Permisn セクションでは、オブジェクトのアクセス権を設定します。 オブジェクトはそれぞれ Type、Object、および(オプションで)FileMask というエントリで指定されます。
それぞれの Permisn セクションには、以下のエントリを含めることができます。
|
Type=Type |
|
|
Object=Object |
|
|
FileMask=File_mask |
オプション |
|
AddToACL=Value |
オプション |
|
Aace1=Account_name_1,Access_mask_1 |
オプション |
|
: |
|
|
Aacen=Account_name_n,Access_mask_n |
オプション |
|
Dace1=Account_name_1 |
オプション |
|
: |
|
|
Dacen=Account_name_n |
オプション |
|
|
|
オブジェクトのタイプを指定します。 タイプの値は、以下のいずれかです。
|
ファイル |
ファイル |
|
ディレクトリ |
ファイルを含むディレクトリ |
|
RDir |
ファイルおよびサブディレクトリを含むディレクトリ |
|
キー |
キー |
|
RKey |
キーおよびサブキー |
パス名を含むオブジェクトを指定します。 オブジェクトのタイプによって、オブジェクトの構造が決まります。 タイプおよび関連する構造は、以下のとおりです。
|
ファイル |
ファイル パス |
|
ディレクトリ |
ディレクトリ パス |
|
RDir |
ディレクトリ パス |
|
キー |
root_key\key 構造 |
|
RKey |
root_key\key 構造 |
ファイル マスクを指定します。 この file_mask に対応するすべてのファイルにはアクセス権が割り当てられます。 file_mask は、オブジェクト タイプが Dir または RDir の場合にのみ指定できます。 *.doc のようなファイル拡張子のみを指定できます。 パスの詳細は指定できません。
現在の ACL (アクセス制御リスト)への対処方法を指定します。
アクセス制御要素(AAce および Dace)をオブジェクトのアクセス制御リストに追加する必要があります。
アクセス制御要素(AAce および Dace)がオブジェクトのアクセス制御リストを置き換える必要があります。
行の中で指定されている account_name に対するアクセス権(許可された ACE)を指定されたアクセス マスクに設定します。
行の中で指定されている account_name に対するアクセスを拒否します(拒否された ACE)。 拒否エントリは許可エントリよりも優先されることに注意してください。 これらの使用には十分に注意してください。
ユーザ名またはグループ名を指定します。
account_name は、domain\account などのドメインのプレフィックスで修飾できます。 ドメインとは、このシステムが含まれる Windows ドメインまたは信頼されたドメインの名前です。
account_name が修飾されない場合、同じ名前のローカル アカウントにマップされます。 このローカル アカウントが存在しない場合、account_name は同じ名前のドメイン アカウントまたは信頼されたドメイン アカウントにマップされます。
例:
|
MyAccount |
指定されたアカウント名 |
|
MySystem |
ローカル システムの名前 |
|
MyDomain |
システムは Windows ドメインの一部 |
MyAccount がローカル システム上で定義されたアカウントの場合、アクセス制御はこのアカウントに設定されます。 MyAccount がローカル システムのアカウントではないが、MyDomain のアカウントの場合は、アクセス制御は MyDomain\MyAccount に設定されます。
事前定義されたアカウントにマップされているいくつか有名なセキュリティ識別子がありますが、これらのアカウントはローカライズされています。
英語のシステムでは、管理者のローカル グループのアカウントは Administrators ですが、ドイツ語のシステムでは、これは Administratoren と呼ばれます。
これらのアカウントは、以下のように、ローカライズとは関係なく指定することができます。
定義済みの Windows ドメイン固有アカウントに対して使用されます。 MyDomain とは、システムが含まれる Windows ドメインです。 ドメイン関連の RIDAlias は、「RIDAlias の値のリスト」にリストされている値のうちの 1 つを持つことができます。 単一のシステムに存在するのは、これらのアカウントのサブセット 1 つのみの可能性があることに注意してください。
事前定義されたビルトインののアカウントまたは特別なアカウントに使用されます。 SIDAlias は、「SIDAliassidalias の値のリスト」にリストされている値のうちの 1 つを持つことができます。
ヒント: アカウントを定義する際には、パラメータを使用できます。 たとえば、以下のように PrimaryDomain パラメータを定義します。
PrimaryDomain=&HKLM\software\microsoft\windows nt\CurrentVersion\Winlogon\CachePrimaryDomain
ターゲット コンピュータが含まれる Windows ドメインの事前定義されたグローバル ドメイン ユーザ アカウントに解決されます。
ターゲット コンピュータの事前定義されたローカル管理者アカウントに解決されます。
16 進数形式(8 桁)でアクセスを指定します。 アクセス マスクの重要な値は、以下のとおりです。
|
10000000 |
フル アクセス |
|
20000000 |
実行アクセス |
|
40000000 |
書き込みアクセス |
|
80000000 |
読み取りアクセス |
|
00010000 |
削除する権限 |
|
00020000 |
ACL (アクセス制御リスト)の読み取りのための権限 |
|
00040000 |
ACL (アクセス制御リスト)の読み取り/書き込みのための権限 |
|
00080000 |
所有者名を変えるための権限 |
たとえば、C0000000 は、読み取り/書き込みアクセスを指定します。
SubKey1\ ...\SubKeyn の形式でキーの名前を指定します。
Windows NT テクノロジによって事前定義されたルート キーを指定します。 以下のルート キーを割り当てることができます。
| Copyright © 2014 CA Technologies. All rights reserved. |
|