーマットされたドライブだけです。 アクセス許可を変更するには、所有者であるか、または所有者からアクセス許可を変更するためのアクセス許可を与えられている必要があります。 \[アクセス許可\] のチェック ボックスが影付きの場合は、ファイルまたはフォルダのアクセス許可が親フォルダから継承されています。 **警告** : フォルダのフル コントロールを許可されたグループまたはユーザーは、ファイルとサブフォルダを保護するためのアクセス許可に関わらず、フォルダ内のファイルとサブフォルダを削除できます。 [](#mainsection)[ページのトップへ](#mainsection) ### ファイルとフォルダのアクセス許可の継承のしくみ 親フォルダにアクセス許可を設定すると、そのフォルダに作成された新規ファイルとサブフォルダはこれらのアクセス許可を継承します。アクセス許可を継承させない場合は、親フォルダに特殊なアクセス許可を設定するときに、**\[適用先\]** の **\[このフォルダのみ\]** をクリックします。 特定のファイルまたはサブフォルダだけがアクセス許可を継承しないようにするには、以下を実行します。 1. そのファイルまたはサブフォルダを右クリックし、**\[プロパティ\]** をクリックして、**\[セキュリティ\]** タブをクリックします。 アカウントのアクセス許可のチェック ボックスが影付きの場合は、そのファイルまたはフォルダは親フォルダからアクセス許可を継承しています。継承されたアクセス許可を変更するには 3 つの方法があります。 - 親フォルダのアクセス許可を変更すると、ファイルまたはフォルダも変更後のアクセス許可を継承します。 - 反対のアクセス許可 (**\[許可\]** または **\[拒否\]**) をオンにして、継承されたアクセス許可を上書きします。 - **\[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする\]** チェック ボックスをオフにします。これで、アクセス許可を変更したり、アクセス許可の一覧からユーザーやグループを削除したりできます。ただし、これ以降、このファイルまたはフォルダは親フォルダのアクセス許可を継承しません。 2. **\[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする\]** チェック ボックスをオフにします。 ![](images/Dd362980.w2kab091(ja-jp,TechNet.10).gif) 3. 以下のような継承されたアクセス許可をコピーまたは削除するか尋ねる **\[セキュリティ\]** ウィンドウが表示されます。**\[削除\]** ボタンをクリックします。 ![](images/Dd362980.w2kab092(ja-jp,TechNet.10).gif) 4. 以前に継承されたすべてのアクセス許可が、ファイルまたはサブフォルダから削除されます。 ![](images/Dd362980.w2kab093(ja-jp,TechNet.10).gif) アクセス許可の **\[許可\]** チェック ボックスも **\[拒否\]** チェック ボックスもオフの場合、そのグループまたはユーザーはグループ メンバシップを通じてアクセス許可を取得していることがあります。グループまたはユーザーが別のグループのメンバシップを通じてアクセス許可を取得していない場合は、暗黙的にアクセス許可が拒否されます。アクセス許可を明示的に許可または拒否するには、該当するチェック ボックスをオンにします。 [](#mainsection)[ページのトップへ](#mainsection) ### 共有フォルダのアクセス許可 共有フォルダを使用すると、ネットワーク ユーザーはネットワーク上のファイルとアプリケーション リソースにアクセスできるようになります。フォルダが共有されている場合、ユーザーはネットワーク上のフォルダに接続し、そのフォルダが含まれたファイルを利用できます。ただし、ファイルへのアクセスを得るには、その共有フォルダへのアクセス許可がユーザーに付与されている必要があります。 ホーム フォルダと呼ばれる共有フォルダには、アプリケーション、データ、またはユーザーの個人データを含めることができます。データのタイプごとに、異なる共有フォルダのアクセス許可が必要です。以下は、共有フォルダのアクセス許可の特徴を示しています。 - 共有フォルダのアクセス許可は、個々のファイルではなく、フォルダに適用します。共有フォルダのアクセス許可は、共有フォルダ内の個々のファイルやサブフォルダではなく、共有フォルダ全体にのみ適用できるので、NTFS のアクセス許可ほど詳細なセキュリティ設定はできません。 - 共有フォルダのアクセス許可では、フォルダが格納されたコンピュータからアクセスするユーザーのアクセスは制限しません。このアクセス許可はネットワーク上のフォルダに接続するユーザーのみに適用されます。 - 共有フォルダのアクセス許可は、ファイル アロケーション テーブル (FAT) ボリュームのネットワーク リソースのセキュリティを保護する唯一の方法です。NTFS のアクセス許可は、FAT ボリュームでは利用できません。 - 既定の共有フォルダのアクセス許可は「フルコントロール」で、これはフォルダ共有時に Everyone グループに割り当てられます。 共有フォルダは、Windows エクスプローラでは以下のように共有フォルダを持っている手のアイコンで表示されます。 ![](images/Dd362980.w2kab094s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab094(ja-jp,technet.10).gif) ユーザーの共有フォルダへのアクセス方法を制御するには、共有フォルダのアクセス許可を割り当てます。次の表は、共有フォルダのアクセス許可と、それぞれのアクセス許可でユーザーが共有フォルダに対して実行できる操作を示しています。 **共有フォルダのアクセス許可**

