通常、 Windows(Windows)のアクセス許可について心配する必要はありません。これは、オペレーティングシステム(operating system)によって既に処理されているためです。各ユーザーには独自のプロファイルと独自の権限セットがあり、ファイルやフォルダーへの不正アクセスを防ぎます。
ただし、他のユーザーがデータにアクセスできないようにするために、一連のファイルまたはフォルダーのアクセス許可を手動で構成したい場合があります。この投稿は、他の「人」もあなたが使用している同じコンピューターにアクセスできることを前提としています。
そうでない場合は、ハードドライブを暗号化するだけでもかまいません。それだけです。ただし、家族や友人(family or friends)など、他の人がコンピューターにアクセスできる場合は、アクセス許可が役立ちます。
もちろん、ファイル属性を使用したり、コマンドプロンプト(command prompt)を使用してデータを非表示にしたりして、ファイルやフォルダーを非表示にするなど、他の方法もあります。必要に応じて、 Windows(Windows)でドライブ全体を非表示にすることもできます。
他のユーザーとファイルを共有するためのアクセス許可を設定する場合は、非表示のネットワーク共有(hidden network share)の作成、またはコンピューター、タブレット、電話間でファイルを共有する方法に関する私の投稿を確認してください。
データセキュリティ
フォルダまたはファイルのアクセス許可(folder or file permissions)をいじる必要がある他の唯一の機会は、データにアクセスしようとしたときにアクセス許可が拒否されたというエラーが発生(Permission Denied error)した場合です。これは、現在のユーザーアカウント(user account)に属し(t belong)ていないファイルの所有権を取得し、引き続きそれらにアクセスできることを意味します。
これは、ファイルまたはフォルダーにアクセス許可を設定しても、そのファイルまたはフォルダーのセキュリティが保証されないことを意味するため、(file or folder)重要(file or folder)です。Windowsでは、任意のWindows PCの管理者が、一連のファイルとフォルダーの所有権を取得することにより、それらのアクセス許可を上書きできます。所有権を取得したら、独自の権限を設定できます。
では、これは英語(English)で何を意味するのでしょうか?基本的(Basically)に、他の人に見られたくないデータがある場合は、そのデータをそのコンピューターにまったく保存しないか、TrueCryptなどの暗号化ツール(encryption tool)を使用する必要があります。
技術に精通した読者の場合、おそらく「ちょっと(Hey)待ってください。TrueCryptはセキュリティの脆弱性のために廃止されたので、使用しないでください!」と言うでしょう。そうですね、それは正しいですが、 TrueCryptは独立した組織によって(organization and Phase)監査されており(TrueCrypt has been audited)、フェーズIとフェーズII(Phase II)は完了しています。
ダウンロードする必要がある唯一のバージョンは、 GitHubの検証済みミラーにアップロードされたTrueCrypt7.1aです。TrueCryptの使用にまったく慣れていない場合、私が持っている他の唯一の提案は、 TrueCryptの後継であるVeraCryptですが、多くの欠陥を修正しました。
ファイルとフォルダのアクセス許可
これらすべてが邪魔になったので、Windowsでのアクセス許可について説明しましょう。Windowsの(Windows)すべてのファイル(Every file)とすべてのフォルダーには、独自のアクセス許可のセットがあります。アクセス許可は、ユーザーとそれに対応する権限を持つアクセス制御リストに分類できます。(Access Control Lists)これは、上部にユーザーリスト、下部に権限がある例です。
権限も継承されるかどうかのどちらかです。通常、Windowsでは(Windows)、すべてのファイルまたはフォルダーが親フォルダー(parent folder)からアクセス許可を取得します。この階層は、ハードドライブのルートまでずっと続きます。最も単純な権限には、少なくとも3人のユーザーがいます。SYSTEM、現在ログインしているユーザーアカウント、およびAdministratorsグループです。
これらのアクセス許可は通常、ハードドライブのC:\Users\Usernameこれらのアクセス許可にアクセスするには、ファイルまたはフォルダーを右クリックし、[(file or folder)プロパティ(Properties)]を選択して、[セキュリティ(Security)]タブをクリックします。特定のユーザーの権限を編集するには、そのユーザーをクリックしてから、[編集(Edit)]ボタンをクリックします。
