none
icaclsコマンドを利用した所有権の変更について RRS feed

  • 質問

  • いつもお世話になっております。

    icaclsコマンドを利用した所有者の変更方法についてご教授をお願いいたします。

    現在、icaclsコマンドを利用してドメインのメンバサーバになっているサーバ内の共有フォルダに対して所有者の変更を実施したいと考えております。

    共有フォルダの環境は下記のようになっています。

    -------------------------------------------------------------------

    フォルダA

    セキュリティ:管理者ユーザー(DomainUsers):フルコントロール

                     フォルダ利用者(DomainUsers):フルコントロール

             ローカルAdministratorsグループ:フルコントロール

    所有者:管理者ユーザー

    -------------------------------------------------------------------

    上記環境にて管理者ユーザーが所有者をフォルダ利用者に変更するため、icaclsコマンドを実行すると「このセキュリティIDはこのオブジェクトの所有者として割り当てられていない可能性があります。」と表示されます。

    上記環境でDomainAdmins権限を保持しているユーザーでicaclsコマンドを実行した場合、意図とした形でフォルダ利用者が所有者に変更されます。

    しかし実際にicaclsコマンドを実行して所有者を変更するユーザーにDomainAdminsは付与したくないため、委任で限定した権限を付与したいのですが、権限的に何が必要かがわからず困っています。

    (試しに管理者ユーザーにBackupOperatorとAccoutOperatorを付与して実行してみましたが、同様のエラーが発生して駄目でした。)

    DomainAdminsではなく、権限を限定してユーザーに付与したい場合、どのような権限が必要かご教授お願いいたします。

    お手数おかけしますが、よろしくお願いいたします。

    • 移動 Mike Wang (MSCS) 2012年10月3日 10:07 (移動元:Windows Server 2008 R2 全般)
    2012年3月28日 5:22

回答

  • 権限そのものは以下の様な権限を持っていれば動作しますが、UACはどうなさいますか?
    icalcsコマンド自体が権限昇格しないと動きませんが……。

    Backup Operatorsに入れておけば、UACの昇格と「ファイルとディレクトリの復元」は取得できるので、あとは「ファイルとその他のオブジェクトの所有権の取得」を与えてください。
    そうすると、takeown /f ファイル名で所有者を取得できます。

    ファイルの所有権を移動させるためには、「ファイルとディレクトリの復元」
    http://technet.microsoft.com/ja-jp/library/cc736432(v=ws.10).aspx

    ファイルの所有権を受け取れるようになるためには「ファイルとその他のオブジェクトの所有権の取得」
    http://technet.microsoft.com/ja-jp/library/cc728330(v=ws.10).aspx

    • 回答の候補に設定 田中夢 2012年4月9日 7:38
    • 回答としてマーク 田中夢 2012年4月16日 4:33
    2012年3月28日 8:44
    モデレータ
  • >icaclsコマンドにて所有者の変更は可能でしょうか。

    たぶん無理です。所有権の取得はWindows OSにとってかなり上位の強烈な権限ですので、あまり簡単に渡せるようになってるとも思えません。
    #自分でやってみましたが無理でした。icaclsコマンド自体が結構高い権限要求します。具体的に絞り切れていません。

    あと、administratorsにしか割り当てられていない権限の権限名前は「所有権の取得」です。
    もし、委任される方が、第三者にたいして所有権を割り当てる必要がある場合、その第三者にも所有権の取得ができる権限が必要であり、セキュリティ上はあまりよろしくないとおもいます。徹底的になるのであれば、OU切って、そのOU内でセキュリティの権限を与えまくるGPOを割り当てることになると思うのですが、あんまり現実的では…
    #同じファイルサーバ内ということであれば、そのサーバーにアクセスする全員にこの権限を割り当てる必要が出てきてしまい、非常によろしくない状況になってしまうのではないかと。所有権のような緊急避難用に近い高位な権利を他人へ移す状況とはどういった状況なのでしょうか?

    • 回答の候補に設定 田中夢 2012年4月9日 7:38
    • 回答としてマーク 田中夢 2012年4月16日 4:33
    2012年3月29日 2:11
    モデレータ

すべての返信

  • 権限そのものは以下の様な権限を持っていれば動作しますが、UACはどうなさいますか?
    icalcsコマンド自体が権限昇格しないと動きませんが……。

    Backup Operatorsに入れておけば、UACの昇格と「ファイルとディレクトリの復元」は取得できるので、あとは「ファイルとその他のオブジェクトの所有権の取得」を与えてください。
    そうすると、takeown /f ファイル名で所有者を取得できます。

    ファイルの所有権を移動させるためには、「ファイルとディレクトリの復元」
    http://technet.microsoft.com/ja-jp/library/cc736432(v=ws.10).aspx

    ファイルの所有権を受け取れるようになるためには「ファイルとその他のオブジェクトの所有権の取得」
    http://technet.microsoft.com/ja-jp/library/cc728330(v=ws.10).aspx

    • 回答の候補に設定 田中夢 2012年4月9日 7:38
    • 回答としてマーク 田中夢 2012年4月16日 4:33
    2012年3月28日 8:44
    モデレータ
  • Chuki さん

    いつもご教授ありがとうございます。

    UAC自体はicaclsコマンドが実行できるよう設定します。

    今回所有者の変更は、変更を実施するユーザー、Administrators以外に変更するため、takeownコマンドではなくicaclsコマンドにて所有者を変更したいと考えています。

    仮にBackupOperatorをicaclsを実行するユーザーアカウントに付与し、「ファイルとその他のオブジェクトの所有権の取得」も与えた場合、icaclsコマンドにて所有者の変更は可能でしょうか。


    • 編集済み kzyokmt 2012年3月29日 1:51
    2012年3月29日 1:50
  • >icaclsコマンドにて所有者の変更は可能でしょうか。

    たぶん無理です。所有権の取得はWindows OSにとってかなり上位の強烈な権限ですので、あまり簡単に渡せるようになってるとも思えません。
    #自分でやってみましたが無理でした。icaclsコマンド自体が結構高い権限要求します。具体的に絞り切れていません。

    あと、administratorsにしか割り当てられていない権限の権限名前は「所有権の取得」です。
    もし、委任される方が、第三者にたいして所有権を割り当てる必要がある場合、その第三者にも所有権の取得ができる権限が必要であり、セキュリティ上はあまりよろしくないとおもいます。徹底的になるのであれば、OU切って、そのOU内でセキュリティの権限を与えまくるGPOを割り当てることになると思うのですが、あんまり現実的では…
    #同じファイルサーバ内ということであれば、そのサーバーにアクセスする全員にこの権限を割り当てる必要が出てきてしまい、非常によろしくない状況になってしまうのではないかと。所有権のような緊急避難用に近い高位な権利を他人へ移す状況とはどういった状況なのでしょうか?

    • 回答の候補に設定 田中夢 2012年4月9日 7:38
    • 回答としてマーク 田中夢 2012年4月16日 4:33
    2012年3月29日 2:11
    モデレータ
  • こんにちは。
    フォーラム オペレーターの田中夢です。

    Chuki さん
    いつも参考になるアドバイスをいただきありがとうございます。

    kzyokmt さん
    最後に投稿されてからしばらく経過しましたが、その後 Chuki さんからの投稿をご覧になっていただけましたでしょうか?

    今回のご質問につきましては、Chuki さんからのアドバイスを一つの情報として参考にしていただけたのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。


    今後とも TechNet フォーラムをよろしくお願いいたします。 
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2012年4月16日 4:33