制限付きアカウントのCドライブアクセス権について

前へ 次へ
このQ&Aのポイント
  • 制限付きアカウントのCドライブアクセス権について質問です。
  • Windows XP Professinalで制限付きアカウントを作成し、動作確認していますが、アクセス権について疑問があります。
  • 制限付きアカウントではCドライブ直下にフォルダを作成できるが、ファイルの作成はアクセスが拒否されます。どこまでの操作ができるのか教えてください。
回答を見る
  • ベストアンサー

制限付きアカウントのCドライブアクセス権について

お世話になります。 現在Windows XP Professinalにて制限付きアカウントの作成をしております。 このアカウントに切り替えて動作確認をしていますがイマイチ動きに納得できないので質問させていただきました。 制限付きアカウントの自分の認識として システムに影響を及ぼす変更ができない レジストリにデータを書き込むタイプのプログラムのインストールができない 特定の保存場所C:\temp、D&settings ユーザーディレクトリ等を除く場所に書き込みができない 等などと思っていましたが、 この度 WindowsのインストールディレクトリのCドライブ直下に フォルダを新規作成したところ作成できてしまいました。ですが、ファイルを作成しようとするとアクセス拒否の状態になっているようでファイルの作成はできません。 例えばフォルダを作った場合、そのフォルダの下には自由に書き込み出来ます。 デスクトップで作ったフォルダをD&Dでも移動されますが、ファイルの移動はできません。 このような状態ですが、制限付きアカウントのアクセス権では具体的にどこまで出来るのでしょうか? よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.3

セキュリティタブは、ワークグループ環境でも フォルダオプションの簡易ファイルの共有を使用するをオフにすると出てきます。 制限付きアカウント関係は Everyone:R BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:) BUILTIN\Users:(CI)(IO)(特殊なアクセス:) この部分ですから、基本的にはリードオンリー。 「特殊なアクセス」で書き込み権が付与されているのでしょう。 フォルダの作成権があって、ファイルの作成権がないような設定なのでしょうか。 初期状態のPCが手元になくて確認できないのが残念です。。。 新規作成フォルダ内にファイルを作成したりできるのは CREATOR OWNER:(OI)(CI)(IO)F でフルコントロールが付与されているからですね。 目的が > Cドライブにはデータは書き込ませたくない であれば、Cドライブ直下をEveryone、Usersに読み取り権のみに変更すれば おおよその役割は果たせるのではないかと思います。 Tempフォルダを使うとかAll Usersフォルダを使うとか 使用するユーザーによっては抜け道がありそうな気はしますが。

naana2
質問者

お礼

BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:) BUILTIN\Users:(CI)(IO)(特殊なアクセス:) まさにこれですね。 今セキュリティタブみてきました。 フォルダの作成とデータの追加 このフォルダとサブフォルダのみ ファイルの作成とデータの書き込みサブフォルダのみ でした。 とりあえず↑+createowner全部消せばC直下の被害はでなさそう・・・ですが笑 デフォルトの値が非常に気になってきました。 でも何かおかしな設定ですよね?メーカー製のマシンだから・・・でしょうか? ありがとうございます。非常に勉強になりました。 

その他の回答 (3)

  • Ctrl-Z727
  • ベストアンサー率79% (135/170)
回答No.4

>フォルダを新規作成したところ作成できてしまいました。 当方の PC で調べたところ、Cドライブの直下には、Users に対して次の許可が付与されていますので、正常な結果だと思います。   Create Folder:このフォルダとサブフォルダ   Create File:サブフォルダのみ この内容は、アクセス権を詳細設定するツール "xcacls.vbs" で確認できます。 <C:\ の出力例> Directory: C:\ Permissions: Type Username Permissions Inheritance Allowed BUILTIN\Administrators Full Control This Folder Only  ----(省略)----- Allowed \CREATOR OWNER Special (Unknown) Subfolders and Files Allowed BUILTIN\Users Read and Execute This Folder Only Allowed BUILTIN\Users Special (Unknown) Subfolders and Files Allowed BUILTIN\Users Advanced (Create Fold This Folder and Subfo Allowed BUILTIN\Users Advanced (Create File Subfolders only Allowed \Everyone Read and Execute This Folder, Subfolde No Auditing set Owner: BUILTIN\Administrators 下記ページを参考にしてください。 [Xcacls.vbs を使用して NTFS アクセス許可を変更する方法] http://support.microsoft.com/kb/825751/ja (注)このページに、スクリプティングエンジンを Cscript に変更することが記載されていますが、デフォルトに戻すのは cscript /h:wscript です。(念のため)

