アクセス制御の概要

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

この記事では、Windows でのアクセス制御について説明します。これは、ユーザー、グループ、およびコンピューターがネットワークまたはコンピューター上のオブジェクトにアクセスすることを承認するプロセスです。 アクセス制御を構成する主な概念は次のとおりです。

• アクセス 許可
• オブジェクトの所有権
• アクセス許可の継承
• ユーザー権限
• オブジェクト監査

サポートされているバージョンの Windows を実行しているコンピューターは、認証と承認の相互に関連するメカニズムを使用して、システム リソースとネットワーク リソースの使用を制御できます。 ユーザーが認証されると、Windows オペレーティング システムは、組み込みの承認とアクセス制御テクノロジを使用して、リソースを保護する 2 番目のフェーズを実装します。認証されたユーザーがリソースにアクセスするための適切なアクセス許可を持っているかどうかを判断します。

共有リソースは、リソースの所有者以外のユーザーやグループが使用でき、未承認の使用から保護する必要があります。 アクセス制御モデルでは、ユーザーとグループ (セキュリティ プリンシパルとも呼ばれます) は、一意のセキュリティ識別子 (SID) によって表されます。 各ユーザーとグループが実行できることをオペレーティング システムに通知する権限とアクセス許可が割り当てられます。 各リソースには、セキュリティ プリンシパルへのアクセス許可を付与する所有者がいます。 アクセス制御チェック中に、これらのアクセス許可が調べられ、リソースにアクセスできるセキュリティ プリンシパルとそのアクセス方法が決定されます。

セキュリティ プリンシパルは、オブジェクトに対してアクション (読み取り、書き込み、変更、フル コントロールを含む) を実行します。 オブジェクトには、ファイル、フォルダー、プリンター、レジストリ キー、Active Directory Domain Services (AD DS) オブジェクトが含まれます。 共有リソースでは、アクセス制御リスト (ACL) を使用してアクセス許可を割り当てます。 これにより、リソース マネージャーは次の方法でアクセス制御を適用できます。

• 承認されていないユーザーとグループへのアクセスを拒否する
• 承認されたユーザーとグループに提供されるアクセスに対して適切に定義された制限を設定する

オブジェクトの所有者は通常、個々のユーザーではなくセキュリティ グループにアクセス許可を付与します。 既存のグループに追加されたユーザーとコンピューターは、そのグループのアクセス許可を前提としています。 オブジェクト (フォルダーなど) が他のオブジェクト (サブフォルダーやファイルなど) を保持できる場合は、コンテナーと呼ばれます。 オブジェクトの階層では、コンテナーとそのコンテンツの間の関係は、コンテナーを親と呼ぶことで表されます。 コンテナー内のオブジェクトは子と呼ばれ、子は親のアクセス制御設定を継承します。 多くの場合、オブジェクトの所有者は、アクセス制御管理を容易にするために、個々の子オブジェクトではなく、コンテナー オブジェクトのアクセス許可を定義します。

このコンテンツ セットには、次のものが含まれます。

• ダイナミック アクセス制御の概要
• セキュリティ識別子
• セキュリティ プリンシパル
  • ローカル アカウント
  • Active Directory アカウント
  • Microsoft アカウント
  • サービス アカウント
  • Active Directory セキュリティ グループ

Windows エディションとライセンスに関する要件

次の表に、Access Control (ACL/SACL) をサポートする Windows エディションを示します。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

Access Control (ACL/SACL) ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

実際の適用例

サポートされているバージョンの Windows を使用する管理者は、オブジェクトとサブジェクトへのアクセス制御のアプリケーションと管理を調整して、次のセキュリティを提供できます。

• 多数のさまざまなネットワーク リソースを誤用から保護する
• 組織のポリシーとジョブの要件と一致する方法でリソースにアクセスするようにユーザーをプロビジョニングする
• ユーザーがさまざまな場所のさまざまなデバイスからリソースにアクセスできるようにする
• organizationのポリシーの変更やユーザーのジョブの変更に応じて、リソースに定期的にアクセスするユーザーの機能を更新する
• 使用シナリオの増加を考慮する (リモートの場所からのアクセスや、タブレット コンピューターや携帯電話など、急速に拡大するさまざまなデバイスからのアクセスなど)
• 正当なユーザーがジョブを実行するために必要なリソースにアクセスできない場合のアクセスの問題を特定して解決する

アクセス許可

アクセス許可は、オブジェクトまたはオブジェクト プロパティのユーザーまたはグループに付与されるアクセスの種類を定義します。 たとえば、Finance グループには、Payroll.dat という名前のファイルの読み取りおよび書き込みアクセス許可を付与できます。

