none
最小限のアクセス権を持つユーザの作成 RRS feed

  • 質問

  • 皆様お世話になります。

    最小限のアクセス権を持つユーザーとして,C:\Windows や C:\Program Files 等,アプリケーションを実行するのに必要なフォルダは読取アクセス可,C:\ 直下に他のユーザーが作成したフォルダにはアクセス禁止のユーザを作りたいと考えています。

    Users グループに属さないユーザを作成し,必要なフォルダのみ個別にアクセス権を与えれば良いと考えていましたが,Users グループに INTERACTIVE が入っているため,思い通りにはなりませんでした。

    そもそも,C:\Windows や C:\Program Files は,Administrator でもアクセス権を変更する権限がありません。
    もちろん所有権を取得すれば変更できますが,普通に考えて,やるな,と解釈できます。

    Guest を使用し,C:\ に対する Users のアクセス権を「読取と実行,このフォルダのみ」に変更すれば,目的のアクセス権を実現できますが,1個しかないビルトインアカウントを今回の目的で使用するのはできれば避けたいと考えています。

    何か良策があればお願いいたします。
    2019年8月7日 14:37

回答

  • M14Clusterさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    投稿いただいた内容を拝見しますと、Guest以外に最小限のアクセス権をを持つユーザの作成する事は難しいと思われますが、

    可能であれば、もう少し質問者さんご自身で状況の整理や問題点を絞っていただければ他のユーザー様よりのご意見が集まりやすくなります。

     

    どうぞよろしくお願いいたします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 回答としてマーク M14Cluster 2019年8月9日 23:53
    2019年8月9日 2:18
    モデレータ
  • 自作自演で済みません。

    制限したい任意のユーザ・グループのアクセス権を C:\ に対して次のように分けて拒否設定すれば済む話でした。

    (1) C:\ このフォルダーのみ  読み取り以外拒否

        → C:\ を拒否すると動かないアプリがあります。少なくとも Acrobat Reader は動きません。

    (2) C:\ サブフォルダーのみ 全て拒否

        → 他のユーザが作成したフォルダーへのアクセスを拒否します。
        → C:\Program Files、C:\Windows、C:\Users は C:\ を継承していないので影響ありません。

    あと、C:\Users\Public を忘れていましたが、これも拒否します。

    これにより、制限されたユーザー自身のホームとプログラムしかアクセスできないようになります。
    (C:\ProgramDataは要確認)


    Guest を使うには secpol.msc も触らないといけなかったので、新規に作成したユーザを使用する方が好都合です。

    お騒がせしました。

    2019年8月14日 10:40

すべての返信

  • M14Clusterさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    投稿いただいた内容を拝見しますと、Guest以外に最小限のアクセス権をを持つユーザの作成する事は難しいと思われますが、

    可能であれば、もう少し質問者さんご自身で状況の整理や問題点を絞っていただければ他のユーザー様よりのご意見が集まりやすくなります。

     

    どうぞよろしくお願いいたします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 回答としてマーク M14Cluster 2019年8月9日 23:53
    2019年8月9日 2:18
    モデレータ
  • Farenaさんコメントありがとうございます。

    何が良くて何をしてはいけないのか、私ももやもやしています。

    システムの動作に支障を来たさない事は必須ですが、「何故こんな変なことをしたのだ」と後で誰かから文句を言われないという条件が難しいです。

    腹をくくって Guest を使うことにします。

    ありがとうございました。


    2019年8月9日 23:53
  • 自作自演で済みません。

    制限したい任意のユーザ・グループのアクセス権を C:\ に対して次のように分けて拒否設定すれば済む話でした。

    (1) C:\ このフォルダーのみ  読み取り以外拒否

        → C:\ を拒否すると動かないアプリがあります。少なくとも Acrobat Reader は動きません。

    (2) C:\ サブフォルダーのみ 全て拒否

        → 他のユーザが作成したフォルダーへのアクセスを拒否します。
        → C:\Program Files、C:\Windows、C:\Users は C:\ を継承していないので影響ありません。

    あと、C:\Users\Public を忘れていましたが、これも拒否します。

    これにより、制限されたユーザー自身のホームとプログラムしかアクセスできないようになります。
    (C:\ProgramDataは要確認)


    Guest を使うには secpol.msc も触らないといけなかったので、新規に作成したユーザを使用する方が好都合です。

    お騒がせしました。

    2019年8月14日 10:40