回答No.2

Cドライブのプロパティを開き、セキュリティタブを確認。 今、私の手元に初期状態のPCがないため確認できませんが 恐らくeveryoneのアクセス許可を確認すると 制限付きアカウントのアクセス権が確認できると思います。 詳細設定から権限を変更することで制御することができます。 CreateOwner(フォルダやファイルを作った人)の権限も 合わせて設定した方がいいかもしれませんね。 サブフォルダに継承するように設定してしまうと システムフォルダなどの権限も変わってしまいますので気をつけて下さい。

naana2
質問者

お礼

まだまだ謎です・・・ACLを確認した所次のようになりました。 これだけで見るとファイルもかけそうな気がします;; BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F CREATOR OWNER:(OI)(CI)(IO)F Everyone:R BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:) FILE_APPEND_DATA BUILTIN\Users:(CI)(IO)(特殊なアクセス:) FILE_WRITE_DATA

naana2
質問者

補足

すいません。そもそもドメイン環境ではないので、セキュリティタブがありません。 共有アクセス許可等も特に設定はしておらず、ワークグループ環境下の話になります。 Create Ownerも疑いましたが、Usersグループに含まれるAutorty Userの権限がどうも怪しそうです。 ご回答ありがとうございました。

  • cotae_bb
  • ベストアンサー率53% (51/95)
回答No.1

こちらのサイトが参考になるかもしれません。 http://www.microsoft.com/japan/windowsxp/using/setup/getstarted/configaccount.mspx http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/syb0-0297109

naana2
質問者

お礼

ありがとう御座います。マイクロソフトのほうは既に確認しておりました。 具体的にアクセス権を追加したいわけではなくて、デフォルトとしてC直下にかけるのはフォルダのみでファイルが書けないという理屈がわからなくて質問しました。 マイクロソフトではは制限ユーザーは ドキュメントを保存する 可 になっていますが、今現在自分のPCでは ディレクトリを作成するのは可 ファイルを保存するのは不可となっているので このあたりの詳細を教えていただきたいのですが・・・ 具体的にはCドライブにはデータは書き込ませたくないのであくまでも%userprofile%の範疇でデータの書き込みをさせたいのです。 よろしくお願いいたします。

naana2
質問者

補足

すいません自己解決したかもしれません・・・ 制限付きユーザーの所属するグループUsersにAuthority usersもデフォルトで含まれるようです。 つまり認証ユーザー権限が付属しているので質問のような動きになっているのかな?と。 Guest Userの場合は流石に書けないですもんね;; 詳しい方の解説お待ちしております。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows XP

関連するQ&A

  • ディレクトリごとアクセス制限できない~!!

    最近、久しぶりにアクセス制限のCGI設置を試みようとしたら どうもhtmlのフォルダより上層のディレクトリにFTPで アクセスできないようになっていて、隠したいフォルダや ファイルを置けるPrivateなディレクトリへのアクセスが 困難になっています。 (私が使用しているサービスは「infoseek」です。) wwwのアドレスで直接アクセス出来ない上層ディレクトリへ FTPでアクセスしてフォルダ等を作成・設置できる 「優秀な?無料ホームページサービス」ってまだ どこかに健在でしょうか・・・?? ご存知でしたら是非お教え願います。