上記の例のように、アクセス許可がグレー表示されている場合、アクセス許可は含まれているフォルダーから継承されていることに注意してください。継承されたアクセス許可を削除する方法については、以下で詳しく説明しますが、最初に、さまざまな種類のアクセス許可について理解しましょう。
権限の種類
Windowsには、基本的に6種類のアクセス許可があります。フルコントロール(Full Control)、変更(Modify)、読み取りと実行(Read & Execute)、フォルダーの内容の一覧(List Folder Contents)表示、読み取り(Read)、書き込み(Write)です。フォルダーの内容の一覧(List Folder Contents)表示は、フォルダー専用の唯一のアクセス許可です。より高度な属性がありますが、それらについて心配する必要はありません。
では、これらの各権限はどういう意味ですか?さて、これはマイクロソフトのWebサイトからの素晴らしいチャートで、ファイルとフォルダーに対する各アクセス許可の意味を示しています。
各権限が何を制御するかを理解したので、いくつかの権限を変更して結果を確認してみましょう。
編集権限
アクセス許可を編集する前に、ファイルまたはフォルダー(file or folder)の所有権を持っている必要があります。所有者が別のユーザーアカウント(user account)、またはローカルシステムやTrustedInstaller(Local System or TrustedInstaller)などのシステムアカウント(system account)である場合、権限を編集することはできません。
あなたが現在所有者でない場合、Windowsでファイルとフォルダの所有権を取得する方法について(how to take ownership of files and folders in Windows)の私の以前の投稿を読んでください。あなたが所有者になったので、もう少し邪魔にならないようにしましょう。
-
ユーザーのフォルダーにフルコントロール( Full Control)のアクセス許可を設定すると、ユーザーは、それらのファイルまたはサブフォルダーに設定されているアクセス許可に関係なく、任意のファイルまたはサブフォルダーを削除できます。
-
デフォルトではアクセス許可が継承されるため、ファイルまたはフォルダーのカスタムアクセス許可が必要な場合は、最初に継承を無効にする必要があります。
-
権限の拒否は権限の許可を上書きするため、グループではなく、特定のユーザーに対してのみ、できればそれらを慎重に使用してください
ファイルまたはフォルダ(file or folder)を右クリックし、 [プロパティ(Properties)]を選択して[セキュリティ(Security)]タブをクリックすると、いくつかの権限の編集を試みることができます。先に進み、[編集(Edit)]ボタンをクリックして開始します。
この時点で、できることがいくつかあります。まず、 [許可](Allow)列がおそらくグレー表示されており、編集できないことに気付くでしょう。これは、先ほどお話しした継承によるものです。
ただし、[拒否(Deny)]列の項目を確認できます。したがって、特定のユーザーまたはグループのフォルダへのアクセスをブロックするだけの場合は、最初に[(user or group)追加(Add)]ボタンをクリックし、追加したら、[フルコントロール( Full Control)]の横にある[拒否(Deny)]ボタンをオンにします。
[追加(Add)]ボタンをクリックするときは、ボックスにユーザー名またはグループ名を入力してから、[(user name or group name)名前の確認( Check Names)]をクリックして正しいことを確認する必要があります。ユーザー名またはグループ名(user or group name)を覚えていない場合は、[詳細設定]ボタン(Advanced button)をクリックしてから、[今すぐ検索(Find Now)]をクリックしてください。すべてのユーザーとグループが表示されます。
[OK](Click OK)をクリックすると、ユーザーまたはグループが(user or group)アクセス制御リスト(access control list)に追加されます。これで、 [許可](Allow)列または[拒否(Deny)]列を確認できます。前述のように、グループではなくユーザーに対してのみ拒否を使用するようにしてください。(Deny)
リストからユーザーまたはグループ(user or group)を削除しようとするとどうなりますか。追加したユーザーは簡単に削除できますが、既に存在するアイテムを削除しようとすると、エラーメッセージが表示さ(error message)れます。
