2006年07月31日

Windows 2000/XP/2003 グループポリシーを更新する方法

グループポリシーの設定を変更したときなどに即時に反映させたい場合、または設定がうまく反映されない場合などは、強制的に適用させることができる。

具体的には、適用対象のコンピュータ上でコマンド操作を実施する。ただし OS によって使用するコマンドが異なる。

○ 操作手順 (Windows 2000 の場合)
コンピュータの構成の更新
    secedit /refreshpolicy machine_policy
ユーザーの構成の更新
    secedit /refreshpolicy user_policy
上記に加え /enforce スイッチを使用すると、グループポリシーオブジェクト設定に変更のない場合でも強制的にセキュリティ設定を更新する。
○ 操作手順 (Windows XP Professional または Windows Server 2003 の場合)
(コンピュータの構成、ユーザーの構成共通)
    gpupdate
上記に加え /force スイッチを使用すると、グループポリシーオブジェクト設定に変更のない場合でも強制的にセキュリティ設定を更新する。

【参照】 マイクロソフト Windows 2000
          マイクロソフト Windows Server 2003 (1) (2) (3) (4)
          マイクロソフト 技術情報 283312 / 298444
          @IT
          ITpro
          Windows FAQ.

posted by w@ko at 21:04|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月28日

Windows 95/98/Me Windows パスワードをリセットする方法

Windows 95/98/Me のコンピュータで Windows のパスワードをリセットする場合、通常はリセットを行いたいユーザーでログオンした状態で行う。

ただし別ユーザーでログオンした場合でもパスワードをリセットすることは可能である。Windows 9x/Me の Windows ログオンパスワードは、%windir% フォルダにあるパスワードリストファイル(*.pwl)に記録されている。この pwl ファイルを削除することでログオンパスワードをリセットすることができる。パスワードを忘れてしまった場合などは非常に便利である反面、セキュリティ上はほぼ無防備な状態である。またこの方法でクリアすると、ダイヤルアップパスワードなど Windows に記憶させていたあらゆるパスワードもすべてリセットされる。

○ 操作手順

ログオン状態でパスワードをリセットするには以下の手順で行う。

1. コンピュータを起動し、パスワードをリセットしたいユーザーでログオンする
2. [スタート]→[設定]→[コントロールパネル]→[パスワード]を開く
3. [パスワードのプロパティ]ダイアログの[パスワードの変更]タブで[Windows パスワードの変更]ボタンをクリックする
4. [パスワードの変更]ダイアログで新旧パスワードを入力し、[OK]ボタンをクリックする
5. パスワードが変更された旨のメッセージが表示されたら[OK]ボタンをクリックする

pwl ファイルをクリアしてパスワードをリセットする方法は以下の通りである。

1. コンピュータを起動し、任意のユーザーでログオンするか、あるいはログオンできるユーザーが存在しない場合、Windows ログオンダイアログで[キャンセル]ボタンをクリックする
2. [スタート]→[検索]→[ファイルやフォルダ]を開く
3. [名前](または[ファイルまたはフォルダの名前])ボックスに半角英数で「*.pwl」と入力し、[検索開始]ボタンをクリックする
4. 検索されたファイルをすべて削除する
5. システムを再起動する
6. 再起動後の最初のログオン時に任意のユーザー名およびパスワードを入力する。

【参照】 Windows FAQ. (1) (2)

posted by w@ko at 22:06|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月27日

Windows NT/2000/XP/2003 緊急シャットダウンを行う方法

Windows には通常のシャットダウンとは別の緊急用のシャットダウン方法がある。コンピュータを即時にシャットダウンさせたい場合や、途中でフリーズしてしまったなどの通常のシャットダウン操作が行えない場合などに使用できる。

この方法を使用すると、起動中のサービスやアプリケーションは途中終了され、最悪の場合、未保存のデータが失われる可能性がある。ただし、ハード的にコンピュータの電源を切断してしまうよりは安全にシャットダウンすることができる。最終的にコンピュータの電源を切断するより一歩手前のシャットダウン操作といえる。