    • ベストアンサー
    • CGI
  • Cドライブ→Dドライブに移行

    先日win7のノートPCを新品で購入しました。 ・Cドライブのマイドキュメント、マイピクチャ、マイビデオ、マイミュージックをDドライブに移行 (Dドライブを直接リンク先に指定してはいけないということで、移動先のフォルダとしてDocuments,Picture,Video,Musicというフォルダを作成。プロパティ→場所タブ→移動から移動を行いました) ↓ ・CドライブのUsers/ユーザー名/以下の場所にPictures,Music,Videosという0バイトのよくわからないフォルダが出現してしまった。 ここまでは http://okwave.jp/qa/q6221791.html ↑の方とほとんど同じような症状ですがさらに ・この三つのフォルダを開こうとしても「アクセスを拒否されました」といわれ、開けない ・削除しようとすると、「アクセス許可が必要で管理者が~云々」いわれて削除できない ・Dドライブのマイピクチャ等をプロパティから標準の場所へ戻そうとしても「アクセスが拒否されました」となって戻せない といった症状があります。 しかしまだユーザーアカウントは管理者アカウントひとつしかありませんし、 コンパネの説明文には完全なアクセス権があると書いてあるのになぜ削除できないのでしょうか・・・ また、削除する方法があったら教えてください>< 補足: ・この三つのフォルダの作成日時は昨日になっている。(初めてPCを起動した時刻あたり) ・更新日時はDドライブに移行した時刻になっている それとももしかしてこの三つのフォルダはあってもよいものなのでしょうか?

  • Windows7でのファイルアクセス制限

    Windows7でのファイルアクセス制限 Windows7でのファイルアクセス制限について教えてください。同様の質問が出ていますが、自分のPCでちょっと状況が違うようなので、、、。 1台のPCに家族全員のアカウントを作成しています。その状態で、自分の保管しているファイルを読まれたくないので、アクセス制限をかけたいと思っています。XPではフォルダの共有で制限をかければ簡単だったのですが、Windows7だと少々複雑で、、、。 コンピューター > OS > ユーザー > と選択して、自分のフォルダを表示し(フォルダアイコンの横に鍵マークがついています)、プロパティ>セキュリティと進み、アクセス権を変更するために 編集を選び、アクセスを制限したいユーザーを選ぼうと思っているのですが、ここで選択できるユーザー名が、SYSTEM、自分、Administratorsだけです(家族は使用するソフトの関係で管理者権限アカウントです)。 選択としてはAdministratorsを選ぶしかないので選択し、アクセス許可を拒否として適用すると、適用エラー「C\Users,,,Application Data アクセスが拒否されました」が出てしまいます、、、。 管理者アカウントを持つ家族からのアクセス制限は出来ないのでしょうか?

  • VISTA Ultimate フォルダのアクセス制限をかけたい 

    現在複数のアカウントがあります。Admin権限のある1つのアカウントだけ フォルダにアクセス(読み書き)したいです。 ■フォルダ構成 C: OS VISTA Ultimate D: DATA用 こちらの一部のフォルダにアクセス制限をかけたい セキュリティの設定でAdminアカウントのみフルコンをかけましたが一般 ユーザーから見えてしまいました。 設定方法か、参考となる情報の場所を教えていただけるとありがたいです。

  • Windows 2000/2003でのファイルアクセス制限

    教えてください。 Windows2000で共有フォルダーにあるファイルに関して、 一定ユーザーのみに対して、現在、アクセス許可を与え て運用しています。 (ファイルは、Excelです。) 確かに、Excelのファイルに対して、許可を与えていない ユーザーが開こうとするとアクセス出来ない状態には なっています。 しかし、他のユーザーがそのファイルを削除しようとする と出来てしまうのです。 (移動は出来ませんが) これを防ぐにはどうしたらいいでしょうか? やはり、フォルダを作成し、その下にファイルを置き、 フォルダに制限をかけるしかないのでしょうか? 以上、よろしくお願い致します。 m(__)m

  • DISKの「C」の容量が小さくなってきました。それを「D」に移すには・・・

    「Cドライブ」に入っている単体のファイルを移すのは(***.BMPや***.xls)問題ないのはわかっているのですが、アプリケーションの領域です。(ProgramFiles以下は移しません。)c:の直下のフォルダをd:に移動させて、そこで利用したいのです。この場合、まず、コピーしてから、c:の直下に「フォルダのショートカット」を置いて代用しようと思いました。でも、アプリがエラー(ファイルアクセスできない)となります。アプリのことが詳しくわからないので詳細は書けませんが、一般ではこのようなことは不可能なものなのでしょうか?プログラムは再度インストールすることはわかりますが、データのことなのでできないと思います。