共有アクセス許可によって可能な操作 フル コントロール 変更 読み取り
ファイル名とサブフォルダ名の表示      
サブフォルダへの移動      
ファイル内容の表示とプログラムの実行      
共有フォルダへのファイルとサブフォルダの追加      
ファイルのデータの変更      
サブフォルダとファイルの削除      
アクセス許可の変更 (NTFS のみ)      
所有権の取得 (NTFS のみ)      
共有フォルダのアクセス許可は、許可または拒否に設定することができます。一般的に個々のユーザーではなく、グループにアクセス許可を付与し、割り当てるのが最善の方法です。アクセス許可の拒否は、別の方法で適用されたアクセス許可を上書きする必要があるときにのみ使用します。ほとんどの場合、アクセス許可の拒否は、アクセス許可が与えられたグループに属する特定のユーザーのアクセス許可を拒否する必要がある場合にのみ適用する必要があります。共有フォルダで、アクセス許可を拒否するように設定されたユーザーには、そのアクセス許可が与えられません。たとえば、共有フォルダへのすべてのアクセスを拒否するには、「フル コントロール」のアクセス許可を拒否します。 #### 共有フォルダのアクセス許可を適用する方法 ユーザーおよびグループに共有アクセス許可を適用すると、共有フォルダへのアクセスに影響を与えます。アクセス許可の拒否は、許可されたアクセス許可より優先されます。以下の一覧では、適用するアクセス許可の影響を説明しています。 - **複数のアクセス許可の組み合わせ** : ユーザーは、共有フォルダに対して異なるレベルのアクセス許可を付与された複数のグループのメンバになることができます。共有フォルダに対するアクセス許可を割り当てられたユーザーが、異なるアクセス許可の割り当てられたグループのメンバである場合、ユーザーに影響を与えるアクセス許可はユーザーとグループのアクセス許可を組み合わせたものになります。たとえば、「読み取り」アクセス許可を持つユーザーが、「変更」アクセス許可を持つグループのメンバである場合、「読み取り」を含む「変更」アクセス許可がユーザーに影響を与えるアクセス許可になります。 - **他のアクセス許可に優先するアクセス許可の拒否** : アクセス許可の拒否は、ユーザー アカウントとグループに許可されたそれ以外のアクセス許可に優先されます。ユーザーが共有フォルダへのアクセス許可を拒否された場合、ユーザーが所属するグループで、そのアクセス許可が有効な場合でも、ユーザーにアクセス許可は付与されません。 - **NTFS ボリューム では NTFS アクセス許可が必要** : 共有フォルダのアクセス許可は、FAT ボリューム上のファイルとフォルダへのアクセス付与には十分ですが、NTFS ボリューム上では不十分です。FAT ボリュームでは、アクセス許可を持つ共有フォルダならびにそのフォルダ内のすべての内容にアクセスできます。NTFS ボリュームの共有フォルダへのアクセスを得るには、共有フォルダのアクセス許可と共に、アクセスするファイルとフォルダごとに適切な NTFS のアクセス許可が必要となります。 - **コピーまたは移動した共有フォルダの非共有** : 共有フォルダがコピーされると、元の共有フォルダは引き続き共有されますが、コピーされたフォルダは共有されません。共有フォルダを移動した場合も、共有されません。 #### 共有フォルダのアクセス許可のガイドライン 以下の一覧は、共有フォルダの管理と共有フォルダのアクセス許可の割り当てに関する一般的なガイドラインです。 - 各リソースへのアクセスが必要なグループと、そのグループが必要とするアクセスのレベルを指定します。グループと各リソースへのアクセス許可をドキュメント化しておきます。 - アクセス管理を簡略化するには、ユーザー アカウントの代わりにグループへアクセス許可を割り当てます。 - リソースには、ユーザーが必要なタスクを実行できる最小限のアクセス許可を割り当てます。たとえば、ファイルの削除や作成をまったく実行せず、フォルダ内の情報の読み取りだけが必要な場合、「読み取り」アクセス許可を割り当てます。 - 同一のセキュリティ要件を持つフォルダが共有の親フォルダ内に配置されるように、リソースを整理します。たとえば、ユーザーが複数のアプリケーション フォルダに対する「読み取り」アクセス許可が必要な場合、同一の親フォルダ内にそのアプリケーション フォルダを格納し、個々のアプリケーション フォルダを共有せずに、このフォルダを共有します。 - 直観的な共有名を使用すると、リソースの認識と検索が容易になります。たとえば、Application フォルダの共有名として Apps を使用します。また、すべてのクライアント オペレーティング システムが使用できる共有名を使用します。 