Most experienced administrators are familiar thatNew Technology File System (NTFS) permissions are available on every file, folder, registry key, printer, and Active Directory objects. NTFS は、FAT (File Allocation Table) ファイル システムを置き換えるために Windows NT で最初に導入されましたが、数年の間にいくつかの変更を経て現在に至っています。 Windows 2000、Windows Server 2003、およびWindows XPはcurrentincarnation、NTFS v5を使用しています。
それは古いNTFS(Windows NTから)とthecurrent NTFSに来るとき、多くの類似点といくつかの違いがあります。 5662>
Standard vs. Advanced permissions
NTFS の許可は、許可または拒否に設定することができます。 以下は、古い NTFS の標準的なアクセス権です。
- フル コントロール。 ユーザーは、ファイル、および関連するプロパティとディレクトリを変更、追加、移動、および削除することができます。 さらに、ユーザーはすべてのファイルとサブディレクトリの権限設定を変更できます。
- Modify: ユーザーは、削除やディレクトリへのファイルの追加、ファイルへのファイルのプロパティを含む、ファイルやファイルのプロパティを表示および変更することができます。 ユーザーは、スクリプトを含む実行可能ファイルを実行することができます。 ユーザーはファイルやファイルのプロパティを見ることができます。
- Write:
Microsoft は後にこれらの権限を次のように拡張しました。
- Traverse Folder/Execute File: ユーザーが他のファイルまたはフォルダーに到達するために、たとえ通過したファイルまたはフォルダーに対する権限を持っていない場合でもフォルダーを通過することができます。 フォルダのトラバース]権限は、グループまたはユーザーがグループポリシースナップインで[トラバースチェックの回避]ユーザー権限を持っていない場合にのみ有効になります。 (デフォルトでは、EveryoneグループがBypass Traverse Checkingユーザー権を持っています。)
- List Folder/Read Data(フォルダーの一覧表示)。
- フォルダの内容およびデータファイルのリストを表示できます。 ファイルやフォルダの属性(読み取り専用、非表示など)を表示します。 (これらの属性はNTFSで定義されています。)
- Read Extended Attributes: ファイルまたはフォルダの拡張属性を表示できます。 (プログラムによって定義され、拡張属性は異なる場合があります。)
- Create Files/Write Data: Create Files 権限は、ユーザーがフォルダー内にファイルを作成することを許可します。 (この権限はフォルダーにのみ適用されます。)Write Data権限は、ユーザーがファイルに変更を加え、既存のコンテンツを上書きすることを許可します。 (この権限はファイルのみに適用されます。)
- フォルダーを作成する/データを追加する。 このフォルダーの作成パーミッションは、ユーザーがフォルダー内にフォルダーを作成することを許可します。 (これはフォルダーにのみ適用されます。)Append Data 権限は、ユーザーがファイルの末尾に変更を加えることを許可しますが、既存のデータを変更、削除、または上書きすることはできません。 (これはファイルのみに適用されます。)
- Write Attributes: ユーザーは、読み取り専用や隠しなど、ファイルやフォルダーの属性を変更することができます。 (これらの属性はNTFSで定義されています。)
- Write Extended Attributes:
- Delete: ユーザーはファイルまたはフォルダーの拡張属性を変更することができます。 ユーザーはファイルまたはフォルダーを削除できます。 (ユーザーがファイルまたはフォルダーの削除権限を持っていない場合でも、親フォルダーのサブフォルダーとファイルの削除権限を持っていれば削除できます。)
- 読み取り権限:ファイルまたはフォルダーの読み取り権限を設定できます。 ユーザーは、フルコントロール、読み取り、および書き込みなど、ファイルまたはフォルダーの読み取り権限を持っています。
- Change Permissions: ユーザーは、フルコントロール、読み取り、および書き込みなど、ファイルまたはフォルダのアクセス権を変更することができます。 ユーザーはファイルまたはフォルダーの所有権を取得することができます。
What’s the big difference?
The big difference between the old NTFS and the new NTFS is the establishment of Inherited and Explicit permissions precedence. Deny 権限は他のどの権限よりも優先されると思われるかもしれませんが、必ずしもそうではありません。
権限の階層は次のとおりです。
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
ユーザーが各ファイル、フォルダ、レジストリ キー、プリンタ、および Active Directory オブジェクトをアクセスすると、システムは上から下に向かって権限をチェックします。 これらの4つの条件のいずれかを満たすと、アクセスが許可または拒否されます。 これにより、オブジェクトのパーミッション継承を設定し、一般的なパーミッション ポリシーの例外に対する細かい制御を維持することができます。
Final thoughts
NTFS パーミッションは、システム上のリソースに関して非常に多くの制御を提供します。
Miss a column?
Check out the Security Solutions Archive, and catch up on the most recent editions of Mike Mullins’ column.
Worried about security issues?
セキュリティの問題が心配ですか?
Mike Mullinsは、米国シークレットサービスおよび国防情報システム局で、アシスタントネットワーク管理者およびネットワークセキュリティ管理者として勤務していました。 現在、Southern Theater Network Operations and SecurityCenterのオペレーションディレクターを務めています。