NTFS 随意アクセス制御リスト (DACL) の設定を Windows Vista に既定値を変更します。

文書翻訳 文書翻訳
文書番号: 949608
すべて展開する | すべて折りたたむ

目次

はじめに

Windows Vista では、NTFS ファイル ・ システム Discretionaryアクセスコントロール一覧が表示されます。データの共有や共同作業データを有効にする (Dacl) が変更されています。外部の保護されているディレクトリのディレクトリ。ユーザーの保護されたディレクトリにあります。ユーザーのプロファイルにします。の例は、C:\Users\Denise\Pictures ディレクトリには、保護されたディレクトリであると仮定します。Aデータ ディレクトリは、この保護されたディレクトリ構造の外に作成されるディレクトリです。D:\Pictures、プロテクトされた構造体の外側のディレクトリです。

仮定賀ログオン、Windows Vista ベースのコンピューターにして彼女を作成します。新しいディレクトリ外付けハード ディスク (ドライブ D)。葛城名前は、FamilyPictures のディレクトリです。その後、Brian Denise の息子、コンピューターにログオンします。Brian を作成します。新しいディレクトリは、SummerVacationPics の名前が付けられますで、FamilyPicturesディレクトリです。その後、Brian いくつかの写真は、SummerVacationPics ディレクトリに保存します。場合は、Windows XP の DACL を設定します。SummerVacationPics ディレクトリに適用される、葛城の編集できません、画像をSummerVacationPics ディレクトリです。これ現象は、Dacl Brian としてマークするために書き込みのアクセス許可を持つ唯一のユーザーです。ただし、DACL 既定動作が含まれます変更されましたWindows Vista では。そのため、Windows Vista では、Denise を行いますタスクには、SummerVacationPics ディレクトリ内の画像の編集写真.

これらの DACLユーザーを共有し、せずファイルを編集して変更することができます。資格情報は、 [ユーザー アカウント制御 ダイアログ ボックスです。さらに、ユーザー手動でディレクトリ プライベートにできます。この機能ユーザーができることを保証します。データの機密性や、データを簡単に維持します。データの整合性をドライブします。プライベート ディレクトリは管理者モードの昇格された権限が与えられている場合は、管理者が読み取り可能です。「管理者モード」機能を使用する必要があります。データを標準ユーザーから秘密。Windows Vista の DACL の設定が適用されます。インストール時とは、移行がすべて検出には、ドライブ次の条件のいずれかを満たしています。
  • ドライブは、Windows オペレーティング システムではありません。
  • デフォルトの Windows XP の DACL を使用して、ドライブがフォーマットされて設定します。

詳細

ツールの更新

コマンド ライン ツールの Convert.exe と Format.exe が変更されています。Windows Vista では、新規の新しいオプションを含むようにDACL の設定します。ただし、これらツール既存の Windows XP の DACL 設定に変換できません。Windows Vista の DACL の設定です。既存の Windows XP の DACL 設定を変更するのにはWindows Vista の DACL の設定で Cacls.exe コマンド ライン ツールを使用する必要があります。Windows Vista。たとえば、次のコマンドを変換します。既存の WindowsXP の DACL の設定では、データ ドライブの: D:\Windows Vista の DACL の設定にします。

Cacls: D:\/s:D: (A; OICI;GA;;BA) (A; OICI;GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Windows Vista での DACL の設定

次の表の省略形を使用してする、結果へのアクセスコントロールエントリを回復できません(ACE) の継承します。

アクセス制御エントリの継承の省略形
元に戻す全体を表示する
省略形説明
CIコンテナーが継承されます。アクセス制御エントリが継承されます。[ディレクトリ]。
OIオブジェクトを継承します。アクセス制御エントリが継承されます。ファイルです。
IOのみを継承します。アクセス制御エントリには適用されません、現在のファイルとディレクトリを使用します。
NP継承は反映されません。
Windows XP の %systemroot% ディレクトリ データ ドライブ DACL の設定

次の DACL の設定を既定のですが% システム ルート % ディレクトリおよびデータを Windows XP でをドライブします。
元に戻す全体を表示する
ユーザーまたはグループアクセス制御エントリアクセス制御エントリの継承
BUILTIN\Administrators完全なコントロール(OI)(CI)
NT AUTHORITY\SYSTEM完全なコントロール(OI)(CI)
CREATOR OWNERフル コントロール(OI)(CI)(IO)
\Users読み取り(OI)(CI)
\Users特殊なアクセス許可。FILE_APPEND_DATA(CI)
\Users 特殊なアクセス許可。FILE_WRITE_DATA(CI)(IO)
すべてのユーザー読み取り
Windows Vista のデータ ドライブ DACL の設定