○ 操作手順

通常は以下の操作で緊急時シャットダウンを行う。

1. [Ctrl]+[Alt]+[Del]キーを押す
2. [Windows のセキュリティ](または[Windows NT のセキュリティ])ダイアログで[Ctrl]キーを押しながら[シャットダウン]ボタンをクリックする
3. [緊急時シャットダウン]警告メッセージが表示されたら[OK]ボタンをクリックする

Windows XP で「ようこそ」画面を使用する設定になっている場合は、以下のような操作となる。

1. [Ctrl]+[Alt]+[Del]キーを押す
2. [Windows タスクマネージャ]ダイアログで[シャットダウン]メニューを開き、[Ctrl]キーを押しながら[コンピュータの電源を切る]を選択する
3. [緊急時シャットダウン]警告メッセージが表示されたら[OK]ボタンをクリックする

【参照】 マイクロソフト 技術情報 279134 / 325343
          @IT
          デジタル ARENA
          Windows FAQ.

posted by w@ko at 20:43|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月26日

Windows XP/2003 シャットダウンイベント追跡ツールの設定方法

Windows XP Professional および Windows Server 2003 には、「シャットダウンイベントの追跡ツール」機能がある。これは、シャットダウンの理由を記録するもので、有効にすることでシステムの動作状況を監視することが可能となる。

通常はシャットダウン実行時に[Windows のシャットダウン]ダイアログでシャットダウンの理由を指定するように求められる。ただし、正常なシャットダウンの手順を踏まずにシャットダウンが行われた場合(障害発生による電源断など)には、システムの再起動後、ログオンしたタイミングで前回のシャットダウンの理由を指定するように求められる。

実際の記録は、システムログに以下のようなイベントとして記録される。

種類 : 情報
ソース : USER32
イベント ID : 1074
日付 : yyyy/MM/dd
時刻 : H:mm:ss
ユーザー : {ドメイン名|コンピュータ名ユーザー名
コンピュータ : コンピュータ名
説明 : 次の理由で、プロセス Explorer.EXE は、ユーザー {ドメイン名|コンピュータ名ユーザー名 の代わりに、コンピュータ コンピュータ名 のシャットダウンを始めました: オプション
 理由コード: 理由コード
 シャットダウンの種類: {シャットダウン|再起動}
 コメント: 説明

シャットダウンイベントの追跡ツールの既定の設定は、Windows Server 2003 では有効、Windows XP Professional では無効に設定されている。有効/無効の切替はグループポリシーで設定する。

○ 操作手順
1. グループポリシーエディタで任意のグループポリシーコンソールを起動する
2. 左ペインから[コンピュータの構成]→[管理用テンプレート]→[システム]を開く
3. 右ペインで、[シャットダウンイベントの追跡ツールを表示する]をダブルクリックする
4. [設定]タブで[有効]または[無効]を選択し、[OK]ボタンをクリックする

【参照】 マイクロソフト Windows Server 2003
          マイクロソフト 技術情報 293814
          ITmedia
          MYCOM

補足
posted by w@ko at 22:58|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月25日

Windows Server 2003 シャットダウンダイアログで OK ボタンがクリックできない

Windows Server 2003 の[Windows のシャットダウン]ダイアログで[OK]ボタンがグレーアウトしていてクリックできない場合がある。こうなると、一見システムをシャットダウンできないように見える。

shutdown1.JPG

Windows Server 2003 では既定で「シャットダウンイベントの追跡ツール」が有効になっている。この機能が有効である場合、シャットダウンの理由をログに記録するため、シャットダウン時に適切な理由を記録しないとシャットダウンができない。

シャットダウン時のオプションとしては、既定で「その他 (計画済)」が選択されている。この場合、「説明」の記述が必須となるため、[OK]ボタンがグレーアウトしている。