Microsoft Windows 2000 は、8.3 文字方式対応の名前が付けられますが、その名前はユーザーにとってわかりにくい場合があります。たとえば、Accountants Database と名付けられた Windows 2000 フォルダは、ワークグループで MS-DOS、Windows 3.x、および Windows を実行するクライアント コンピュータでは Account~1 と表示されます。 #### 共有フォルダ リソースが含まれたフォルダを共有することで、他者とリソースを共有することができます。フォルダを共有するには、共有フォルダの常駐するコンピュータの役割に応じて、ユーザーが複数のグループのいずれかのメンバである必要があります。フォルダを共有するときは、フォルダへ同時にアクセスできるユーザー数を制限し、フォルダへのアクセスを制御することができます。また、選択したユーザーとグループにアクセス許可を割り当てることで、フォルダとその内容へのアクセスを制御することもできます。フォルダを共有できるグループとコンピュータは、ワークグループまたはドメインのいずれであるか、また共有フォルダの常駐するコンピュータの種類によって異なります。 - Windows 2000 ドメインでは、Administrators と Server Operators グループがドメイン内のあらゆるコンピュータに常駐するフォルダを共有することができます。Power Users グループは、ローカル グループなので、グループが所属し、Windows 2000 Professional を実行するスタンドアロンのサーバーまたはコンピュータにあるフォルダのみを共有できます。 - Windows 2000 のワークグループでは、Administrators と Power Users グループは、グループが所属し、Windows 2000 Professional を実行するコンピュータ、またはスタンドアロンの Windows 2000 Server にあるフォルダを共有できます。 共有するフォルダが NTFS ボリュームにある場合、ユーザーは共有するために少なくともそのフォルダに対する「読み取り」アクセス許可を持っている必要があります。 #### 管理者用共有フォルダ Windows 2000 は、管理を目的としたフォルダを自動的に共有します。このような共有フォルダにはドル記号 ($) が付いており、ネットワーク経由でコンピュータを閲覧するユーザーからは見えません。各ボリュームのルート、システム ルート フォルダ、プリンタ ドライバの場所は、すべて非表示の共有フォルダです。下表は、Windows 2000 で自動的に提供される管理者用共有フォルダの目的を説明しています。これらの共有は、現在のセッションに限り無効にできます。Windows 2000 を再起動すると、共有が再度有効になります。これらの共有に対するアクセス許可は変更できません。

共有 目的
C$、D$、E$、など ハード ディスク上の各ボリュームのルートは、自動的に共有されます。共有名はドライブ文字の次にドル記号 ($) を付けたものになります。このフォルダに接続すると、ボリューム全体へのアクセスが可能です。管理者用共有リソースを使用すると、コンピュータにリモートで接続し、管理タスクを実行することができます。Windows 2000 では、Administrators グループに「フル コントロール」のアクセス許可が割り当てられています。 また、CD-ROM ドライブも自動的に共有され、CD-ROM ドライブ文字の次にドル記号を付けることで共有名が作成されます。
ADMIN$ 既定では C:\Winnt であるシステム ルート フォルダは、Admin$ として共有されます。管理者は、この共有フォルダへアクセスできるので、インストールされたフォルダがわからなくても、Windows 2000 を管理することができます。Administrators グループのメンバのみが、この共有リソースへアクセスできます。Windows 2000 では Administrators グループに「フル コントロール」のアクセス許可が割り当てられています。
IPC$ プロセス間通信の共有。
Print$ 最初の共有プリンタがインストールされると、systemroot\ System32\Spool\Drivers フォルダが Print$ として共有されます。このフォルダは、クライアント用のプリンタ ドライバ ファイルへのアクセスを提供します。Administrators、Server Operators、Print Operators グループのメンバのみが、「フル コントロール」アクセス許可を所有します。Everyone グループは「読み取り」アクセス許可を所有します。
非表示の共有フォルダは、システムが自動的に作成するものだけに限定されません。共有名の最後にドル記号を付け、追加のフォルダを共有することができます。適切なアクセス許可も持っている場合、フォルダ名を知っているユーザーのみがアクセスできます。 #### フォルダの共有 フォルダを共有するときは、共有名の付与、フォルダとその内容を示すコメントの追加、フォルダにアクセスするユーザー数の制限設定、アクセス許可の割り当て、および複数回にわたるフォルダの共有が可能です。フォルダは以下の手順で共有できます。 1. フォルダを共有できるグループのメンバであるユーザー アカウントでログオンします。 2. 共有するフォルダを右クリックし、**\[共有\]** をクリックします。**\[共有\]** タブのオプションがある、フォルダのプロパティ ウィンドウが表示されます。 ![](images/Dd362980.w2kab095(ja-jp,TechNet.10).gif) 共有するフォルダを右クリック 3. **\[プロパティ\]** ダイアログ ボックスの **\[共有\]** タブで、下表に示したオプションを設定し、共有リソースとして利用できるフォルダを作成します。