次のとおりです。新しい Windows Vista の DACL 設定を使用して作成されたデータ ドライブFormat.exe のプログラムです。
元に戻す全体を表示する
ユーザーまたはグループアクセス制御エントリアクセス制御エントリの継承
BUILTIN\Administratorsフル コントロール
BUILTIN\Administrators完全なコントロール(OI)(CI)(IO)
NT AUTHORITY\SYSTEMフル コントロール
NT AUTHORITY\SYSTEM完全なコントロール(OI)(CI)(IO)
AUTHORITY\Authenticated ユーザーの NT変更
NT AUTHORITY\Authenticatedユーザー変更(OI)(CI)(IO)
\Users読み取りし、実行
\Users一般的な汎用読み実行(OI)(CI)(IO)
Windows Vista %systemroot% ディレクトリの DACL の設定
元に戻す全体を表示する
ユーザーまたはグループアクセス制御エントリアクセス制御エントリの継承
BUILTIN\Administratorsフル コントロール
BUILTIN\Administrators完全なコントロール(OI)(CI)(IO)
NT AUTHORITY\SYSTEMフル コントロール
NT AUTHORITY\SYSTEM完全なコントロール(OI)(CI)(IO)
\Users読み取りし、実行(OI)(CI)
NT AUTHORITY\Authenticatedユーザー変更(OI)(CI)(IO)
AUTHORITY\Authenticated ユーザーの NT追加データ
必須の Label\High の必須レベルいいえ書き込み(OI)(IO)(NP)

イメージをビルドすると、データ ドライブの移行を無効にする方法

一部の環境では、データ ドライブの Acl を変換する必要がないです。データ ドライブの Acl を変換する必要がない場合次のものがあります。
  • データ ドライブを共有している場合や、\users を使用する場合Acl へのアクセスを変更します。
  • 多数のデータ ファイルおよび多くのディレクトリがある場合、データ ドライブ、および、データ アクセスの問題を経験していません。

    メモ このシナリオでは、Acl を変更する必要はありませんし、Windows Vista のインストール時間が大幅に向上させることがあります。
メモ Windows 自動インストール キット (WAIK) のセットが含まれています。展開ツールです。ガイダンスバージョン情報デプロイメント ツールの使用方法Microsoft ダウンロード センターから利用可能です。WAIK 企業のお客様を対象としていますWindows の自動導入を進めています。WAIK の詳細についてを参照してください、次の Web サイト:
ドキュメントですか。FamilyID = の c7d4bc6d-15f3-4284-9123 ・ 679830d629f2 & DisplayLang = en
データ ドライブの移行を無効にするには、以下を実行します手順説明します。
  1. Windows イメージング形式を格納するディレクトリを作成します。(WIM) ファイルです。たとえば、C:\VistaRTM\WIM ディレクトリを作成します。
  2. 圧縮されていない動作を格納するディレクトリを作成します。システム イメージです。たとえば、C:\VistaRTM\OS ディレクトリを作成します。
  3. 一時の WIM に該当の Install.wim ファイルをコピーします。手順 1 で作成したディレクトリです。たとえば、次のコマンドを入力します。コマンド プロンプトで、Windows Vista インストールの Install.wim ファイルをコピーするのにはメディア:
    E:\sources\install.wim c:\VistaRTM\WIM\install.wim をコピーします。
  4. WAIK の展開からのイメージのフィルター ドライバーをコピーします。C:\VistaRTM\Driver ディレクトリにツールです。これを行うには、次の手順を実行します。
    1. クリックしてください。 開始
      元に戻す画像を拡大する
      [スタート] ボタン
      、タイプ cmd で、 検索を開始します。 ボックスで、右クリックします。 cmd.exeプログラム リストとをクリックして、 管理者として実行します。.
      元に戻す画像を拡大する
      [ユーザー アカウント制御アクセス許可
      管理者のパスワードを求められた場合確認の上、パスワードを入力またはをクリックして 続行.
    2. コマンド プロンプトで、次のコマンドを入力します。各コマンドの後 ENTER を押します。

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. 管理者特権のコマンド プロンプトは、該当するマウントします。.wim イメージです。たとえば、コマンド プロンプトで次のコマンドを入力します。
    Imagex.exe/MountRW c:\VistaRTM\WIM\install。WIM に 1 c:\VistaRTM\OS
    メモ Install.wim ファイル内のイメージのインデックスの値を「1」にです。のでInstall.wim ファイル Windows エディションの複数の画像を一覧表示する、使用する必要があります、imagex その install.wim コマンドは、Windows のすべてのエディションで表示するのには、Install.wim ファイルです。して識別に適切なインデックスをWindows のエディションをその値と共に使用して、 /MountRW コマンドです。

