teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップWindows 10に関する質問
Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

バッチファイル

バッチファイル(Batch File)は、Windowsのコマンドラインインタープリターによって複数のコマンドを実行させる事が出来るスクリプトファイルです。

Q&A

解決済

1回答

3777閲覧

Windowsのローカルフォルダで特定のユーザまたはグループのみにアクセスを許可したい

dai3922
dai3922

総合スコア34

Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

バッチファイル

バッチファイル(Batch File)は、Windowsのコマンドラインインタープリターによって複数のコマンドを実行させる事が出来るスクリプトファイルです。

0グッド

0クリップ

投稿2019/04/26 07:32

編集2019/05/07 06:44

0

0

社内の各PCのCドライブ直下に管理者用のフォルダを設けたいと考えています。
管理用プログラムのソースコードなどが含まれているため、改変や削除はおろか閲覧をクライアントユーザにさせたくなく、管理者用ユーザ(3つほどあります)以外はそのフォルダへのアクセスを拒否したいです。

そこで、管理者用ユーザまたは管理者用ユーザだけが所属するグループを作成し、icaclsコマンドを使用したアクセス権の設定を考えましたが、うまくいきません。
例えば、Usersグループで拒否してしまったら管理者用ユーザまで影響が及んでしまう、などです。

クライアントユーザは管理者権限を持っており、それぞれのPC内で今後も管理者権限にて別ユーザを作成する可能性があります。

そのため、今後のユーザ状況が影響することなく、現時点で決まった管理者用ユーザだけが将来に渡ってアクセス出来る設定としたいです。
可能でしょうか?
PCは全てWindows10 Professionalです。

2019/05/07 追記
運用改善を図りました。
クライアントユーザはこれまで管理者権限を保持しておりましたが、今回見直しを図り全て標準ユーザとしました。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

over
over

2019/04/26 07:53

ドメイン環境でしょうか? > 管理者用ユーザ(3つほどあります) 該当ユーザのみのアクセス権とするか、該当ユーザのみのグループを作成し、該当グループのみのアクセス権とするかで実現できると思います。 もし、上記が実現できない環境というのであれば、そちらをご記載頂かないと適切な回答が得られない気がします。
dai3922
dai3922

2019/04/26 08:36

いつもご回答、助けて頂きありがとうございます。 Active Directoryのことでしょうか?もしそうでしたらドメイン環境ではありません。 例えばC:\testというフォルダを今回の管理者専用のフォルダにしたい場合、 管理者以外のユーザはどの様に拒否設定を行えば良いでしょうか? ローカルフォルダを作成した場合、最初は全てのユーザがアクセスすることが出来ますが、そこからどの様に「管理者以外のユーザ」「今後作られるユーザ」を排除すれば良いか分かりません。 現時点の「管理者以外のユーザ」は既知としてテキストベースのリストがあるためicacls /denyコマンドで拒否できますが、「今後作られるユーザ」はリストには存在しないため、ここで止まっている状況です。
over
over

2019/04/26 08:56

デフォルトでは、ディレクトリ作成時、作成したユーザ、administrators、systemの権限が付与されるはずです。こちら、操作許可ユーザ/グループのみにしてsystem以外を削除すれば良いと思います。 ただし、他の回答者様の通り、administratorsに所属しているユーザは、どうにかするとそのディレクトリへのアクセス権を得ることが可能なので解決にはなりませんね。運用設計を考える必要ありです。
dai3922
dai3922

2019/05/07 06:46

ご回答有り難うございます。 ご指摘を頂戴し、クライアントユーザは全て標準ユーザとしました。 ひとまずここからご指摘の設定を行ってみます。
dai3922
dai3922

2019/05/07 08:02

やりたいことが実現しました。 ベストアンサーでの回答にて詳細をご説明致しますが、over様のご指摘頂いた様に不要ユーザ(グループ)の削除とログインさせたいユーザを個別指定することで実現が出来ました。 とても助かりました。 いつもありがとうございます。
guest

回答1

0

ベストアンサー

アクセス権限を付与するユーザー(グループ)のみ権限を与えれば、大筋で実現可能です。
ただし、管理者権限を持った権限を持たないユーザーは、所有権を取得可能なため根本的な解決にはなりません。

contoso\jsmithだけにフルコントロールを与えた場合

CMD
1c:\>icacls c:\secret
2c:\secret contoso\jsmith:(OI)(CI)(F)

投稿2019/04/26 08:10

編集2019/04/26 08:23
Y.H.
Y.H.

総合スコア7918

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dai3922
dai3922

2019/05/07 08:17

ご回答頂きありがとうございました。 お二方に助言を頂きまして、下記の許可・拒否のコマンドを登録したところ目的のことが実現できました。 もう一方のover様にご指摘頂いたフォルダ作成した直後、デフォルトでは「作成したユーザ、administrators、system」の3者でアクセスが可能とありましたが、「Authenticated Users」も含めてフォルダのプロパティに表示されていた不要なグループを削除したところ実現が出来ました。 とても助かりました。ありがとうございました。 =許可ユーザ= icacls C:\test /grant:r admintest:(OI)(CI)F =削除したグループ= icacls C:\test /remove:g administrators icacls C:\test /remove:g users icacls C:\test /remove:g "Authenticated Users"
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップWindows 10に関する質問

Windowsのローカルフォルダで特定のユーザまたはグループのみにアクセスを許可したい