○ 操作手順
[オプション]ドロップダウンリストから「その他」以外の適切なオプションを選択する
[オプション]ドロップダウンリストに適切な選択肢が見当たらない場合、「その他」を選択し、[説明]ボックスにその理由を入力する

なお、シャットダウンイベントの追跡ツールを無効にすることも可能である。


posted by w@ko at 22:23|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月24日

Windows NT/2000/XP/2003 ブートディスクの作成方法

あらかじめ緊急起動用のブートディスクを作成しておくことで、緊急時に備えることが可能である。

○ 操作手順
1. 空のフロッピーディスクをフロッピードライブに挿入し、ディスクをフォーマットする
2. コンピュータのシステムパーティションのルートフォルダ(C:¥ など)から、次のファイルをフロッピーディスクにコピーする
  Ntldr
  Ntdetect.com
  Boot.ini
  Bootsect.dos(システムパーティションに存在する場合: デュアルブート環境に存在)
  Ntbootdd.sys(システムパーティションに存在する場合: SCSI ブート環境に存在)

これらのファイルを表示、コピーさせるには、ファイルから隠し属性、システム属性、および読み取り専用属性を解除しなければならない場合がある。

また、boot.ini ファイルは、任意に作成することが可能である。特にドライブの構成が異なる環境で使用する場合は、その中の記述を書き換える必要がある。詳細は以下の情報を参照。

【参照】 マイクロソフト 技術情報 101668 / 325879

posted by w@ko at 21:31|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月21日

Windows NT ユーザーの一覧を抽出する方法

Windows NT でもユーザーの一覧をテキストに抽出することができる。ただし、Windows 2000 以降と異なり、Windows NT のユーザーマネージャプログラムにはユーザーのリストを出力する機能はない。そのため、コマンドを使用して出力を行う。

○ 操作手順

具体的には以下のコマンドを実行する。

    net user [/domain] > {ファイルパス}

「net user」とのみ入力すると、ユーザーの一覧が表示される。そこでは、ドメインコントローラ以外のコンピュータの場合はローカルユーザーを、ドメインコントローラの場合はドメインユーザーを表示する。ドメインに参加しているワークステーションの場合、「/domain」パラメータ(実際のドメイン名には置き換えない)をつけることでドメインユーザーを表示する。「>」の後ろにファイルのパスを指定することで、この一覧をファイルに出力できる。

たとえば、ドメインワークステーション上からドメインユーザーの一覧をCドライブの「userlist.txt」に出力する場合は、次のように入力する。

    net user /domain > c:¥userlist.txt

posted by w@ko at 23:33|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月20日

Windows 2000/XP/2003 ユーザーの一覧を抽出する方法

Windows 2000/XP/2003 では、ユーザーの一覧をテキストに抽出することができる。

抽出するテキストの形式は、Shift-JIS もしくは Unicode のいずれかで、タブ区切りまたはコンマ区切り(CSV 形式)が選べる。

○ ローカルユーザーの一覧の抽出方法
1. [マイコンピュータ]右クリック→[管理](または[コントロールパネル]→[管理ツール]→[コンピュータの管理])を開く
2. [システムツール]→[ローカルユーザーとグループ]を展開し、一覧を抽出したい[ユーザー]もしくは[グループ]を選択し、右クリックする
3. 表示されたメニューから[一覧のエクスポート]を選択する
○ ドメインユーザーの一覧の抽出方法

ドメインの場合、抽出は OU 単位となる。

1. [スタート]→[プログラム](または[すべてのプログラム])→[管理ツール]→[Active Directoryユーザーとコンピュータ]を開く
2. [ユーザー]コンテナ、または目的のOUを選択し、右クリックする
3. 表示されたメニューから[一覧のエクスポート]を選択する

