icacls.exeで扱うアクセス権を調べる
説明した方法を使って、icacls.exeで得られるSDDLから、コマンドで指定するアクセス権と内部のアクセスマスクを関係を調べる。icacls.exeコマンドのヘルプで「特定の権限」とされて列挙されている項目は、以下の表のような対応になっていることがわかる。
なお、特定の権限を指定する場合、権限全体をカッコで囲む必要がある。これは、単純な権限と区別をするためだと思われる。
icacls.exeコマンドで「特定の権限」として指定する文字は、基本的には、Windows内部のマスクビットに対応している。ただし、ヘルプに表示される「MA」(無制限)は、管理者権限で実行してもicacls.exeが「無効なパラメーター」のエラーになる。どうもMAがエラーになっているようだ。
アクセス権を表すACEのマスクビット
それ以外は、前回解説したアクセスマスクのビットとほぼ一致する。ただし、注意が必要なのは、「GR」(一般的な読み取り)、「GW」(一般的な書き込み)、「GE」(一般的な実行)、「GA」(一般的なすべての操作)の4つのコードだ。
これらは、アクセスマスクの汎用アクセス権に対応しているため、対応するマスクビット(28~31ビット)が設定されることはなく、アクセスマスクの「標準アクセス権」と「オブジェクト固有アクセス権」が設定される。この汎用アクセス権GR/GW/GE/GAの指定と、指定されるマスクビットの対応を以下の表に示す。
単純な権限は、複数のアクセス権に対応
「単純な権限」には、7つの指定があるが、このうち「N」(アクセス権なし)は、アクセス権がない状態を示すものと思われる。この「N」もicacls.exeでは、指定に使うと「無効なパラメーター」エラーとなり、実際には指定できない。「単純な権限」は、「特定の権限」の組み合わせでできている。ただし、変更アクセス権「M」は、未定義のビット12と13を設定している。
icacls.exeコマンドは、エクスプローラーからのアクセス権設定に比べると細かくアクセス権を設定可能。また、「/save」オプションを使えば、ファイルのACLをSDDL形式で出力する。「/restore」オプションでは、ファイルに保存されているSDDLをディレクトリ内のファイルに適用できる。これにより、大量のファイルでもまとめてACLの適用が可能だ。さて、次回は最終回として、エクスプローラーのアクセス権設定とマスクビットの関係を解説する。
この連載の記事
-
第508回
PC
Scalable Vector Graphics(SVG)そもそも何なのか? -
第507回
PC
Windows 11の「開発者モード」とは何か? -
第506回
PC
Windows 11は早くも来秋登場の26H2プレビューの準備が始まる -
第505回
PC
結構変化しているWindows 11のエクスプローラーの基本設定を見直す -
第504回
PC
新しいOutlookとOutlook Classic、そろそろ古いOutlookとExchangeの組み合わせは引退の頃合いか -
第503回
PC
機能が増えたこともあり、寄せ集めから統合化に進むWindowsの便利ツール「PowerToys」 -
第502回
PC
Windows 11でBluetoothのオーディオ新規格「Bluetooth LE Audio」を試す -
第501回
PC
Windows 11 Ver.25H2での変更点、新機能を整理する -
第500回
PC
Windows 11 Ver.25H2が完成した -
第499回
PC
Windowsでの致命的だが回復可能なエラーに備える手段を2つ紹介 -
第498回
PC
Windows Terminalの安定版V1.23が公開 設定UIが改良される - この連載の一覧へ
