セキュリティ記述子を使用したファイルおよびフォルダのセキュリティの適用方法

セキュリティ記述子には、ユーザがファイルやフォルダに対して実行できる操作、およびユーザがファイルやフォルダにアクセスするときに監査される内容を決定するアクセス制御リストが含まれます。

権限
権限はオブジェクトの所有者によって許可または拒否され、オブジェクト(ユーザ、グループ、またはコンピュータ オブジェクト)が指定されたファイルまたはフォルダに対して実行できる操作を決定します。
セキュリティ記述子
セキュリティ記述子は、ファイルまたはフォルダに関連付けられた権限を定義するセキュリティ情報を含むデータ構造です。
Access Control List(ACL;アクセス制御リスト)
アクセス制御リストは、セキュリティ記述子内に含まれるリストです。セキュリティ記述子が適用されるファイルまたはフォルダに対してユーザ、グループ、またはコンピュータ オブジェクトが実行できる操作に関する情報を示します。 セキュリティ記述子には、次の2種類のACLを含めることができます。
  • Discretionary Access Control List(DACL;随意アクセス制御リスト)
  • System Access Control List(SACL;システム アクセス制御リスト)
Discretionary Access Control List(DACL;随意アクセス制御リスト)
DACLには、ファイルまたはフォルダに対して操作を実行するためのアクセスが許可または拒否されるユーザ、グループ、およびコンピュータ オブジェクトのSIDリストが含まれます。 DACLには、0個以上のAccess Control Entry(ACE;アクセス制御エントリ)が含まれます。
System Access Control List(SACL;システム アクセス制御リスト)
SACLには、成功または失敗した監査イベントがログに記録されるユーザ、グループ、およびコンピュータ オブジェクトのSIDリストが含まれます。 SACLには、0個以上のAccess Control Entry(ACE;アクセス制御エントリ)が含まれます。
Access Control Entry(ACE;アクセス制御エントリ)
ACEは、DACLまたはSACL内の個々のエントリです。
  • DACLアクセス制御エントリは、特定のユーザ、グループ、またはコンピュータ オブジェクトに対して許可または拒否されるアクセス権を指定します。
  • SACLアクセス制御エントリは、特定のユーザ、グループ、またはコンピュータ オブジェクトによって実行される指定された操作の監査時にログに記録される成功または失敗イベントを指定します。
権限の継承
権限の継承は、セキュリティ記述子で定義された権限が親オブジェクトからオブジェクトにどのように伝播されるかを示します。 子オブジェクトには継承可能な権限のみが継承されます。 親オブジェクトの権限を設定するときに、this-foldersub-folders、およびfilesへの適用によって、フォルダ、サブフォルダ、およびファイルがその権限を継承できるかどうかを決定できます。