同様の要領で、グループ、共有(以上、ローカル/ドメイン共通)、コンピュータ、プリンタなど(以上、ドメインのみ)の一覧の抽出も可能である。

【参照】 日経 BP Windows 2000 ソリューション Tips

posted by w@ko at 21:57|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月19日

Windows 2000/XP Windows NT ドメインに参加できない

ルータを隔ててセグメントの異なるネットワークが存在し、その一方のネットワークが Windows NT を中心に構成されている場合、もう一方で Windows 2000/XP を使用して Windows NT 側のネットワークに接続すときに問題が出る場合がある。具体的には以下のような症状である。

Windows NT 側のネットワークが参照(ブラウズ)できない
Windows NT 側のネットワークへアクセス(名前解決)できない
Windows NT ドメインに接続できない
Windows NT ドメインに参加できない
Windows NT ドメインにログオンできない

上記の場合、いずれも多くは「ドメインコントローラが見つかりません」「ドメインに接続できません」などのエラーメッセージが表示される。

物理的な接続に問題がない場合であれば、NetBIOS 名の名前解決に問題がある場合がある。名前解決方法として lmhosts ファイルを使用している場合、その記述に問題があると別セグメントのドメインを正しく認識できない。

○ 操作手順

lmhosts ファイルを使用して別セグメントのドメインの名前解決を行うためには、接続を行うクライアントで以下のように設定する。

1. コンピュータの管理者権限のあるユーザーでログオンする
2. [エクスプローラ]または[マイコンピュータ]などから以下のパスにアクセスする
    %Systemroot%¥System32¥drivers¥etc
3. lmhosts ファイルが存在する場合は、「メモ帳」などのテキストエディタで開く。存在しない場合は新たに「lmhosts」(拡張子なし)という名前でファイルを新規作成した上で、テキストエディタでファイルを開く
4. lmhosts ファイル内に以下のように記述されているか確認し、されていない場合は追加、または訂正する
    PDC の IP アドレス<tab>PDC のコンピュータ名<tab>#DOM:ドメイン名<tab>#PRE
PDC の IP アドレス<tab>"ドメイン名    ¥0x1B"<tab>#PRE
  <tab> とあるところはタブで区切る。
  2行目の「"」で括った場所は、20 バイト固定で記述する必要がある。ドメイン名と「¥0x1B」を合わせて 20 バイトに達しない場合は、ドメイン名と「¥」の間を、足りないバイト数分のスペースで埋める必要がある。
  《記述例》
    192.168.1.1     SERVER01        #DOM:DOMAIN1 #PRE
192.168.1.1     "DOMAIN1        ¥0x1B"  #PRE
5. ファイルを保存し、閉じる
6. コマンドプロンプトを開く
7. 以下のコマンドを入力し、[Enter]キーを押す
    nbtstat -R
8. コマンドプロンプトを閉じる

【参照】 マイクロソフト 技術情報 150800 / 180094 / 314108
          Windows FAQ.

posted by w@ko at 22:34|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月18日

Windows XP Windows NT ドメインにログオンできない

Windows XP Professional クライアントが Windows NT 4.0 ドメインにログオンできないことがある。以下のようなメッセージが表示される。

ドメインに接続できません。ドメインコントローラがダウンしているか利用できない状態になっている、またはコンピュータアカウントが見つからなかったことが原因として考えられます。

この場合、ドメインのドメインコントローラには以下のイベントが記録されることがある。

種類 : エラー
ソース : NETLOGON
イベント ID : 5723
説明 : コンピュータ コンピュータ名 からのセッション設定は、このコンピュータのセキュリティデータベースに信頼アカウントがないため失敗しました。セキュリティデータベースで参照されたアカウントの名前は コンピュータ名$ です。

一方、同様にクライアントコンピュータには以下のイベントが記録されることがある。

種類 : エラー
ソース : NETLOGON
イベント ID : 3227
説明 : ドメイン ドメイン名 の Windows NT または Windows 2000 のドメインコントローラ ¥¥サーバー名 のセットアップセッションは失敗しました。¥¥サーバー名 はネットログオンセッションの署名、封印をサポートしていないためです。ドメインコントローラをアップグレードするか、このコンピュータの RequireSignOrSeal のレジストリエントリを 0 に設定してください。

