icacls.exeで扱うアクセス権を調べる
説明した方法を使って、icacls.exeで得られるSDDLから、コマンドで指定するアクセス権と内部のアクセスマスクを関係を調べる。icacls.exeコマンドのヘルプで「特定の権限」とされて列挙されている項目は、以下の表のような対応になっていることがわかる。
なお、特定の権限を指定する場合、権限全体をカッコで囲む必要がある。これは、単純な権限と区別をするためだと思われる。
icacls.exeコマンドで「特定の権限」として指定する文字は、基本的には、Windows内部のマスクビットに対応している。ただし、ヘルプに表示される「MA」(無制限)は、管理者権限で実行してもicacls.exeが「無効なパラメーター」のエラーになる。どうもMAがエラーになっているようだ。
アクセス権を表すACEのマスクビット
それ以外は、前回解説したアクセスマスクのビットとほぼ一致する。ただし、注意が必要なのは、「GR」(一般的な読み取り)、「GW」(一般的な書き込み)、「GE」(一般的な実行)、「GA」(一般的なすべての操作)の4つのコードだ。
これらは、アクセスマスクの汎用アクセス権に対応しているため、対応するマスクビット(28~31ビット)が設定されることはなく、アクセスマスクの「標準アクセス権」と「オブジェクト固有アクセス権」が設定される。この汎用アクセス権GR/GW/GE/GAの指定と、指定されるマスクビットの対応を以下の表に示す。
単純な権限は、複数のアクセス権に対応
「単純な権限」には、7つの指定があるが、このうち「N」(アクセス権なし)は、アクセス権がない状態を示すものと思われる。この「N」もicacls.exeでは、指定に使うと「無効なパラメーター」エラーとなり、実際には指定できない。「単純な権限」は、「特定の権限」の組み合わせでできている。ただし、変更アクセス権「M」は、未定義のビット12と13を設定している。
icacls.exeコマンドは、エクスプローラーからのアクセス権設定に比べると細かくアクセス権を設定可能。また、「/save」オプションを使えば、ファイルのACLをSDDL形式で出力する。「/restore」オプションでは、ファイルに保存されているSDDLをディレクトリ内のファイルに適用できる。これにより、大量のファイルでもまとめてACLの適用が可能だ。さて、次回は最終回として、エクスプローラーのアクセス権設定とマスクビットの関係を解説する。
この連載の記事
-
第428回
PC
Google/Bingで使える検索オプション -
第427回
PC
WindowsのPowerShellのプロファイルを設定する -
第426回
PC
WindowsでAndroidスマホをWebカメラにする機能を試した -
第425回
PC
無料で使えるExcelにWord、Microsoft 365のウェブ版を調べた -
第424回
PC
Windowsの基本機能であるクリップボードについてあらためて整理 -
第423回
PC
PowerShellの今を見る 2つあるPowerShellはどっち使えばいい? -
第422回
PC
Windows 11の目玉機能が早くも終了、Windows Subsystem for Android(WSA)を振り返る -
第421回
PC
進化しているPowerToys LANで接続したマシンでキーボード/マウス共有機能などが追加 -
第420回
PC
Windowsプレビュー版に搭載されたsudoを試す -
第419回
PC
Windows Insider Previewが変わって、今秋登場のWindows 11 Ver.24H2の新機能が見えてきた? -
第418回
PC
Windows 11のスマートフォン連携は新機能が追加されるなど、いまだ進化している - この連載の一覧へ
