アクセス権とアクセス マスク

アクセス権は、セキュリティ保護可能なオブジェクトに対してスレッドが実行できる特定の操作セットに対応するビット フラグです。 たとえば、レジストリ キーにはKEY_SET_VALUEアクセス権があり、これは、キーの下に値を設定するスレッドの機能に対応します。 スレッドがオブジェクトに対して操作を実行しようとしても、オブジェクトに対して必要なアクセス権がない場合、システムは操作を実行しません。

アクセス マスクは、オブジェクトでサポートされているアクセス権に対応するビットを持つ 32 ビット値です。 セキュリティ保護可能なすべてのWindowsオブジェクトは、次の種類のアクセス権のビットを含むアクセス マスク形式を使用します。

• 汎用アクセス権
• 標準アクセス権
• SACL アクセス権
• ディレクトリ サービスのアクセス権

スレッドがオブジェクトへのハンドルを開こうとすると、通常、スレッドはアクセス 権のセットを要求するアクセス マスクを指定します。 たとえば、レジストリ キーの値を設定してクエリを実行する必要があるアプリケーションでは、アクセス マスクを使用してKEY_SET_VALUEを要求し、アクセス権をKEY_QUERY_VALUEすることで、キーを開くことができます。

次の表は、セキュリティ保護可能なオブジェクトの種類ごとにセキュリティ情報を操作する関数を示しています。

オブジェクトの種類	セキュリティ記述子関数
NTFS ファイル システム上のファイルまたはディレクトリ	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
名前付きパイプの名前付きパイプ	GetSecurityInfo、 SetSecurityInfo
コンソール画面バッファー	サポートされていません。
ProcessesThreads	GetSecurityInfo、 SetSecurityInfo
ファイル マッピング オブジェクト	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
アクセス トークン	SetKernelObjectSecurity、 GetKernelObjectSecurity
ウィンドウ管理オブジェクト (ウィンドウステーション と デスクトップ)	GetSecurityInfo、 SetSecurityInfo
レジストリ キー	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
Windows サービス	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
ローカル プリンターまたはリモート プリンター	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
ネットワーク共有	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
プロセス間同期オブジェクト (イベント、ミューテックス、セマフォ、および待機可能タイマー)	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo
ジョブ オブジェクト	GetNamedSecurityInfo、 SetNamedSecurityInfo、 GetSecurityInfo、 SetSecurityInfo