Windows XP では、既定でセキュリティで保護されたチャネルで署名または暗号化を行う。この場合、すべてのセキュリティチャネルトラフィックの署名または暗号化ができないドメインコントローラに対してセキュリティチャネルを確立できない。

Windows NT 4.0 Service Pack 3 以前のコンピュータは、すべてのセキュリティチャネルトラフィックの署名または暗号化ができないため、このコンピュータがドメインコントローラである場合、Windows XP クライアントからのセキュリティチャネルを確立することができず、結果ドメインへのログオンに失敗する。ドメインコントローラでこの設定を有効にするには、信頼できるドメインのすべてのドメインコントローラが、すべてのセキュリティチャネルの署名または暗号化に対応している必要がある。

この問題を解決するには、以下のいずれかの方法で対処を行う必要がある。

参加しているドメインのすべてのドメインコントローラを Windows NT 4.0 Service Pack 4 以降にする
Windows XP クライアントで、すべてのセキュリティチャネルに対する署名または暗号化設定を無効にする
○ 操作手順

Windows XP Professional でセキュリティチャネルの署名または暗号化設定を変更する方法は以下の通りである。

1. ローカルポリシーエディタを開く
2. 左ペインから[コンピュータの構成]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]を開く
3. [ドメインメンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する]ポリシーをダブルクリックする]
4. [無効]を選択し、[OK]ボタンをクリックする

【参照】 マイクロソフト 技術情報 318266 / 418539
          Windows FAQ.

posted by w@ko at 23:19|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月14日

Windows 95/98/Me Windows NT/2000/XP/2003 の共有フォルダが参照できない

Windows 95/98/Me のコンピュータから Windows NT/2000/XP/2003 コンピュータ上に設定された共有フォルダがネットワークコンピュータまたはマイネットワーク、もしくは net view コマンドで参照できない場合がある。

これは、Windows 9x 系コンピュータではネットワーク上の共有名は 12 バイトまでしか認識されない仕様となっているためである。そのため、Windows NT 系コンピュータに設定された 13 バイト以上の共有名を持つ共有は参照できない。ただし、参照はできなくてもアクセスは可能である。つまり、Windows 9x 系に対してのみ隠し共有として存在していると見なせる。

各 Windows で設定、および認識可能な共有名の長さは以下の通りである。

OS 共有名の長さ(バイト)
Windows NT
Windows 2000
Windows XP
Windows Server 2003
1〜80
Windows 95
Windows 98
Windows Me
1〜12
○ 解決方法

Windows 9x 系から参照させたい場合は、共有名を 12 バイト以下に設定する。

参照せずとも直接アクセスしたい場合は、隠し共有に接続する場合と同様の方法をとる。

posted by w@ko at 22:32|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月13日

Windows NT/2000/XP/2003 管理共有を無効にする方法

Windows NT/2000/XP/2003 では既定でいくつかのフォルダが共有されている。これらは「管理共有」(「デフォルト共有」「管理用共有」)と呼ばれるもので、管理者やプログラム、およびサービスがコンピュータ環境やネットワーク管理をする必要性から設定されるものである。その多くは「隠し共有」として設定される。

管理共有には以下のものがある。環境によって設定される共有は異なる(各項目参照)。また Windows XP の場合、「簡易ファイルの共有」が有効になっている場合は管理共有は作成されない。ただし Professional の場合は一度簡易ファイルの共有を無効にすると、再度有効にしても簡易共有は解除されずそのまま残る。