オプション 説明
共有名 遠隔地のユーザーが共有フォルダとの接続に使用する名前。共有名を入力します。
コメント 共有名に関する任意の説明。クライアント コンピュータのユーザーが共有フォルダのサーバーを参照するときに、共有名と共に表示されます。このコメントを使用すると、共有フォルダの内容を特定することができます。
ユーザー数制限 共有フォルダへ同時に接続できるユーザー数。Windows 2000 Professional では、[無制限] が選択されている場合、最大 10 の接続をサポートします。Windows 2000 Server は、無制限の接続をサポートできますが、購入されたクライアント アクセス ライセンス (CAL) の数が接続数の上限です。
アクセス許可 ネットワーク経由でフォルダにアクセスするときのみ適用される共有フォルダのアクセス許可。既定では Everyone グループにすべての新しい共有フォルダに対するフル コントロールが割り当てられます。
キャッシュ この共有フォルダに対するオフライン アクセスの設定。
#### 共有フォルダのアクセス許可の割り当て フォルダを共有した後は、選択したユーザー アカウントとグループに共有フォルダのアクセス許可を割り当て、共有フォルダへのアクセスを所有するユーザーを指定します。以下の手順で、共有フォルダに対するユーザー アカウントとグループのアクセス許可を割り当てます。 1. 共有フォルダの \[プロパティ\] ダイアログ ボックスの **\[共有\]** タブで、**\[アクセス許可\]** をクリックします。 2. **\[アクセス許可\]** ダイアログ ボックスで、Everyone グループが選択されていることを確認し、**\[削除\]** をクリックします。 ![](images/Dd362980.w2kab096(ja-jp,TechNet.10).gif) 3. **\[アクセス許可\]** ダイアログ ボックスの **\[追加\]** をクリックします。 ![](images/Dd362980.w2kab097s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab097s(ja-jp,technet.10).gif) 4. **\[ユーザー、連絡先、またはコンピュータの選択\]** ダイアログ ボックスで、アクセス許可を割り当てるユーザー アカウントまたはグループをクリックします。 5. **\[追加\]** をクリックして、ユーザー アカウントまたはグループを共有フォルダに追加します。アクセス許可を割り当てるすべてのユーザー アカウントとグループに対して、この手順を繰り返します。 6. **\[OK\]** をクリックします。 ![](images/Dd362980.w2kab098(ja-jp,TechNet.10).gif) 7. 共有フォルダの **\[アクセス許可\]** ダイアログ ボックスで、ユーザー アカウントまたはグループをクリックし、適用するアクセス許可に応じて、**\[アクセス許可\]** の下にある **\[許可\]** チェック ボックスまたは **\[拒否\]** チェック ボックスを選択します。 ![](images/Dd362980.w2kab099(ja-jp,TechNet.10).gif) ![](images/Dd362980.w2kab100(ja-jp,TechNet.10).gif) #### 共有フォルダの変更 権限のあるユーザーは、共有フォルダの変更、フォルダの共有の解除、共有名の変更、および共有フォルダのアクセス許可の変更が可能です。 権限のあるユーザーは以下の手順で共有フォルダを変更することができます。 1. 共有フォルダの **\[プロパティ\]** ダイアログ ボックスの **\[共有\]** タブをクリックします。 ![](images/Dd362980.w2kab101(ja-jp,TechNet.10).gif) 2. 操作を適切に完了するには、下表の手順を利用します。

操作 手順
フォルダの共有の解除 [このフォルダを共有しない] をクリックします。
共有名の変更 [このフォルダを共有しない] をクリックして、フォルダの共有を解除します。[適用] をクリックして変更を適用します。[このフォルダを共有する] をクリックし、[共有名] ボックスに新しい共有名を入力します。
共有フォルダのアクセス許可の変更 [アクセス許可] ダイアログ ボックスの [アクセス許可] をクリックし、[追加] または [削除] をクリックします。[名前] ダイアログ ボックスで、アクセス許可を変更するユーザー アカウントまたはグループをクリックします。[アクセス許可][許可] または [拒否] ダイアログ ボックスをクリックして、アクセス許可を変更します。
フォルダの複数回共有 [新しい共有] をクリックし、追加する共有フォルダ名のフォルダを共有します。これを実行することで、複数の共有フォルダを 1 つに統合すると同時に、統合する前に使用していたものと同じ共有フォルダ名を引き続き使用できます。