継承を無効にするには、ファイルまたはフォルダのメインの(file or folder)[セキュリティ]タブ(Security tab)に戻り、下部にある[詳細設定(Advanced)]ボタンをクリックする必要があります。
Windows 7では、所有者(Owner)用に1つの追加タブがあります。Windows 10では、それを一番上に移動しただけなので、[変更(Change)]をクリックする必要があります。とにかく、Windows 7では、最初のタブの下部にある[アクセス許可の変更]をクリックします。( Change Permissions)
[セキュリティ(Advanced Security Settings)の詳細設定]ダイアログで、[このオブジェクトの親から継承可能なアクセス許可を含める(Include inheritable permissions from this object’s parent)]チェックボックスをオフにします。
これを行うと、別のダイアログボックス(dialog box)がポップアップ表示され、継承されたアクセス許可を明示的なアクセス許可に変換するか、継承されたすべてのアクセス許可を削除するかを尋ねられます。
必要なアクセス許可が本当に正確にわからない場合は、 [追加(Add)](明示的なアクセス許可)を選択し、後で不要なものを削除することをお勧めします。基本的に、[(Basically)追加(Add)]をクリックすると、すべて同じ権限が保持されますが、グレー表示されなくなり、[削除]をクリックして(Remove)ユーザーまたはグループ(user or group)を削除できます。[削除(Remove)]をクリックすると、きれいな状態で開始されます。
Windows 10では、外観が少し異なります。[詳細設定(Advanced)]ボタンをクリックした後、 [継承を無効(Disable Inheritance)にする]をクリックする必要があります。
そのボタンをクリックすると、Windows 7と同じオプションが表示されますが、形式が異なります。[変換(Convert)]オプションは[追加(Add)]と同じで、2番目のオプションは[削除(Remove)]と同じです。
ここで理解する必要があるのは、 [有効なアクセス許可(Effective Permissions)]または[有効なアクセス(Effective Access)]タブだけです。では、効果的な権限とは何ですか?さて、上の例を見てみましょう。私はテキストファイル(text file)を持っており、私のアカウントであるAseemにはフルコントロール(Full Control)があります。ここで、リストに別のアイテムを追加して、グループUsersが(Users)フルコントロール( Full Control)を拒否された場合はどうなりますか。
ここでの唯一の問題は、AseemアカウントもUsersグループの一部であるということです。だから私はある許可でフルコントロールを持ち、別の(Control)許可で拒否(permission and Deny)します、どちらが勝ちますか?さて、前述したように、Denyは常に(Deny)Allowをオーバーライドするため、Denyが勝ちますが、これを手動で確認することもできます。
[詳細設定(Advanced)]をクリックして、[有効なアクセス許可](Effective Permissions) または[有効なアクセス(or Effective Access)]タブに移動します。Windows 7では、[選択]ボタンを(Select button and type)クリックして、ユーザー名またはグループ名(user or group name)を入力します。Windows 10では、[ユーザーの選択(Select a user)]リンクをクリックします。
Windows 7では、ユーザーを選択すると、下のリストボックス(list box below)にアクセス許可がすぐに表示されます。ご覧のとおり、すべての権限がオフになっています。これは理にかなっています。
Windows 10では、ユーザーを選択した後、 [有効なアクセス( View effective access)の表示]ボタンをクリックする必要があります。また、アクセスがない場合は赤いXが表示され、アクセスが許可されている場合は緑のチェックマーク(check mark)が表示されます。これは少し読みやすくなっています。
これで、 Windowsのファイルとフォルダーのアクセス許可(Windows file and folder permissions)について知っておくべきことがほぼすべてわかったはずです。すべてのコツをつかむには、自分で遊んでみる必要があります。
理解しておくべき主なポイントは、アクセス許可を編集するには所有者である必要があり、管理者はそれらのオブジェクトのアクセス許可に関係なく、ファイルとフォルダーの所有権を取得できるということです。ご不明な点がございましたら、お気軽にコメントを投稿してください。楽しみ!