アクセス制御ユーザー インターフェイスを使用すると、ファイル、Active Directory オブジェクト、レジストリ オブジェクト、プロセスなどのシステム オブジェクトなどのオブジェクトに NTFS アクセス許可を設定できます。 アクセス許可は、任意のユーザー、グループ、またはコンピューターに付与できます。 オブジェクトへのアクセスを検証するときにシステム パフォーマンスが向上するため、アクセス許可をグループに割り当てることを推奨します。

任意のオブジェクトに対して、次のアクセス許可を付与できます。

• ドメイン内のセキュリティ識別子を持つグループ、ユーザー、およびその他のオブジェクト。
• そのドメイン内のグループとユーザー、および信頼されたドメイン。
• オブジェクトが存在するコンピューター上のローカル グループとユーザー。

オブジェクトにアタッチされるアクセス許可は、オブジェクトの種類によって異なります。 たとえば、ファイルにアタッチできるアクセス許可は、レジストリ キーにアタッチできるアクセス許可とは異なります。 ただし、一部のアクセス許可は、ほとんどの種類のオブジェクトに共通です。 一般的なアクセス許可は次のとおりです。

• 読み取り
• 変更
• 所有者の変更
• Delete

アクセス許可を設定する場合は、グループとユーザーのアクセス レベルを指定します。 たとえば、あるユーザーがファイルの内容を読み取り、別のユーザーがファイルに変更を加え、他のすべてのユーザーがファイルにアクセスできないようにすることができます。 プリンターに対して同様のアクセス許可を設定して、特定のユーザーがプリンターを構成し、他のユーザーのみが印刷できるようにすることができます。

ファイルのアクセス許可を変更する必要がある場合は、Windows エクスプローラーを実行し、ファイル名を右クリックして、[プロパティ] を選択します。 [ セキュリティ ] タブで、ファイルのアクセス許可を変更できます。 詳細については、「 アクセス許可の管理」を参照してください。

注

共有アクセス許可と呼ばれる別の種類のアクセス許可は、フォルダーの [プロパティ ] ページの [共有] タブ、または共有フォルダー ウィザードを使用して設定されます。 詳細については、「 ファイル サーバーでの共有と NTFS アクセス許可」を参照してください。

オブジェクトの所有権

所有者は、そのオブジェクトの作成時にオブジェクトに割り当てられます。 既定では、所有者は オブジェクトの作成者です。 オブジェクトに設定されているアクセス許可に関係なく、オブジェクトの所有者は常にアクセス許可を変更できます。 詳細については、「 オブジェクトの所有権の管理」を参照してください。

アクセス許可の継承

継承を使用すると、管理者はアクセス許可を簡単に割り当てて管理できます。 この機能により、コンテナー内のオブジェクトは、そのコンテナーの継承可能なすべてのアクセス許可を自動的に継承します。 たとえば、フォルダー内のファイルは、フォルダーのアクセス許可を継承します。 継承対象としてマークされたアクセス許可のみが継承されます。

ユーザー権限

ユーザー権限は、コンピューティング環境のユーザーとグループに特定の特権とサインイン権限を付与します。 管理者は、グループ アカウントまたは個々のユーザー アカウントに特定の権限を割り当てることができます。 これらの権限により、ユーザーは、システムへの対話形式でのサインインやファイルとディレクトリのバックアップなど、特定のアクションを実行できます。

ユーザー権限はユーザー アカウントに適用され、アクセス許可はオブジェクトに関連付けられているため、ユーザー権限はアクセス許可とは異なります。 ユーザー権限は個々のユーザー アカウントに適用できますが、ユーザー権限はグループ アカウントごとに管理することをお勧めします。 アクセス制御ユーザー インターフェイスでは、ユーザー権限を付与するためのサポートはありません。 ただし、ユーザー権利の割り当ては 、ローカル セキュリティ設定を使用して管理できます。

ユーザー権限の詳細については、「 ユーザー権限の割り当て」を参照してください。

オブジェクト監査

管理者権限を使用すると、オブジェクトへのユーザーのアクセスの成功または失敗を監査できます。 アクセス制御ユーザー インターフェイスを使用して監査するオブジェクト アクセスを選択できますが、まず、[ローカル セキュリティ設定] の [ローカル ポリシー] で [監査オブジェクト アクセス] を選択して監査ポリシーを有効にする必要があります。 その後、これらのセキュリティ関連イベントは、イベント ビューアーの [セキュリティ ログ] で表示できます。

監査の詳細については、「 セキュリティ監査の概要」を参照してください。

関連項目

アクセス制御と承認の詳細については、「Access Controlと承認の概要」を参照してください。