DriveLetter$ ハードディスクのルートドライブ
ドライブ名 + $(「C$」や「D$」など)の共有名で共有される
ADMIN$ %Systemroot%
コンピュータのリモート管理時に使用
PRINT$ %Systemroot%¥system32¥spool¥dirvers
プリンタのリモート管理時に使用(プリンタ共有時のみ設定)
FAX$ FAX 通信時に FAX クライアントによって使用されるサーバー上の共有ファイル(FAX 共有時のみ設定)
SYSVOL ドメインコントローラ間におけるドメイン情報の複製に使用(Windows 2000 Server および Windows Server 2003 のドメインコントローラのみ設定)
NETLOGON グループポリシーやシステムポリシー、スクリプトの配布に使用(ドメインコントローラのみ設定)

Windows 2000/XP/2003 では、ルートドライブや ADMIN$ はエクスプローラ上で共有のアイコン表示にはならない。

上記の他、IPC$ という共有も既定で作成される。こちらはプロセス間の通信を行うための共有だが、管理共有には分類されず、また管理共有とは異なり削除することはできない。

管理共有を残しておくことは、セキュリティ上のリスクを常に抱えていることとなる。特に、Administrator アカウントのパスワードを知られてしまうと、ディスクが外部からすべて丸見えになってしまう可能性がある。オフラインファイルや Systems Management Server(SMS)など、一部管理共有があることを前提に動作する機能やアプリケーションを使用しているような場合を除いては、セキュリティを向上させるために管理共有を削除することが望ましい。

管理共有の設定を変更することは通常できない。共有を解除することはできるが、システムを再起動すると元に戻る。また共有アクセス権の設定も変更できない。アクセス権を設定しようとすると以下のメッセージが表示される(Windows のバージョンによって若干表現は異なる場合がある)。

共有
このリソースは管理のために共有されています。アクセス許可は設定できません。
○ 操作方法

管理共有を削除するには、レジストリを操作する。

1. レジストリエディタを起動する
2. 以下のキーを開く
  HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥LanmanServer
  ¥Parameters
3. メニューから[編集]→[新規]→[DWORD 値]を選択し、新規エントリを作成する
4. エントリの名前を以下のものに変更する
 
OS エントリ名
Windows NT Server
Windows 2000 Server ファミリ
Windows Server 2003
AutoShareServer
Windows NT Workstation
Windows 2000 Professional
Windows XP Professional
AutoShareWks
5. 新規作成した「Administrator」エントリをダブルクリックし、[値のデータ]に「0」と入力して[OK]ボタンをクリックする
6. レジストリエディタを閉じ、Server サービスを再起動する

※ レジストリ操作は自己責任の範囲下において操作願います。

【参照】 マイクロソフト 技術情報 816524 / 879975
          @IT Windows TIPS 「デフォルト共有(管理共有)を停止させる方法」
          IT media Windows Tips 「管理共有を無効にしたい」
          MYCOM ジャーナル Windows XP スマートチューニング 「デフォルト管理共有を無効にする」
          Windows FAQ.

posted by w@ko at 23:20|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月12日

Windows 隠し共有にアクセスする方法

ネットワーク上の隠し共有にアクセスするには、ネットワークコンピュータあるいはマイネットワークからアクセスできないため、別の方法でアクセスする必要がある。

○ 操作方法

隠し共有にアクセスする方法は主に以下の2つある。

目的の共有フォルダのパス(UNC)を直接指定する
  [スタート]→[ファイル名を指定して実行]の[名前]ボックスにパスを指定する
  エクスプローラの[アドレス]ボックスにパスを指定する
目的の共有フォルダをネットワークドライブとして割り当てる
posted by w@ko at 23:17|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月11日

Windows 隠し共有を作成する方法

共有リソースネットワークタ上に表示させなくするには、「隠し共有」を使用する。隠し共有に設定されたリソースは、マイネットワークやネットワークコンピュータ、または net view コマンドでは表示されない。