How to Set File and Folder Permissions in Windows
Normally, you don’t have to worry about permіѕsions in Windows becаuѕe that’s alrеady taken care of by the operating system. Each usеr has their оwn рrofile and their own set of permissions, which prevents unauthorized acceѕs to files and folders.
There are times, however, when you might want to manually configure the permissions on a set of files or folders in order to prevent other users from accessing the data. This post is assuming the other “people” also have access to the same computer you are using.
If not, you may as well just encrypt your hard drive and that’s it. However, when others can access the computer, like family or friends, then permissions can come in handy.
Of course, there are other alternatives like hiding files and folders using file attributes or by using the command prompt to hide data. You can even hide an entire drive in Windows if you like.
If you are looking to set permissions in order to share files with others, check out my post on creating a hidden network share or how to share files across computers, tablets and phones.
Data Security
The only other occasion where you will need to mess around with folder or file permissions is when you get a Permission Denied error when trying to access data. This means you can take ownership of files that don’t belong to your current user account and still access them.
This is important because it means that setting permissions on a file or folder does not guarantee the security of that file or folder. In Windows, an administrator on any Windows PC can override the permissions on a set of files and folders by taking ownership of them. Once you have ownership, you can set your own permissions.
So what does this mean in English? Basically, if you have data you don’t want others to see, then you should either not store it on that computer at all or you should use an encryption tool like TrueCrypt.
For those tech-savvy readers, you’ll probably be saying “Hey wait, TrueCrypt has been discontinued due to security vulnerabilities and shouldn’t be used!” Well, that is correct, however, TrueCrypt has been audited by an independent organization and Phase I and Phase II have been completed.
The only version you should download is TrueCrypt 7.1a, the one that has been uploaded to a verified mirror on GitHub. If you are not comfortable at all using TrueCrypt, the only other suggestion I have is VeraCrypt, which was the successor to TrueCrypt, but fixed many of the flaws.
File and Folder Permissions
Now that we got all of that out of the way, let’s talk about permissions in Windows. Every file and every folder in Windows has its own set of permissions. Permissions can be broken down into Access Control Lists with users and their corresponding rights. Here is an example with the user list at the top and the rights at the bottom:
Permissions are also either inherited or not. Normally in Windows, every file or folder gets their permissions from the parent folder. This hierarchy keeps going all the way up to the root of the hard drive. The simplest permissions have at least three users: SYSTEM, currently logged in user account and the Administrators group.
These permissions usually come from the C:\Users\Username folder on your hard drive. You can access these permissions by right-clicking on a file or folder, choosing Properties and then clicking on the Security tab. To edit permissions for a particular user, click on that user and then click the Edit button.
Note that if the permissions are greyed out, like in the example above, the permissions are being inherited from the containing folder. I’ll talk about how you can remove inherited permissions further below, but first let’s understand the different types of permissions.
Permission Types
There are basically six types of permissions in Windows: Full Control, Modify, Read & Execute, List Folder Contents, Read, and Write. List Folder Contents is the only permission that is exclusive to folders. There are more advanced attributes, but you’ll never need to worry about those.
So what do each of these permissions mean? Well, here is a nice chart from Microsoft’s website that breaks on what each permissions means for files and for folders:
Now that you understand what each permission controls, let’s take a look at modifying some permissions and checking out the results.
