画面と使い方
AclDump.exeを起動すると次のような画面が表示されます。対象フォルダを指定してチェックを実行します。指定されたフォルダのサブフォルダは自動展開でき、ユーザ一覧には日本語名など説明文字列を付加できます。
スキャン実行
- 「追加」ボタンを押して、スキャン対象のフォルダを選択します。
フォルダを選択したら、OKボタンを押します。
複数選択する場合は、再度「追加」ボタンを押して操作してください。
- ユーザー名を問合せするサーバー名(ドメインコントローラ)を入力します。
スキャン対象フォルダがドメインコントローラ、またはローカルマシンに存在する場合は入力不要です。
未入力ではスキャン結果のユーザ・グループが SID で表示されます。
- 展開階層の深さを設定します。
一覧画面をクリックして、スキャンするフォルダ階層を設定してください。
- 動作のオプションを選択してから「チェック」ボタンを押してスキャンを開始します。
- アクセス権表現ルールファイル : 通常は変更する必要はありません。
- 親フォルダと子フォルダのアクセス権再チェックを厳密に行う:環境によっては継承となっていても正しく継承されていないこともあるため、それまで含めてチェックします。(継承されない理由については省きます)
- 次のようなスキャン結果が表示されます。
スキャン結果のエクスポート
スキャン結果をエクセル、またはテキストファイルに書き出しする事ができます。
「XLS書き出し」「TXT書き出し」ボタンを押してください。
トライアル版では、書き出し(エクスポート)機能は使えません。
出力結果
出力結果の読み方
各行に出力される結果について説明します。
1列目:パス名
- ファイルもしくはフォルダのフルパスです。
2列目:ファイル
- ファイルにはチェックが入ります。
3列目:NoACLを構成するACE(エントリ)の連番
- 同一ファイルの中では、1から順に番号が振られます。
- 親フォルダからACLを継承せず置換しているときは、特別に0番のエントリが出力されます。
4列目:タイプ
- 許可のエントリと、拒否のエントリの別を表示します。
5列目:ユーザ/グループ
- ユーザ名/グループ名を表示します。
- デコードできない場合はSIDが表示されます。
6列目:継承
| 出力結果 | 説明 |
|---|---|
| 空欄 | 親フォルダから継承したACLのファイル・フォルダ |
| +追加 | 親フォルダから継承したACLに追加されたアクセス制御エントリ |
| -置換 | 親フォルダから継承したACLはなく、ACLをコピーしたりゼロから作成したりアクセス制御エントリ |
「-置換」では、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。親フォルダからのACLを継承せず、ACLを空にした場合には「-」の行が一行出力されます。
7列目:アクセス権
| 出力結果 | 説明 |
|---|---|
| F | フルコントロール |
| C | 変更 |
| R | 読み取り |
| "" | なし |
上記以外は「特殊なアクセスマスク」として次のアクセス権がカンマ区切りで列挙されます。
| 出力結果 | 説明(Windowsエクスプローラの表示) |
|---|---|
| exec | フォルダーのスキャン/ファイルの実行 |
| read | フォルダーの一覧/データの読み取り |
| read-attr | 属性の読み取り |
| read-xa | 拡張属性の読み取り |
| write | ファイルの作成/データの書き込み |
| append | フォルダーの作成/データの追加 |
| write-attr | 属性の書き込み |
| write-xa | 拡張属性の書き込み |
| del-child | サブフォルダーとファイルの削除 |
| delete | 削除 |
| read-acl | アクセス許可の読み取り |
| write-acl | アクセス許可の変更 |
| take-own | 所有権の取得 |
8列目:フラグ(適用先)
| 出力結果 | 説 明 |
|---|---|
| 空欄 | このフォルダのみ |
| (OI)(CI) | このフォルダ、サブフォルダおよびファイル |
| (CI) | このフォルダとサブフォルダ |
| (OI) | このフォルダとファイル |
| (OI)(CI)(IO) | サブフォルダとファイルのみ |
| (CI)(IO) | サブフォルダのみ |
| (OI)(IO) | ファイルのみ |
その他
出力結果の「ユーザ/グループ」「アクセス権」に「?」で出力される場合、ACLDumpの実行ユーザーが該当フォルダ/ファイルに対して「アクセス許可の読み取り」権限を持っていないことを表します。
アクセス許可の読み取り権限を持つユーザでACLDumpを再起動して実行するか、該当フォルダに対するアクセス許可の読み取り権限を付与することによって、正常な出力結果が表示されるようになります。
フォルダの右クリック > プロパティ > セキュリティ(タブ) > 詳細設定 でアクセス権を設定変更できます。
出力結果のグループ化
各項目の結果ごとにグループ化して閲覧することができます。
スキャン結果の各行のタイトル部分を上部の灰色部分に「ドラッグ&ドロップ」してください。
グループ化すると画面最下部の、「全部畳む」「全部展開」ボタンが使えます。
「アクセス権」でグループ化された例です。
【参考】No=0のエントリの意義
親フォルダからACLを継承せず置換しているファイル / フォルダを目立たせるために、あえて出力しています。将来的に、ACLDumpまたはシリーズ製品でACL書き換え機能を実装するときに、「ダミーエントリがあったらACLをクリアする(継承を切る)。+-のエントリがあったらACEを追加する」という扱いにすることを想定しています。
CREATOR OWNERのアクセス制御エントリについて
ACL Dumpを用いると、親フォルダから継承していないアクセス制御エントリ(ACE)をリストアップすることができます。
親フォルダからACLを継承しただけのフォルダ・ファイルを一覧に出力しないようにできますが、ここで問題になるのが「CREATOR OWNER」にアクセス権を与える設定がなされている場合です。
たとえば、CREATOR OWNERについて「フルコントロール」アクセス権を与えるような設定がなされている場合、新しいフォルダをユーザ(例えばokada)が作成すると、作成されたフォルダのACLにはフォルダの作成者(okada)で「フルコントロール」権限が追加されます。
こうして追加された okada のACEは、親フォルダから継承したエントリではないためACLDumpが出力する対象となってしまいます。
一定規模以上のファイルサーバーの管理では、CREATOR OWNERに権限を与えると運用に支障を来たす可能性があります。
CREATOR OWNERにフルコントロールを与えるというルールによってできてしまったACEを、一定のルール(継承元無しで、対象が「ファイルのみ」か「このフォルダのみ」で、フルコントロールを許可するACE)に基づいて、一括削除するツールを使ってACLの掃除をしてしまうことをお勧めします。
ACLDump.exe の実行についての注意事項
トライアルモードとして起動してしまう場合は、AclDump.exeを「管理者として実行」してください。ライセンス登録情報を読み書きするレジストリの関係で管理者権限が必要です。
