ACLDump GUI版

【ACLDump.exe の実行についての注意事項】

Windows Vista / Windows 7 / Windows 2008 ServerでUACが有効な場合には、「管理者として実行」しないと、ライセンス登録情報を読み書きするレジストリの関係で試用モードになってしまいます。

画面と使い方

起動すると、下記のような画面がでます。対象フォルダの一覧を与えてチェックを実行します。 与えられたフォルダのサブフォルダは自動展開でき、ユーザ一覧には日本語名など説明文字列を付加できます。



操作方法

  1. 「追加」ボタンを押して、スキャン対象のフォルダを選択します。
  2. フォルダを選択したら、OKボタンを押します。

    複数選択する場合は、再度「追加」ボタンを押して操作してください。

  3. ユーザ名の問い合わせをするサーバ名(ドメインコントローラ)を入力します。
  4. スキャン対象フォルダがドメインコントローラ、またはローカルマシンに存在する場合は入力の必要はありません。
    入力しない場合は、スキャン結果のユーザ、グループが SID で表示されます。

  5. 展開階層の深さを設定します。
    一覧画面をクリックして、スキャンするフォルダ階層を設定してください。
  6. 動作のオプションを選択します。

    • フォルダのみでなくファイルも表示する場合はチェック
    • アクセス権表現ルールファイル : 通常は変更する必要はありません。
    • 表示種別を選択します
      • 全て表示
      • アクセス権を親から継承しただけのファイル・フォルダは表示しない
      • 親から継承していないアクセス権制御エントリのみを表示する
    • 親フォルダと子フォルダのアクセス権差異チェックを厳密に行う場合には、チェック
    • 動作のオプションを決定したら、「チェック」ボタンを押して、スキャンを開始します。
  7. 結果が表示されました。(クリックで拡大できます)

結果をエクスポートする

スキャン結果をエクセル、またはテキストファイルに書き出しする事ができます。
画面下部の、「XLS書き出し」「TXT書き出し」ボタンを押してください。

※試用版では、書き出し(エクスポート)機能は使えません。

出力結果

出力の読み方

各行に出力される結果について説明します。

  1. パス名
  2. ファイル
    ファイルの場合は、チェックが入ります。
  3. #:NoACLを構成するACE(エントリ)の連番
    同一ファイルの中では、1から順に振られます。
    親フォルダからACLを継承せず置換しているときは、特別に0番のエントリが出力されます。
    【参考】No=0のエントリの意義
  4. タイプ
    許可のエントリと、拒否のエントリの別を表示します。
  5. ユーザ/グループ
    ユーザ名/グループ名を表示します。デコードできない場合はSIDのまま表示されます。
  6. 継承
    • 親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
    • 親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。
    • 親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。
    • 上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。
  7. アクセス権

    F : フルコントロール
    C : 変更
    R : 読取
    “” : なし

    これら以外は「特殊なアクセスマスク」として扱われ、下記名称のカンマ区切り列挙となります。

    ACLDumpの表示 Windowsエクスプローラの表示
    exec フォルダーのスキャン/ファイルの実行
    read フォルダーの一覧/データの読み取り
    read-attr 属性の読み取り
    read-xa 拡張属性の読み取り
    write ファイルの作成/データの書き込み
    append フォルダーの作成/データの追加
    write-attr 属性の書き込み
    write-xa 拡張属性の書き込み
    del-child サブフォルダーとファイルの削除
    delete 削除
    read-acl アクセス許可の読み取り
    write-acl アクセス許可の変更
    take-own 所有権の取得
  8. フラグ(適用先)

    このフォルダのみ
    このフォルダ、サブフォルダおよびファイル (OI)(CI)
    このフォルダとサブフォルダ (CI)
    このフォルダとファイル (OI)
    サブフォルダとファイルのみ (OI)(CI)(IO)
    サブフォルダのみ (CI)(IO)
    ファイルのみ (OI)(IO)
  9. その他

    出力結果の、ユーザ/グループ、アクセス権が、「?」で出力される場合があります。

    これは、ACLDumpの実行ユーザが、該当フォルダ(ファイル)の、「アクセス許可の読み取り」権限を持たないことが原因です。

    「管理者として実行」するなど、アクセス許可の読み取り権限を持つユーザでACLDumpを再起動して実行するか、該当フォルダに対する、アクセス許可の読み取り権限を付与することによって、正常な出力結果が表示されるようになります。

    アクセス許可の読み取り権限を付与するには、フォルダの、プロパティ> セキュリティ(タブ) > 詳細設定 で設定変更してください。

スキャン結果のグループ化

各項目の結果ごとにグループ化して閲覧することができます。
スキャン結果の各行のタイトル部分を上部の灰色部分に、「ドラッグ&ドロップ」してください。

グループ化すると、画面最下部の、「全部畳む」「全部展開」ボタンが使えます。
必要に応じて使用してください。

「アクセス権」でグループ化された例です。

 ACLDumpの出力に特徴的なのは「継承」の項目です。

  1. 親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
  2. 親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。
  3. 親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。
  4. 上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。

CREATOR OWNERのアクセス制御エントリについて

ACL Dumpを用いると、親フォルダから継承していないアクセス制御エントリをリストアップすることが可能です。

うまく行けば、親フォルダからACLを継承しただけの大部分のフォルダ・ファイルを一覧に出力しないようにできますが、ここで問題になるのが「CREATOR OWNER」にアクセス権を与える設定がなされている場合です。

たとえば、CREATOR OWNERについて「フルコントロール」アクセス権を与えるような設定がなされている場合、新しいフォルダをユーザ(例えばokada)が作成すると、作成されたフォルダのACLにはフォルダの作成者(okada)で「フルコントロール」権限が追加されます。

こうして追加された okada のアクセス制御エントリ(ACE)は、親フォルダから継承したエントリではありませんので、ACLDumpが出力する対象となってしまいます。

一定規模以上のファイルサーバを管理するならば、CREATOR OWNERに権限を与えるのは、良い考えとは言えません。
CREATOR OWNERにフルコントロールを与えるというルールによって出来てしまったACEを、一定のルール(継承元無しで、対象が「ファイルのみ」か「このフォルダのみ」で、フルコントロールを許可するACE)に基づいて、一括削除するツールを使い、ACLの掃除をしてしまうことをお勧めします。

ライセンス登録について

ACLDumpのライセンスをお買い上げいただくと、「ライセンス証明書」と「ライセンスファイル」を発行いたします。製品アクティベーションページにて、ライセンス情報を入力して認証を行ってください。

PAGETOP
Copyright © 鉄飛テクノロジー All Rights Reserved.
Powered by WordPress &