共有名の削除 [共有解除] をクリックします。このオプションは、すでにフォルダを複数回共有している場合のみ表示されます。
**注意** : ユーザーがファイルを開いている間に共有を無効にすると、データが破損する場合があります。共有フォルダにユーザーが接続しているときに、\[このフォルダを共有しない\] を選択した場合、Windows 2000 では共有フォルダにユーザーが接続していることを示すメッセージが表示されます。 #### 共有フォルダのアクセス許可と NTFS アクセス許可の統合 フォルダを共有すると、リソースへのアクセスをネットワーク ユーザーに提供することができます。FAT ボリュームを使用している場合、共有フォルダのアクセス許可は、共有されるフォルダと、そこに含まれるフォルダやファイルにセキュリティを提供できる唯一のリソースになります。NTFS ボリュームを使用している場合、個々のユーザーとグループに NTFS アクセス許可を割り当てることで、共有フォルダ内のファイルとサブフォルダへのアクセスをより適切に制御することができます。共有フォルダのアクセス許可と NTFS アクセス許可を組み合わせた場合、より制限のあるアクセス許可が常に優先されます。 NTFS ボリューム上のリソースにアクセスを提供する方策のひとつが、既定の共有フォルダのアクセス許可を所有するフォルダを共有し、NTFS アクセス許可を割り当ててアクセスを制御することです。NTFS ボリューム上のフォルダを共有する場合、共有フォルダのアクセス許可と NTFS アクセス許可の両方を組み合わせ、ファイル リソースのセキュリティを保護します。 共有フォルダのアクセス許可は、リソースに対するセキュリティに限界があります。NTFS アクセス許可を使用して、共有フォルダへのアクセスを制御すると、最大の柔軟性を得られます。また、リソースにローカルでアクセスするか、ネットワーク経由でアクセスするかに応じて、NTFS アクセス許可を適用します。 NTFS ボリュームで共有フォルダのアクセス許可を利用するときは、次のルールが適用されます。 - NTFS アクセス許可は、共有フォルダ内のファイルとサブフォルダに適用することができます。共有フォルダに含まれたファイルとサブフォルダごとに、異なる NTFS アクセス許可を適用できます。 - 共有フォルダに含まれたファイルとサブフォルダにアクセスするには、ユーザーは共有フォルダのアクセス許可に加え、そのファイルとサブフォルダに対する NTFS アクセス許可を所有している必要があります。これとは対照的に FAT ボリュームの場合、共有フォルダに対するアクセス許可が、共有フォルダ内のファイルとサブフォルダを保護する唯一のアクセス許可になります。 - 共有フォルダのアクセス許可を NTFS アクセス許可と組み合わせた場合、より制限のあるアクセス許可が常に優先されます。 下図の場合、Everyone グループは、Public フォルダに対する共有フォルダの「フル コントロール」アクセス許可と、File A に対する NTFS の「読み取り」アクセス許可を所有しています。Everyone グループに影響を与える File A のアクセス許可は、「読み取り」です。これは「読み取り」がより制限されたアクセス許可であるためです。File B に関しては、共有フォルダのアクセス許可と NTFS アクセス許可の両方でこのレベルのアクセスが許可されているため、有効なアクセス許可は「フル コントロール」になります。 ![](images/Dd362980.w2kab102(ja-jp,TechNet.10).gif) #### 共有セッションまたはアクティブ セッションからのユーザーの切断 権限のあるユーザーは共有リソースを管理し、**\[コンピュータの管理\]** GUI の \[共有フォルダ\] オブジェクトからアクティブなセッションを切断することができます。Windows 2000 Professional の場合、Administrators または Power Users グループのメンバのみが、\[共有フォルダ\] を使用することができます。Windows 2000 Server では、Server Operators グループのメンバも \[共有フォルダ\] を使用することができます。リソースを使用しているユーザーを切断すると、データが損なわれるおそれがあります。接続中のユーザーを切断する前に警告することをお勧めします。 以下の手順でユーザーを切断します。 1. **\[スタート\]** をクリックし、**\[プログラム\]**、**\[管理ツール\]** の順に選択します。**\[コンピュータの管理\]** をクリックし、**\[共有フォルダ\]** をダブルクリックします。 ![](images/Dd362980.w2kab103(ja-jp,TechNet.10).gif) 2. コンソール ツリーで、**\[セッション\]** をクリックします。 3. 1 名のユーザーを切断するには、該当するユーザー名を右クリックし、**\[セッションを閉じる\]** をクリックします。 ![](images/Dd362980.w2kab104(ja-jp,TechNet.10).gif) 4. すべてのユーザーを切断するには、**\[セッション\]** を右クリックし、**\[セッションをすべて切断\]** をクリックします。 ![](images/Dd362980.w2kab105(ja-jp,TechNet.10).gif) [](#mainsection)[ページのトップへ](#mainsection) ### Active Directory オブジェクトのアクセス許可 Active Directory オブジェクトへのアクセスを制御するには、オブジェクトにどのようなアクセス許可を付与することが許されているか、ならびに Active Directory オブジェクトの管理責任を委任するためにはどのような方法でこれらのアクセス許可を付与するかという 2 点を考慮する必要があります。 Active Directory オブジェクトには次のアクセス許可を付与することができます。 - 子オブジェクトの作成 (オブジェクトの種類に固有か、またはコンテナ下のあらゆるオブジェクトに共通) - 子オブジェクトの削除 (オブジェクトの種類に固有か、またはコンテナ下のあらゆるオブジェクトに共通) - プロパティの読み取り (オブジェクトの個々のプロパティに固有か、またはオブジェクトのすべての属性に共通) - プロパティの書き込み (オブジェクトの個々のプロパティに固有か、またはオブジェクトのすべての属性に共通) - 内容の一覧表示 - 自身に書き込み - ツリーの削除 - オブジェクトの一覧表示 - アクセス制御 (個々の制御操作に固有か、またはオブジェクトに対するすべての制御操作に共通) 以下の手順を利用して、ディレクトリ オブジェクトにアクセス許可を設定することができます。 1. 管理者アカウントを使用してログオンします。 2. **\[Active Directory ユーザーとコンピュータ\]** ツールを開きます。 3. **\[表示\]** メニューの **\[拡張機能\]** を選択します。 ![](images/Dd362980.w2kab106s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab106(ja-jp,technet.10).gif) 4. オブジェクトのコンテナを探して右クリックし、**\[プロパティ\]** をクリックします。 5. **\[セキュリティ\]** タブをクリックして、**\[詳細設定\]** をクリックします。 6. **\[アクセス許可\]** ウィンドウの **\[追加\]** ボタンをクリックします。 7. セキュリティ方式の名前を選択し、**\[OK\]** をクリックします。 ![](images/Dd362980.w2kab107s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab107(ja-jp,technet.10).gif) 8. **\[オブジェクト\]** と **\[プロパティ\]** という 2 つのタブのあるダイアログ ボックスが表示されます。 9. **\[オブジェクト\]** タブでは、権限のある管理者がオブジェクトに対するアクセス許可を指定することができます。 10. **\[プロパティ\]** タブでは、権限のある管理者がオブジェクトのプロパティに対するアクセス許可を指定することができます。 11. プルダウン メニューを使用して選択します。 12. 変更するタブをクリックし、設定するアクセス許可のチェック ボックスを選択します。 13. **\[適用\]** チェック ボックスを選択し、**\[OK\]** をクリックします。 ![](images/Dd362980.w2kab108s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab108(ja-jp,technet.10).gif) 14. **\[アクセス制御の設定\]** ウィンドウで、この選択を親コンテナからオブジェクトへ継承するかを選択します。継承する場合、**\[継承可能な監査エントリを親からこのオブジェクトに継承できるようにする\]** チェック ボックスを選択します。 ![](images/Dd362980.w2kab109s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab109(ja-jp,technet.10).gif) 15. **\[適用\]** をクリックして、**\[OK\]** をクリックします。 16. **\[プロパティ\]** ウィンドウで、親コンテナからこのオブジェクトにアクセス許可を継承できるようにするかを選択します。選択する場合は、該当するチェック ボックスをオンにします。 ![](images/Dd362980.w2kab110s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362980.w2kab110(ja-jp,technet.10).gif) 17. **\[適用\]** をクリックして、**\[OK\]** をクリックします。 [](#mainsection)[ページのトップへ](#mainsection) ### プリンタのセキュリティ アクセス許可と共有の設定 プリンタをネットワークに追加するときは、既定のアクセス許可を割り当て、すべてのユーザーの印刷、ならびにプリンタまたはプリンタに送信されたドキュメント (あるいはその両方) を管理するグループの選択ができるようにします。