  • マイドキュメントをDドライブに移動後のアクセス制御

    こんにちは。 Windows Vista Ultimate。ユーザーアカウントでログインし使用しています。 先日、Cドライブの容量がいっぱいになってきたので、ドキュメント、ピクチャ、ビデオなどのフォルダをDドライブに移動させました。 (Dドライブに「自分の名前・ファイル」というフォルダを作り、その中にそれぞれのフォルダを作り移動させました。) パソコン音痴なため四苦八苦しましたが、なんとか無事に移動させることができたのですが、 移動前、他のユーザーアカウントからはフォルダの中身は見れなかったはずなのに、移動後はなぜかアクセスでき、ファイルの中身が見れる状態です。 移動前のように、管理者アカウントはじめ他のユーザーアカウントからアクセスできないようにするにはどうしたらよいのでしょうか?? ちなみに、http://www.kotaete-net.net/Default.aspx?pgid=14&qid=4017261024を参考にし、 Dドライブに作ったピクチャ等のフォルダ類を入れている「自分の名前・ファイル」フォルダのプロパティをクリックし、[セキュリティ]タブから編集しようとしたのですが、 変にいじくってしまい、一時自分のアカウントからもアクセスできない状態に陥ってしまいました…(なんとか元に戻せましたが)。 アクセス許可欄には「Authenicated Users」「SYSTEM」「Administrators」「Users」が登録されています。 加えて、上に書いた「自分の名前・ファイル」フォルダの名前を変更しようとしたのですが、アクセス拒否されます(中身はそれぞれ見れるのですが…)。 この対処法も分かればご教授ください。 長々と書きこんでしまいましたが、良いアドバイスが頂けたらなと思います。 よろしくお願いします。

  • DドライブからCドライブへの移動(失敗)

    先日、ドキュメントフォルダをDドライブへ移動させ、その後Cドライブに戻しました。 その際、「標準に戻す」は使わず、Dドライブへの移動と同じ要領で戻そうとしたのですが、間違えてフォルダを作成せずにCという場所だけを指定して移動させてしまいました。 (数週間前のことで正確には覚えていませんが、おそらく C:\ という指定になっていたと思います。) すると、ドキュメントには保存していなかったはずの他のファイルも全て一緒になってしまい、何がドキュメントに保存されていたものかわからない状態になってしまいました。 また、WordやExcelのファイルを開くと「読み取り専用」の状態なってしまい上書き保存ができず、新たに名前を付けて保存しようとすると「この場所に保存するアクセス許可がありません」というエラーメッセージが出てしまいます。 ご教示いただきたいのは以下2点です。 1.Cドライブへ戻す前の状態に戻すことができるか。どのようにすればいいか。 2.アクセス許可の問題がなぜ起きているのか。どのようにすれば通常のようにファイルを開いて保存できるようになるか。 WordやExcelのファイルは最悪の場合すべて削除してもいいと思っています。 ちなみにOSはWindows Vista Home Premiumです。 色々と検索してみたのですが、変にいじってまたおかしくなってしまうと怖いのでこちらで質問させていただきました。 状況説明に不足な点がございましたら補足します。 よろしくお願いします。

  • Dドライブを制限付きアカウントから見えなくする、アクセス不可にする方法

    現在、複数のアカウントでPCを使用しています。 私が管理者アカウントなのですが、Dドライブ(データのみ)を制限付きアカウントから見えなくする、アクセス不可にする方法はないでしょうか? Cの容量を大きく取ってマイドキュメントにデータを詰め込めば良いのですが、システム、データ管理の都合上、Dを大きく設定しています。 どなたか方法をご存知の方、お教えください。

  • ファイルやフォルダへのアクセス制限について学びたい

    Windows7Professionalを使用しています。 フォルダの共有化をせずに、アカウント別にファイルやフォルダへのアクセス制限を考えています。 administratorアカウントからのみ削除可能にしたり、 特定のアカウントからは閲覧不可にしたりなど、 Windows7のファイルやフォルダへのアクセス制限について、基本から詳しく学べるWebサイトまたは書籍について教えてください

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する