    ImageX ツールの詳細については、WIM については、次のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx
  6. WIM イメージの system レジストリ ハイブを編集します。これを行うには、次の手順を実行します。

    重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を示す手順が含まれています。ただし、レジストリを誤って変更すると深刻な問題が発生。そのため、慎重にこの手順を実行することを確認します。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。レジストリを復元する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
    322756 Windows でレジストリを復元する方法
    1. クリックしてください。 開始
      元に戻す画像を拡大する
      [スタート] ボタン
      、タイプ レジストリ エディター で、 検索を開始します。 ボックスで、をクリックして、 レジストリ エディター で、 プログラムリストです。
      元に戻す画像を拡大する
      ユーザーコントロールのアクセス許可をアカウントします。
      管理者に求められた場合パスワードを確認の上、パスワードを入力またはをクリックして 続行.
    2. レジストリ エディターで、検索し、クリックしてください HKEY_LOCAL_MACHINE、し [ハイブの読み込みで、 ファイル メニューです。
    3. で、 [ハイブの読み込み ダイアログ ボックスで、は、 システム クリックし、Windows Vista のディレクトリのディレクトリ ファイルを開く.たとえば、選択、 C:\VistaRTM\OS\Windows\System32\config\SYSTEM ディレクトリです。
    4. 種類 TEMP_HKLM で、 キーの名前 ボックスに一時ハイブ エントリを作成して、クリックしてください。 [OK].
    5. 見つけて、次のレジストリ サブキー] をクリックします。
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. で、 編集 メニューのポイント 新しい、し DWORD 値.
    7. 種類 DDACLSys_Disabled、し、ENTER キーを押します。
    8. 右クリックします。 DDACLSys_Disabled、し 変更.
    9. で、 [値のデータ ボックスの種類 1、し [OK].
  7. イメージを変更した後、イメージをシールします。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    imagex.exe/UnMount/commit c:\VistaRTM\OS
  8. 変更されたイメージを使用して、元の Install.wim ファイルを置き換えます。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    C:\VistaRTM\OS\install.wim E:\sources\install.wim をコピーします。

保護されているドライブ DACL を定義する方法

標準ユーザー用のファイルおよびディレクトリの作成を制限します。

指定するのには標準のユーザー ディレクトリまたは自分のユーザー プロファイルの外部にある作成できないこと、管理者特権のコマンド プロンプトで次のコマンドを実行します。
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI;GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI;GA;;BA) (A; OICI; 0X1200A9;;BU)

最上位レベルのディレクトリを作成するのには、標準のユーザーを有効にします。

指定するのには標準ユーザーが最上位レベルのディレクトリを作成することと、ディレクトリとそのサブディレクトリのすべての所有者になることコマンド プロンプトで次のコマンドを実行します。
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI;GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI;GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO;GA;;CO)

特定のユーザーの保護されたディレクトリを定義する方法

指定するのには特定のユーザーだけがアクセスできる、ファイルまたはディレクトリの外側のユーザー プロファイル、これらの手順を実行します。
  1. 保護されているディレクトリを定義するには、最初取得する必要があります、現在ログオンしているユーザーのセキュリティ識別子 (SID) です。SID を取得するのにはコマンド プロンプトで次のコマンドを実行します。
    whoami/all
  2. Cacls.exe コマンド ライン ツールを使用しては保護されたワークシートを指定するのにはディレクトリです。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    Cacls ディレクトリ S: D:PAI(A;OICI;GA;;SID) (A; OICI;GA;;SY) (A; OICI;GA;;BA)
    メモ ディレクトリ ディレクトリのパスを表します。構成対象となるディレクトリです。 SIDユーザーの SID を表します。
PersonalSecureFolder ディレクトリを次のサンプル コマンドを使用します。このディレクトリは: D:\ ディレクトリにあります。
  • アクセスのセキュリティを確認するにはD:\PersonalSecureFolder ディレクトリで、コマンド プロンプトで次のコマンドを入力します。
    icacls.exe PersonalSecureFolder
    コマンドには、次の出力が生成されます。
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • D:\PersonalSecureFolder ディレクトリに cacls.exe コマンドを実行するのにはコマンド プロンプトで次のコマンドを入力します。
    cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI;GA;;SY) (A; OICI;GA;;BA)
  • D:\PersonalSecureFolder ディレクトリの新しい NTFS DACL を確認するには、コマンド プロンプトで次のコマンドを入力します。
    icacls.exe D:\PersonalSecureFolder
    コマンドには、次の出力が生成されます。
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

プロパティ

文書番号: 949608 - 最終更新日: 2011年8月11日 - リビジョン: 3.0
キーワード:?
kbinfo kbexpertiseinter kbmt KB949608 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:949608
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com