システム上には既定で隠し共有がいくつか存在している。これらは Windows 動作上の必要性から設定されているもので、「管理共有」と呼ばれる。

○ 操作手順

共有設定時に共有名の末尾に半角の「$」をつけることによって、隠し共有となる

    例) shared$

【参照】 マイクロソフト 技術情報 314984

posted by w@ko at 22:33|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月10日

Windows 2000/XP/2003 アクセス権を変更させずにファイルをコピーする方法

NTFS ファイルシステム上のファイルまたはフォルダを移動あるいはコピーすると、コピーまたは移動元で設定されていたアクセス権設定がそのまま保持される場合と変更される場合がある

本来変更されるような場合でも変更させずに元のアクセス権を保持したまままたはコピーするには、xcopy コマンドを使用する

○ 操作方法

具体的には、xcopy コマンドで /O オプションを使用する。

  xcopy コピー元ファイルパス コピー先ファイルパス /O

【参照】 日経 BP Windows 2000 ソリューション Tips
            「NTFS アクセス権も含めてファイルをコピーする方法」

posted by w@ko at 22:32|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月07日

Windows 2000/XP/2003 NTFS アクセス権が設定ができない

フォルダまたはファイルのプロパティでアクセス権を設定するために[セキュリティ]タブを開くと、[アクセス許可](または[ユーザー名グループ名のアクセス許可])ボックスの[許可]や[拒否]のチェックボックスがグレーアウトしていて設定できない場合がある。

NTFS ファイルシステムでは、既定で「継承」が有効となっている。このため、上位のフォルダのアクセス権がそのまま下位オブジェクトに設定されている。チェックボックスがグレーアウトしているのは、継承が有効であることを示している。

○ 対処方法

継承が有効なフォルダまたはファイルに対してアクセス権を設定するには、以下の3通りの方法がある。

親オブジェクトのアクセス許可を変更する
反対のアクセス許可(例えば、継承によって[許可]が有効な場合、[拒否])を有効にして、継承されたアクセス許可を上書きする
  アクセス権の優先順位に注意
継承を無効にする

継承を無効にする場合の設定方法は以下の通り。

1. 継承を無効にしたいフォルダまたはファイルのプロパティを開き、[セキュリティ]タブを開く
2. 以下のチェックボックスのチェックを外す
  Windows 2000
    [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする]
  Windows XP Professional
    [詳細設定]→[子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める]
  Windows Server 2003
    [詳細設定]→[親から継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているもに含める]
3. [セキュリティ]メッセージダイアログが表示されるので、適切なボタンを選択する
  [コピー]: 現在継承によって設定されているアクセス権がそのまま残され、これを元に設定ができる
  [削除]: 現在継承によって設定されているアクセス権がすべてクリアされ、真っ新な状態から設定ができる

【参照】 マイクロソフト Windows Server 2003 ヘルプ 「継承されたアクセス許可を変更する」
          Windows Server World ONLINE 「アクセス権完全掌握マニュアル Part3」

posted by w@ko at 23:50|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月06日

Windows NT/2000/XP/2003 フォルダ/ファイルのコピー/移動と NTFS アクセス権

NTFS ドライブ上において、ファイル、またはフォルダを移動、またはコピーする場合、条件によってアクセス権設定が変更される場合とそのまま保持される場合とがある。

  コピー 移動
同一ドライブ内 ×
別ドライブ間
アクセス権設定が変更される(移動/コピー先の上位フォルダのアクセス権設定を継承)
× アクセス権設定は変更なし(移動前のアクセス権設定を保持)

上記の動きは、実際にオブジェクトに対して行われる処理内容を考えるとわかりやすい。

基本的に、新規に作成されたオブジェクトは、上位フォルダのアクセス権設定を継承する。コピーの場合は新規オブジェクトの作成として処理されるため、コピー前のアクセス権設定は保持されずコピー先のアクセス権が継承され、結果としてアクセス権が変更されたように見える。移動の場合、同一ドライブ内であればファイルパスの変更処理に留まるため、アクセス権設定は保持される。別ドライブへの移動の場合は、移動元ドライブでのオブジェクトの削除と移動先ドライブでの新規オブジェクトの作成として処理されるため、アクセス権は保持されない。

xcopy コマンドを使用することによってアクセス権を保持したままのオブジェクトのコピーが可能である。

posted by w@ko at 21:42|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月05日

