質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.77%

Windowsの共有フォルダ内のフォルダ・ファイルにSYSTEM権限で実行されるプログラムでアクセスしたい

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 7,746

paul

score 21

前提・実現したいこと

クライアントからファイルサーバの共有フォルダへ、SYSTEM権限で動作するプログラムでアクセスしたいと考えております。
ここでいうアクセスしたいとは、その共有配下に存在するフォルダ内のファイルを読み取ることを指しています。
※プログラムはC# .NETで作成し、サービスプログラムから実行しています。

困っていること 解決したいこと

共有配下に存在するフォルダのNTFSアクセス権にSYSTEM権限の
「フルコントロール」の許可を設定しても、ファイルを見つけることができなくて困っております。

気づき

共有配下に存在するフォルダのNTFSアクセス権にEveryoneの
・読み取りと実行
・フォルダーの内容の一覧表示
・読み取り
の許可を追加すると、ファイルを見つけることができるようになります。
→実はその作成したプログラムはSYSTEM権限で動いていない?
→.NETの System.Environment.UserNameプロパティにて取得し SYSTEMで実行されていることを確認

なお、セキュリティの観点から、Everyoneを追加はしたくないと考えております。
(通常ならSYSTEM権限で許可設定されていればSYSTEM権限でアクセスできると思っています。)

構築した環境について

・ファイルサーバ → Windows Server 2012 R2 Standard メモリ 4.00GB
・クライアント → Windows 7 Professional SP1 メモリ 3.00GB
・クライアントとファイルサーバは同じドメインに参加しています(AD)
・ファイルサーバのGuestアカウントは無効になっています

アクセス先のフォルダ構造(ファイルサーバ側)

D:.
└─AAAAA
   └─BBBBB
       └─Share ← 共有
           └─CCCCC
              └─TEXT.txt ← 見つけ出して読み取りたいファイル

それぞれのアクセス権設定

「AAAAA」

    NTFSアクセス権
    ・CREATOR OWNER
        ・特殊なアクセス許可
    ・SYSTEM
        ・フルコントロール
    ・Administrators(filesrv\Administrators)
        ・フルコントロール
        ・特殊なアクセス許可
    ・Users(filesrv\Administrators)
        ・読み取りと実行
        ・フォルダーの内容一覧表示
        ・読み取り
        ・特殊なアクセス許可

「BBBBB」

    NTFSアクセス権
        AAAAAと同じ(すべて継承)

「Share」

    NTFSアクセス権
    ・CREATOR OWNER
        ・特殊なアクセス許可
    ・SYSTEM
        ・フルコントロール
    ・Administrators(filesrv\Administrators)
        ・フルコントロール
    ・Users(filesrv\Administrators)
        ・特殊なアクセス許可
    ・Backup Operators(filesrv\Backup Operators)
        ・読み取りと実行
        ・フォルダーの内容の一覧表示
        ・読み取り

    共有アクセス権
    ・Users(filesrv\Administrators)
        ・フルコントロール

「CCCCC」

    ・CREATOR OWNER
        ・特殊なアクセス許可
    ・SYSTEM
        ・フルコントロール
    ・Administrators(filesrv\Administrators)
        ・フルコントロール
    ・Backup Operators(filesrv\Backup Operators)
        ・読み取りと実行
        ・フォルダーの内容の一覧表示
        ・読み取り

「TEXT.txt」

    ・SYSTEM
        ・フルコントロール
    ・Administrators(filesrv\Administrators)
        ・フルコントロール
    ・Backup Operators(filesrv\Backup Operators)
        ・読み取りと実行
        ・読み取り

知りたいこと

・なぜフォルダやファイルにSYSTEM権限が付与されているにもかかわらず読み取ることができないのか。
・SYSTEM権限で実行されるプログラムでアクセス、ファイルを読み取るにはどうしたらよいか。
・クライアントにDomain Userでログインし、エクスプローラからファイルサーバの共有にアクセスしようとしても
認証が特に求められないのはAD環境でDomain Userでアクセスしているからか? (ローカル管理者だと認証を求められる)
・SYSTEM権限で動作するプログラムでアクセスしようとした場合、認証が必要か?

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • showkit

    2018/01/16 12:19

    一応確認ですが、共有フォルダ以外だったら読めるのですよね? もう一点「「フルコントロール」の許可を設定しても、ファイルを見つけることができ」ないというのは、検索でエラーなのですか、権限エラーと判断するにはそれなりのエラーメッセージが出力されているのでしょうか?

    キャンセル

  • paul

    2018/01/16 12:31 編集

    クライアント、ファイルサーバそれぞれ別のマシンですので、共有フォルダ以外となるとローカルの話だと解釈して話を進めます。ローカルのフォルダに同様のファイルを配置し、参照先をそのフォルダに変更し実行したところ、ファイルを見つけることができ、また読み取ることができました。権限設定は「CCCCC」フォルダと同じです。 2点目、説明不足で失礼いたしました。検索エラーです。 .NETのFileクラスのFile.Exist()メソッドで有無を確認しています。例外が発生するわけでもなく、単純にFalseが返されるためファイルが存在しない→フォルダの内容を参照できない状態にあると考えました。(アクセス拒否だった場合、例外が発生) そう考えますと、ご指摘の通り権限エラーと断定するのは浅はかかもしれません。ちなみに、この状態で「ccccc」フォルダのEveryoneの権限を付与するとTrue判定になるという状況です。

    キャンセル

  • showkit

    2018/01/16 12:42

    回答を書こうと思いましたが、over さんが記述したようなので・・・。over さんのおっしゃる通りであるかと思います。

    キャンセル

回答 1

checkベストアンサー

+1

試したことないので、想定の域を超えませんが・・・
Microsoftでは「SYSTEMはビルトイン・アカウントであり、各ローカルに用意されたアカウント」とあります。
共有に設定したSYSTEMに対しての権限付与は、共有サーバローカルのSYSTEMに対しての評価であり、接続元SYSTEMの評価ではないような気がします。

Active Directory サーバ上のSYSTEMアカウントであれば、該当ドメイン参加のMS製品OSに対してSYSTEMで接続できるようです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/16 15:00

    overさん

    同じSYSTEMではなく、マシンそれぞれのローカルSYSTEM権限ということで理解いたしました。
    回答ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.77%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • トップ
  • C#に関する質問
  • Windowsの共有フォルダ内のフォルダ・ファイルにSYSTEM権限で実行されるプログラムでアクセスしたい