icacls.exeで扱うアクセス権を調べる
説明した方法を使って、icacls.exeで得られるSDDLから、コマンドで指定するアクセス権と内部のアクセスマスクを関係を調べる。icacls.exeコマンドのヘルプで「特定の権限」とされて列挙されている項目は、以下の表のような対応になっていることがわかる。
なお、特定の権限を指定する場合、権限全体をカッコで囲む必要がある。これは、単純な権限と区別をするためだと思われる。
icacls.exeコマンドで「特定の権限」として指定する文字は、基本的には、Windows内部のマスクビットに対応している。ただし、ヘルプに表示される「MA」(無制限)は、管理者権限で実行してもicacls.exeが「無効なパラメーター」のエラーになる。どうもMAがエラーになっているようだ。
アクセス権を表すACEのマスクビット
それ以外は、前回解説したアクセスマスクのビットとほぼ一致する。ただし、注意が必要なのは、「GR」(一般的な読み取り)、「GW」(一般的な書き込み)、「GE」(一般的な実行)、「GA」(一般的なすべての操作)の4つのコードだ。
これらは、アクセスマスクの汎用アクセス権に対応しているため、対応するマスクビット(28~31ビット)が設定されることはなく、アクセスマスクの「標準アクセス権」と「オブジェクト固有アクセス権」が設定される。この汎用アクセス権GR/GW/GE/GAの指定と、指定されるマスクビットの対応を以下の表に示す。
単純な権限は、複数のアクセス権に対応
「単純な権限」には、7つの指定があるが、このうち「N」(アクセス権なし)は、アクセス権がない状態を示すものと思われる。この「N」もicacls.exeでは、指定に使うと「無効なパラメーター」エラーとなり、実際には指定できない。「単純な権限」は、「特定の権限」の組み合わせでできている。ただし、変更アクセス権「M」は、未定義のビット12と13を設定している。
icacls.exeコマンドは、エクスプローラーからのアクセス権設定に比べると細かくアクセス権を設定可能。また、「/save」オプションを使えば、ファイルのACLをSDDL形式で出力する。「/restore」オプションでは、ファイルに保存されているSDDLをディレクトリ内のファイルに適用できる。これにより、大量のファイルでもまとめてACLの適用が可能だ。さて、次回は最終回として、エクスプローラーのアクセス権設定とマスクビットの関係を解説する。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第519回
PC
「セキュアブート」に「TPM」に「カーネルDMA保護」、Windowsのセキュリティを整理 -
第518回
PC
WindowsにおけるUAC(ユーザーアカウント制御)とは何? 設定は変えない方がいい? -
第517回
PC
Windows 11の付箋アプリはWindowsだけでなく、スマホなどとも共有できる -
第516回
PC
今年のWindows 11には26H2以外に「26H1」がある!? 新種のCPUでのAI対応の可能性 -
第515回
PC
そもそも1キロバイトって何バイトなの? -
第514回
PC
Windows用のPowerToysのいくつかの機能がコマンドラインで制御できるようになった -
第513回
PC
Gmailで外部メール受信不可に! サポートが終わるPOPってそもそも何? -
第512回
PC
WindowsのPowerShellにおけるワイルドカード -
第511回
PC
TFS/ReFS/FAT/FAT32/exFAT/UDF、Windows 11で扱えるファイルシステムを整理する -
第510回
PC
PowerShellの「共通パラメーター」を理解する -
第509回
PC
Windowsにも実装された、生成AIと他のシステムを接続するためのプロトコル「MCP」とは何か? - この連載の一覧へ