プリンタはネットワーク上のすべてのユーザーが利用できるので、一部のユーザーのアクセスを制限するには、特別なプリンタ アクセス許可を割り当てる必要があります。たとえば、部門内の管理者以外のすべてのユーザーに「印刷」アクセス許可を与え、すべての管理者に「印刷」と「ドキュメントの管理」アクセス許可を与えることができます。この方法では、すべてのユーザーと管理者がドキュメントを印刷できますが、管理者はプリンタに送信されたドキュメントの印刷状態を変更することもできます。 Windows 2000 では、**「印刷」**、**「プリンタの管理」**、**「ドキュメントの管理」**という 3 つのレベルのプリンタ セキュリティ アクセス許可があります。ユーザーのグループに複数のアクセス許可を割り当てるときは、最も制限の少ないアクセス許可を適用します。ただし、**「拒否」** が適用されている場合、あらゆるアクセス許可より優先されます。下表は、各アクセス許可レベルで実行できるタスクの種類を簡単に説明しています。

アクセス許可 説明
印刷 プリンタに接続し、ドキュメントをそのプリンタに送信できます。「印刷」アクセス許可は、既定で Everyone グループのすべてのメンバに割り当てられます。
プリンタの管理 「印刷」アクセス許可に関連付けられたタスクを実行できます。またプリンタの管理を完全に制御することができます。プリンタの一時停止と再試行、スプーラ設定の変更、プリンタの共有、プリンタのアクセス許可の調整、プリンタのプロパティの変更が可能です。「プリンタの管理」アクセス許可は、既定で Administrators と Power Users グループのメンバに割り当てられます。 Administrators と Power Users グループのメンバは、既定で完全なアクセス権を有しています。つまりこれは、「印刷」、「ドキュメントの管理」、「プリンタの管理」アクセス許可が割り当てられていることを意味します。
ドキュメントの管理 他のすべてのユーザーが送信したドキュメントの一時停止、再開、再試行、キャンセルが可能です。ただし、プリンタへのドキュメントの送信や、プリンタの状態の制御はできません。「ドキュメントの管理」アクセス許可は、既定で Creator Owner グループのメンバに割り当てられます。 「ドキュメントの管理」アクセス許可を割り当てたとき、印刷を待機している既存のドキュメントにアクセスすることはできません。このアクセス許可は、ユーザーにアクセス許可を割り当てた後で、プリンタに送信されたドキュメントにのみ適用されます。
拒否 プリンタに対する上記のアクセス許可のいずれかまたはすべてを拒否します。アクセスが拒否されると、プリンタの使用または管理、プリンタに送信されたドキュメントの操作、またはアクセス許可の調整ができません。
プリンタへのアクセス許可を設定または削除するには、次の手順を実行します。 1. **\[スタート\]** をクリックして、**\[設定\]** をポイントし、**\[プリンタ\]** をクリックします。 2. アクセス許可を設定するプリンタ オブジェクトを右クリックし、**\[プロパティ\]** をクリックします。 ![](images/Dd362980.w2kab111(ja-jp,TechNet.10).gif) 3. **\[プロパティ\]** ウィンドウが表示されます。 ![](images/Dd362980.w2kab112(ja-jp,TechNet.10).gif) 4. **\[セキュリティ\]** タブをクリックし、以下のいずれかを実行します。 - 既存のユーザーまたはグループからアクセス許可を変更または削除するには、ユーザーまたはグループの名前を選択します。 ![](images/Dd362980.w2kab113(ja-jp,TechNet.10).gif) - 新しいユーザーまたはグループに対してアクセス許可を設定するには **\[追加\]** をクリックします。アクセス許可を設定するユーザーまたはグループの名前を **\[名前\]** ボックスに入力し、**\[追加\]** をクリックします。次に、**\[OK\]** をクリックし、ダイアログ ボックスを閉じます。 ![](images/Dd362980.w2kab114(ja-jp,TechNet.10).gif) - 選択したユーザーまたはグループに対して許可または拒否するアクセス許可ごとに、**\[アクセス許可\]** の **\[許可\]** または **\[拒否\]** をクリックします。あるいは、アクセス許可の一覧からユーザーまたはグループを削除するには、**\[削除\]** をクリックします。 - 必要なアクセス許可の割り当てを実行した後で、**\[適用\]** をクリックし、プリンタの **\[プロパティ\]** ウィンドウの **\[OK\]** をクリックします。 **注意** : デバイス設定を変更するには、**「プリンタの管理」**アクセス許可が必要です。「印刷」「プリンタの管理」「ドキュメントの管理」で構成されるアクセス許可の詳細を表示または変更するには、**\[詳細設定\]** ボタンをクリックします。 Windows 2000 Professional にプリンタをインストールする場合、既定ではプリンタは共有されません。Windows 2000 Server では、追加したプリンタは既定で共有されます。プリンタを共有するには以下の手順を実行します (一覧表示されたユーザーとグループに影響を与えるアクセス許可を設定するには、プリンタを共有する必要があります)。 