アクセス許可について

Question

Windows10で、

管理者ユーザを使い、ユーザ側に読み取りのみ可能、ファイルの作成・移動・削除をさせないというフォルダを作りたくて

セキュリティタブのアクセス許可を使い、以下のフォルダを作成しました。

フルコントロールの親ディレクトリの下に、管理者アカウントで子フォルダ（test1）を作成

管理者アカウントを使い、子フォルダ（test1)のアクセス権を以下の方法で変更

プロパティ→セキュリティタブ→詳細設定→アクセス許可→継承無効化→アカウントEveryoneとAdministrator以外削除

test1フォルダのEveryoneを編集　以下のように設定しました。

高度なアクセス許可で以下をチェック

・フォルダーのスキャン/ファイルの実行

・フォルダー一覧/データの読み取り

・属性の読み取り

・拡張属性の読み取り

・アクセス許可の読み取り

最終図

親ディレクトリーーtest1ーーtest2ーーtxtFile

一般ユーザで入りなおして、子フォルダ（test1)削除と移動できるか試しましたが、できてしまいます。

ちなみにその後管理アカウントでtest2とFile作成しましたが、そちらは、できませんでした。

これは、親ディレクトリで何かしら変更が必要なのでしょうか？

よろしくお願いいたします。

Answer 1

自己解決できました。

図

親ディレクトリーーtest1

test1フォルダの高度なアクセス許可で、削除のチェックを外しているが、

親ディレクトリの方の高度なアクセス許可で、サブフォルダーとファイルの削除権限があると削除できてしまうみたいです。

どちらかに削除権限が与えられていると削除可能になってしまうのですね。

Answer 2

返信ありがとうございます。

継承しない場合は、フォルダを個別で設定する必要という話なのですが、

それに関しましては、test1のフォルダを継承無効化と個別に設定していているので大丈夫だと認識しているのですが、間違っていますでしょうか？

個別設定と現状も張ります。

test1のアクセス権は、everyoneとAdminister（管理者）の２つのみ　

everyoneは、高度なアクセスの許可　以下をチェック

・フォルダーのスキャン/ファイルの実行

・フォルダー一覧/データの読み取り

・属性の読み取り

・拡張属性の読み取り

・アクセス許可の読み取り

現状

一般ユーザでログインして、test1の削除、移動を試みる

test1フォルダの削除、移動を許可していないのにできてしまっている。

Answer 3

継承すれば、指定したディレクトリ内にあるすべてのファイルとディレクトリに再帰的に一括変更ができるというだけです。

逆に継承しないのであれば、対象となるファイルおよびディレクトリについて一つ一つ個別に変更していく必要があるということです。

Answer 4

返信ありがとうございます。

確かに、test2を作成したとき、継承無効化したtest1を継承していました。

test1でアクセス設定を変更したので、test1までの高度なアクセス許可が引き継がれているのは、納得しました。

それで、気になっているのが、

継承無効化とアクセス権限変更したtest1が一般ユーザで削除・移動できてしまうことです。

設定が間違っていなければですが、

親ディレクトリで何かしら設定を変更しなければいけないと踏んでいます。

ただここを安易に変更すると継承しているフォルダ・ファイル全て変わると思っているので、

何とか一部のフォルダとファイルの作成・移動・削除を無効化させたいです。

設定など見てて気になる点は、ありますでしょうか？

Answer 5

継承無効化しているからサブディレクトリにあるファイルまで権限が継承されていないのである。