- 1. 画面と使い方
- 1.1. 操作方法
- 1.1.1. 「追加」ボタンを押して、スキャン対象のフォルダを選択します。
- 1.1.2. ユーザ名の問い合わせをするサーバ名(ドメインコントローラ)を入力します。
- 1.1.3. 展開階層の深さを設定します。
- 1.1.4. 動作のオプションを選択します。
- 1.1.5. 結果が表示されました
- 1.2. 結果をエクスポートする
- 2. 出力結果
- 2.1. 出力結果の読み方
- 2.1.1. 1列目 パス名
- 2.1.2. 2列目 ファイル
- 2.1.3. 3列目 #:NoACLを構成するACE(エントリ)の連番
- 2.1.4. 4列目 タイプ
- 2.1.5. 5列目 ユーザ/グループ
- 2.1.6. 6列目 継承
- 2.1.7. 7列目 アクセス権
- 2.1.8. 8列目 フラグ(適用先)
- 2.1.9. 9列目 その他
- 2.2. 出力結果のグループ化
- 2.3. 「継承」について
- 2.4. 【参考】No=0のエントリの意義
- 3. CREATOR OWNERのアクセス制御エントリについて
- 4. ACLDump.exe の実行についての注意事項
画面と使い方
起動すると、下記のような画面がでます。対象フォルダの一覧を与えてチェックを実行します。 与えられたフォルダのサブフォルダは自動展開でき、ユーザ一覧には日本語名など説明文字列を付加できます。
操作方法
「追加」ボタンを押して、スキャン対象のフォルダを選択します。
フォルダを選択したら、OKボタンを押します。
複数選択する場合は、再度「追加」ボタンを押して操作してください。
ユーザ名の問い合わせをするサーバ名(ドメインコントローラ)を入力します。
スキャン対象フォルダがドメインコントローラ、またはローカルマシンに存在する場合は入力の必要はありません。
入力しない場合は、スキャン結果のユーザ、グループが SID で表示されます。
展開階層の深さを設定します。
一覧画面をクリックして、スキャンするフォルダ階層を設定してください。
動作のオプションを選択します。
- フォルダのみでなくファイルも表示する場合はチェック
- アクセス権表現ルールファイル : 通常は変更する必要はありません。
- 表示種別を選択します
- 全て表示
- アクセス権を親から継承しただけのファイル・フォルダは表示しない
- 親から継承していないアクセス権制御エントリのみを表示する
- 親フォルダと子フォルダのアクセス権差異チェックを厳密に行う場合には、チェック
- 動作のオプションを決定したら、「チェック」ボタンを押して、スキャンを開始します。
結果が表示されました
結果をエクスポートする
スキャン結果をエクセル、またはテキストファイルに書き出しする事ができます。画面下部の、「XLS書き出し」「TXT書き出し」ボタンを押してください。
※なお試用版(トライアル版)では、書き出し(エクスポート)機能は使えません。
出力結果
出力結果の読み方
各行に出力される結果について説明します。
1列目 パス名
ファイルもしくはフォルダのフルパスです。
2列目 ファイル
ファイルの場合は、チェックが入ります。
3列目 #:NoACLを構成するACE(エントリ)の連番
同一ファイルの中では、1から順に振られます。
親フォルダからACLを継承せず置換しているときは、特別に0番のエントリが出力されます。
【参考】No=0のエントリの意義
4列目 タイプ
許可のエントリと、拒否のエントリの別を表示します。
5列目 ユーザ/グループ
ユーザ名/グループ名を表示します。デコードできない場合はSIDのまま表示されます。
6列目 継承
親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。
親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。
上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。
7列目 アクセス権
F : フルコントロール
C : 変更
R : 読取
“” : なし
これら以外は「特殊なアクセスマスク」として扱われ、下記名称のカンマ区切り列挙となります。
ACLDumpの表示 | Windowsエクスプローラの表示 |
---|---|
exec | フォルダーのスキャン/ファイルの実行 |
read | フォルダーの一覧/データの読み取り |
read-attr | 属性の読み取り |
read-xa | 拡張属性の読み取り |
write | ファイルの作成/データの書き込み |
append | フォルダーの作成/データの追加 |
