icacls.exeで扱うアクセス権を調べる
説明した方法を使って、icacls.exeで得られるSDDLから、コマンドで指定するアクセス権と内部のアクセスマスクを関係を調べる。icacls.exeコマンドのヘルプで「特定の権限」とされて列挙されている項目は、以下の表のような対応になっていることがわかる。
なお、特定の権限を指定する場合、権限全体をカッコで囲む必要がある。これは、単純な権限と区別をするためだと思われる。
icacls.exeコマンドで「特定の権限」として指定する文字は、基本的には、Windows内部のマスクビットに対応している。ただし、ヘルプに表示される「MA」(無制限)は、管理者権限で実行してもicacls.exeが「無効なパラメーター」のエラーになる。どうもMAがエラーになっているようだ。
アクセス権を表すACEのマスクビット
それ以外は、前回解説したアクセスマスクのビットとほぼ一致する。ただし、注意が必要なのは、「GR」(一般的な読み取り)、「GW」(一般的な書き込み)、「GE」(一般的な実行)、「GA」(一般的なすべての操作)の4つのコードだ。
これらは、アクセスマスクの汎用アクセス権に対応しているため、対応するマスクビット(28~31ビット)が設定されることはなく、アクセスマスクの「標準アクセス権」と「オブジェクト固有アクセス権」が設定される。この汎用アクセス権GR/GW/GE/GAの指定と、指定されるマスクビットの対応を以下の表に示す。
単純な権限は、複数のアクセス権に対応
「単純な権限」には、7つの指定があるが、このうち「N」(アクセス権なし)は、アクセス権がない状態を示すものと思われる。この「N」もicacls.exeでは、指定に使うと「無効なパラメーター」エラーとなり、実際には指定できない。「単純な権限」は、「特定の権限」の組み合わせでできている。ただし、変更アクセス権「M」は、未定義のビット12と13を設定している。
icacls.exeコマンドは、エクスプローラーからのアクセス権設定に比べると細かくアクセス権を設定可能。また、「/save」オプションを使えば、ファイルのACLをSDDL形式で出力する。「/restore」オプションでは、ファイルに保存されているSDDLをディレクトリ内のファイルに適用できる。これにより、大量のファイルでもまとめてACLの適用が可能だ。さて、次回は最終回として、エクスプローラーのアクセス権設定とマスクビットの関係を解説する。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第525回
PC
6月以降「PCが起動不可能に?」と間違った騒がれ方をしている原因の「セキュアブート」とは? -
第524回
PC
Windows Insider Programが変化 チャンネルが3つになって整理される -
第523回
PC
AI傾倒に一息入れて、既存のWindowsの改良を宣言するMicrosoft タスクバーを画面の上下左右に移動可能に!? -
第522回
PC
Windowsでも完全キーボード操作派は注目! PowerToysのコマンドパレット -
第521回
PC
Windowsでアプリをインストールしたときに警告が表示する「Defender SmartScreen」と「Smart App Control」 -
第520回
PC
WindowsターミナルのPreview版 v1.25では「操作」設定に専用エディタが導入 -
第519回
PC
「セキュアブート」に「TPM」に「カーネルDMA保護」、Windowsのセキュリティを整理 -
第518回
PC
WindowsにおけるUAC(ユーザーアカウント制御)とは何? 設定は変えない方がいい? -
第517回
PC
Windows 11の付箋アプリはWindowsだけでなく、スマホなどとも共有できる -
第516回
PC
今年のWindows 11には26H2以外に「26H1」がある!? 新種のCPUでのAI対応の可能性 -
第515回
PC
そもそも1キロバイトって何バイトなの? - この連載の一覧へ