Windows NT/2000/XP/2003 NTFS アクセス権と共有アクセス権との違い

○ NTFS アクセス権と共有アクセス権の違い

NTFS アクセス権と共有アクセス権には以下のような違いがある。

  NTFS アクセス権 共有アクセス権
ファイルシステム NTFS のみ 制限なし
制限対象 ローカルアクセス ×
リモートアクセス
権限の種類 詳細な設定が可能 フルコントロール、変更、読み取りのみ
サブオブジェクトに対する設定 個別設定可能 全オブジェクト共通
○ アクセス権設定のガイドライン

NTFS ファイルシステムでは NTFS アクセス権、および共有アクセス権いずれを使用してもアクセス権設定ができる。ただし、管理の煩雑化を避けるためにも、いずれか一方のみで行うことが望ましい。その中でも、上記に挙げた特徴などから NTFS アクセス権をメインに使用することが推奨されている。

この場合、使用しない方の共有アクセス権は一切の制限を取り除くため、「Everyone」グループに対し「フルコントロール」権限を与えておく。ただし、Windows XP および Windows Server 2003 では既定で「読み取り」権限しか付与されないため、注意が必要である。

posted by w@ko at 23:54|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月04日

Windows NT/2000/XP/2003 アクセス権の置き換えと継承

○ 既定のアクセス権
Windows NT
  新規で作成したオブジェクトは既定で親フォルダのアクセス権がコピーされる
  Windows NT には継承の概念がない
Windows 2000 / Windows XP / Windows Server 2003
  新規で作成したオブジェクトは既定で親フォルダのアクセス権を継承する
○ 親フォルダにおける、子オブジェクトに対するアクセス権の置き換え(継承の強制)
Windows NT
  対サブディレクトリ ⇒ [サブディレクトリのアクセス権を置き換える]
  対ファイル ⇒ [既存ファイルのアクセス権を置き換える]
Windows 2000
  [詳細設定]→[すべての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるようにする]
Windows XP / Windows Server 2003
  [詳細設定]→[子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリで子オブジェクトに適用するもので置換する]
○ 子オブジェクトにおける、親オブジェクトからの継承の有効化/無効化
Windows 2000
  [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする]
Windows XP
  [詳細設定]→[子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める]
Windows Server 2003
  [詳細設定]→[親から継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているもに含める]
posted by w@ko at 22:47|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

2006年07月03日

Windows NT/2000/XP/2003 アクセス権の優先順位

○ 共有アクセス権、または NTFS アクセス権それぞれの中でのアクセス権の優先順位
Windows NT
  それぞれの中で、より制限の厳しい権限を優先(下図において下位の権限を優先)
  auth_nt.JPG
  NTFS アクセス権の「読み取り」と「追加」は権限が重ならないため優劣はなく、それら2つのアクセス権を与えると両方有効になる
  各アクセス権の権限の内容
 
Windows 2000 / Windows XP / Windows Server 2003
  (1) 「拒否」が最優先
  (2) 「許可」の中で、より制限の緩い権限を優先(下図において上位の権限を優先)
  auth_2x3.JPG
  NTFS アクセス権の「読み取り」と「書き込み」は権限が重ならないため優劣はなく、それら2つのアクセス権を与えると両方有効になる
  各アクセス権の権限の内容
○ 共有アクセス権と NTFS アクセス権との間のアクセス権の優先順位
共有アクセス権でのアクセス権と NTFS アクセス権でのアクセス権を比べてより制限が厳しい権限を優先
posted by w@ko at 21:11|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。