write-attr | 属性の書き込み |
write-xa | 拡張属性の書き込み |
del-child | サブフォルダーとファイルの削除 |
delete | 削除 |
read-acl | アクセス許可の読み取り |
write-acl | アクセス許可の変更 |
take-own | 所有権の取得 |
8列目 フラグ(適用先)
出 力 | 説 明 |
---|---|
このフォルダのみ | |
(OI)(CI) | このフォルダ、サブフォルダおよびファイル |
(CI) | このフォルダとサブフォルダ |
(OI) | このフォルダとファイル |
(OI)(CI)(IO) | サブフォルダとファイルのみ |
(CI)(IO) | サブフォルダのみ |
(OI)(IO) | ファイルのみ |
9列目 その他
出力結果の、ユーザ/グループ、アクセス権が、「?」で出力される場合があります。
これは、ACLDumpの実行ユーザが、該当フォルダ(ファイル)の、「アクセス許可の読み取り」権限を持たないことが原因です。
「管理者として実行」するなど、アクセス許可の読み取り権限を持つユーザでACLDumpを再起動して実行するか、該当フォルダに対する、アクセス許可の読み取り権限を付与することによって、正常な出力結果が表示されるようになります。
アクセス許可の読み取り権限を付与するには、フォルダの、プロパティ> セキュリティ(タブ) > 詳細設定 で設定変更してください。
出力結果のグループ化
各項目の結果ごとにグループ化して閲覧することができます。
スキャン結果の各行のタイトル部分を上部の灰色部分に、「ドラッグ&ドロップ」してください。
グループ化すると、画面最下部の、「全部畳む」「全部展開」ボタンが使えます。
必要に応じて使用してください。
「アクセス権」でグループ化された例です。
「継承」について
親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
- 親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
- 親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。
- 親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。
- 上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。
【参考】No=0のエントリの意義
親フォルダからACLを継承せず、置換しているファイル / フォルダを目立たせるために、あえて出力しています。将来的に、ACLDumpまたはシリーズ製品でACL書き換え機能を実装するときに、「ダミーエントリがあったら、ACLをクリアする(継承を切る)。+-のエントリがあったらエントリ(ACE)を追加する」という扱いにすることを想定しています。
CREATOR OWNERのアクセス制御エントリについて
ACL Dumpを用いると、親フォルダから継承していないアクセス制御エントリをリストアップすることが可能です。
親フォルダからACLを継承しただけの大部分のフォルダ・ファイルを一覧に出力しないようにできますが、ここで問題になるのが「CREATOR OWNER」にアクセス権を与える設定がなされている場合です。
たとえば、CREATOR OWNERについて「フルコントロール」アクセス権を与えるような設定がなされている場合、新しいフォルダをユーザ(例えばokada)が作成すると、作成されたフォルダのACLにはフォルダの作成者(okada)で「フルコントロール」権限が追加されます。
こうして追加された okada のアクセス制御エントリ(ACE)は、親フォルダから継承したエントリではありませんので、ACLDumpが出力する対象となってしまいます。
一定規模以上のファイルサーバを管理するならば、CREATOR OWNERに権限を与えるのは、良い考えとは言えません。
CREATOR OWNERにフルコントロールを与えるというルールによって出来てしまったACEを、一定のルール(継承元無しで、対象が「ファイルのみ」か「このフォルダのみ」で、フルコントロールを許可するACE)に基づいて、一括削除するツールを使い、ACLの掃除をしてしまうことをお勧めします。
ACLDump.exe の実行についての注意事項
Windows Vista / Windows 7 / Windows 2008 ServerでUACが有効な場合には、「管理者として実行」しないと、ライセンス登録情報を読み書きするレジストリの関係で試用モードになってしまいます。