Editing Permissions
Before you can edit any permissions, you have to have ownership of the file or folder. If the owner is another user account or a system account like Local System or TrustedInstaller, you won’t be able to edit the permissions.
Read my previous post on how to take ownership of files and folders in Windows if you are currently not the owner. Now that you are the owner, let’s get a few more things out of the way:
-
If you set Full Control permissions on a folder for a user, the user will be able to delete any file or subfolder regardless of what permissions are set for those files or subfolders.
-
By default permissions are inherited, so if you want custom permissions for a file or folder, you have to first disable inheritance.
-
Deny permissions override Allow permissions, so use them sparingly and preferably only on specific users, not groups
If you right-click on a file or folder, choose Properties and click on the Security tab, we can now try to edit some permissions. Go ahead and click the Edit button to get started.
At this point, there are a couple of things you can do. Firstly, you’ll notice that the Allow column is probably greyed out and can’t be edited. This is because of the inheritance I was talking about earlier.
However, you can check items on the Deny column. So if you just want to block access to a folder for a specific user or group, click the Add button first and once added, you can check the Deny button next to Full Control.
When you click the Add button, you have to type in the user name or group name into the box and then click on Check Names to make sure it’s correct. If you don’t remember the user or group name, click on the Advanced button and then just click Find Now. It will show you all the users and groups.
Click OK and the user or group will be added to the access control list. Now you can check the Allow column or Deny column. As mentioned, try to use Deny only for users instead of groups.
Now what happens if we try to remove a user or group from the list. Well, you can easily remove the user you just added, but if you try to remove any of the items that were already there, you’ll get an error message.
In order to disable inheritance, you have to go back to the main Security tab for the file or folder and click on the Advanced button at the bottom.
On Windows 7, you’ll one extra tab for Owner. In Windows 10, they just moved that to the top and you have to click Change. Anyway, in Windows 7, click on Change Permissions at the bottom of the first tab.
On the Advanced Security Settings dialog, uncheck the Include inheritable permissions from this object’s parent box.
When you do that, another dialog box will popup and it will ask you whether you want to convert the inherited permissions to explicit permissions or whether you just want to remove all the inherited permissions.
Unless you really know exactly what permissions you want, I suggest choosing Add (explicit permissions) and then just removing whatever you don’t want afterwards. Basically, clicking on Add will keep all the same permissions, but now they won’t be greyed out and you can click Remove to delete any user or group. Clicking Remove, will start you off with a clean slate.
In Windows 10, it looks slightly different. After clicking on the Advanced button, you have to click on Disable Inheritance.
When you click on that button, you’ll get the same options as in Windows 7, but just in a different form. The Convert option is the same as Add and the second option is the same as Remove.
The only thing you have to understand now is the Effective Permissions or Effective Access tab. So what is effective permissions? Well, let’s see the example above. I have a text file and my account, Aseem, has Full Control. Now what if I add another item to the list so that the group Users is denied Full Control.
The only problem here is that the Aseem account is also part of the Users group. So I have Full Control in one permission and Deny in another, which one wins? Well, as I mentioned above, Deny always overrides Allow, so Deny will win, but we can also confirm this manually.
Click on Advanced and go to the Effective Permissions or Effective Access tab. In Windows 7, click the Select button and type in the user or group name. In Windows 10, click the Select a user link.
In Windows 7, once you select the the user, it will instantly show the permissions in the list box below. As you can see, all of the permissions are unchecked, which makes sense.
In Windows 10, you have to click the View effective access button after selecting the user. You’ll also get a nice red X for no access and a green check mark for allowed access, which is a bit easier to read.
So now you pretty much know all there is to know about Windows file and folder permissions. It does take some playing around yourself in order to get the hang of it all.
The main points to understand are that you need to be the owner in order to edit permissions and that any administrator can take ownership of files and folders regardless of the permissions on those objects. If you have any questions, feel free to post a comment. Enjoy!