5. **\[スタート\]** をクリックして、**\[設定\]** をポイントし、**\[プリンタ\]** をクリックします。 6. 共有するプリンタを右クリックし、**\[共有\]** タブをクリックします。 7. **\[共有\]** タブで **\[共有する\]** をクリックし、共有するプリンタの名前を入力します。 ![](images/Dd362980.w2kab115(ja-jp,TechNet.10).gif) 8. ハードウェアまたはオペレーティング システムが異なるユーザーとプリンタを共有する場合、**\[追加ドライバ\]** をクリックします。相手のコンピュータの環境とオペレーティング システムをクリックし、**\[OK\]** をクリックすると、追加のドライバがインストールされます。 9. Windows 2000 ドメインにログオンする場合、**\[ディレクトリに表示する\]** チェック ボックスをオンにしてプリンタをディレクトリ内で公開すると、そのドメインの他のユーザーがプリンタを利用できるようになります。 10. **\[OK\]** をクリックします。 #### 管理の制御権の委任 権限のある管理者は、新しいユーザーやグループを作成する責任の委任を、アカウントを作成する組織単位 (OU)、つまりコンテナのレベルで定義することができます。1 つの組織単位のグループ管理者が、必ずしもドメイン内の別の組織単位のアカウントを作成して管理する能力を持つわけではありません。ただし、ドメイン全体にわたるポリシーの設定と、ディレクトリ ツリーより上のレベルで定義されたアクセス許可は、アクセス許可の継承を使ってツリー全体に適用できます。 管理責任の委任を定義するには、次の 3 つの方法があります。 - 特定のコンテナのプロパティを変更するアクセス許可を委任する。 - ユーザー、グループ、プリンタなど、組織単位の下にある特定の種類のオブジェクトを作成および削除するアクセス許可を委任する。 - 組織単位の下にある特定の種類のオブジェクトの特定のプロパティを更新するアクセス許可を委任する。たとえば、User オブジェクトにパスワードを設定する権利を委任することができます。 特定のリソースの管理を特定の個人またはグループに委任すると、複数の管理者がドメイン全体またはサイト全体に対する権限を持つ必要がなくなります。委任を適切に行うことにより、適切なアクセス許可を与えられたユーザーやグループは、それぞれのアカウントとリソースのサブセットの管理をさらに委任できるようになります。 委任する管理責任の範囲は、さまざまな方法で設定できます。一般的には継承を適用して組織単位レベルでアクセス許可を与えますが、フォレスト内のドメイン全体の管理を委任することもできます。 権限のある管理者は **\[Active Directory ユーザーとコンピュータ\]** の **\[オブジェクト制御の委任ウィザード\]** を使用して、ドメインまたは組織単位の管理を委任できます。 1. 管理者アカウントを利用してログオンします。 2. **\[Active Directory ユーザーとコンピュータ\]** ツールを開きます。 3. オブジェクトのコンテナを探して右クリックし、**\[制御の委任\]** をクリックします。 ![](images/Dd362980.w2kab116(ja-jp,TechNet.10).gif) 4. **\[オブジェクト制御の委任ウィザード\]** が表示されたら、**\[次へ\]** をクリックします。 ![](images/Dd362980.w2kab117(ja-jp,TechNet.10).gif) 5. **\[ユーザーまたはグループ\]** を選択するウィザード ウィンドウが表示されたら、**\[追加\]** ボタンをクリックします。 ![](images/Dd362980.w2kab118(ja-jp,TechNet.10).gif) 6. ユーザーまたはグループのアカウントを選択し、**\[追加\]**、**\[OK\]** の順にクリックします。 ![](images/Dd362980.w2kab119(ja-jp,TechNet.10).gif) 7. 次に委任の範囲を定義する 2 種類のオプションがあるウィンドウが表示されます。最初のオプションの **\[このフォルダ、このフォルダ内の既存のオブジェクト、およびこのフォルダ内の新しいオブジェクトの作成\]** を選択すると、フル コントロールの委任が許可されます。次のオプションの **\[フォルダ内の次のオブジェクトのみ\]** を選択すると、委任する制御レベルを指定できる選択ウィンドウが表示されます。 ![](images/Dd362980.w2kab120(ja-jp,TechNet.10).gif) 8. 選択を行い **\[次へ\]** をクリックします。次のウィンドウでは、委任するアクセス許可を選択できます。委任するアクセス許可を選択し、**\[次へ\]** をクリックします。 ![](images/Dd362980.w2kab121(ja-jp,TechNet.10).gif) 9. 選択内容が示された完了ウィンドウが表示されます。**\[完了\]** ボタンをクリックします。 ![](images/Dd362980.w2kab122(ja-jp,TechNet.10).gif) [](#mainsection)[ページのトップへ](#mainsection)