目次

画面と使い方

起動すると、下記のような画面がでます。対象フォルダの一覧を与えてチェックを実行します。 与えられたフォルダのサブフォルダは自動展開でき、ユーザ一覧には日本語名など説明文字列を付加できます。



操作方法

「追加」ボタンを押して、スキャン対象のフォルダを選択します。

フォルダを選択したら、OKボタンを押します。

複数選択する場合は、再度「追加」ボタンを押して操作してください。

ユーザ名の問い合わせをするサーバ名(ドメインコントローラ)を入力します。

スキャン対象フォルダがドメインコントローラ、またはローカルマシンに存在する場合は入力の必要はありません。

入力しない場合は、スキャン結果のユーザ、グループが SID で表示されます。

展開階層の深さを設定します。

一覧画面をクリックして、スキャンするフォルダ階層を設定してください。

動作のオプションを選択します。

  • フォルダのみでなくファイルも表示する場合はチェック
  • アクセス権表現ルールファイル : 通常は変更する必要はありません。
  • 表示種別を選択します
    • 全て表示
    • アクセス権を親から継承しただけのファイル・フォルダは表示しない
    • 親から継承していないアクセス権制御エントリのみを表示する
  • 親フォルダと子フォルダのアクセス権差異チェックを厳密に行う場合には、チェック
  • 動作のオプションを決定したら、「チェック」ボタンを押して、スキャンを開始します。

結果が表示されました

結果をエクスポートする

スキャン結果をエクセル、またはテキストファイルに書き出しする事ができます。画面下部の、「XLS書き出し」「TXT書き出し」ボタンを押してください。

※なお試用版(トライアル版)では、書き出し(エクスポート)機能は使えません。

出力結果

出力結果の読み方

各行に出力される結果について説明します。

1列目 パス名

ファイルもしくはフォルダのフルパスです。

2列目 ファイル

ファイルの場合は、チェックが入ります。

3列目 #:NoACLを構成するACE(エントリ)の連番

同一ファイルの中では、1から順に振られます。
親フォルダからACLを継承せず置換しているときは、特別に0番のエントリが出力されます。
【参考】No=0のエントリの意義

4列目 タイプ

許可のエントリと、拒否のエントリの別を表示します。

5列目 ユーザ/グループ

ユーザ名/グループ名を表示します。デコードできない場合はSIDのまま表示されます。

6列目 継承

親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。

親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。

親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。

上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。

7列目 アクセス権

F : フルコントロール
C : 変更
R : 読取
“” : なし

これら以外は「特殊なアクセスマスク」として扱われ、下記名称のカンマ区切り列挙となります。

ACLDumpの表示Windowsエクスプローラの表示
execフォルダーのスキャン/ファイルの実行
readフォルダーの一覧/データの読み取り
read-attr属性の読み取り
read-xa拡張属性の読み取り
writeファイルの作成/データの書き込み
appendフォルダーの作成/データの追加
write-attr属性の書き込み
write-xa拡張属性の書き込み
del-childサブフォルダーとファイルの削除
delete削除
read-aclアクセス許可の読み取り
write-aclアクセス許可の変更
take-own所有権の取得

8列目 フラグ(適用先)

出 力説 明
このフォルダのみ
(OI)(CI)このフォルダ、サブフォルダおよびファイル
(CI)このフォルダとサブフォルダ
(OI)このフォルダとファイル
(OI)(CI)(IO)サブフォルダとファイルのみ
(CI)(IO)サブフォルダのみ
(OI)(IO)ファイルのみ

9列目 その他

出力結果の、ユーザ/グループ、アクセス権が、「?」で出力される場合があります。

これは、ACLDumpの実行ユーザが、該当フォルダ(ファイル)の、「アクセス許可の読み取り」権限を持たないことが原因です。

「管理者として実行」するなど、アクセス許可の読み取り権限を持つユーザでACLDumpを再起動して実行するか、該当フォルダに対する、アクセス許可の読み取り権限を付与することによって、正常な出力結果が表示されるようになります。

アクセス許可の読み取り権限を付与するには、フォルダの、プロパティ> セキュリティ(タブ) > 詳細設定 で設定変更してください。

出力結果のグループ化

各項目の結果ごとにグループ化して閲覧することができます。
スキャン結果の各行のタイトル部分を上部の灰色部分に、「ドラッグ&ドロップ」してください。

グループ化すると、画面最下部の、「全部畳む」「全部展開」ボタンが使えます。
必要に応じて使用してください。

「アクセス権」でグループ化された例です。

「継承」について

親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。

  1. 親フォルダからACLを継承したファイル・フォルダについて、継承されたエントリの継承欄は空欄で表示されます。
  2. 親フォルダからACLを継承して、アクセス制御エントリが追加された場合、追加されたエントリについて、継承欄に「+追加」と表示されます。
  3. 親フォルダのACLを継承せず、ACLをコピーしたりゼロから作成した場合、アクセス制御エントリの継承欄には「-置換」と表示されます。
  4. 上記の(-置換の)場合、アクセス制御エントリ一覧の先頭にユーザ・グループ「-」の行を挿入して表示します。よって、親フォルダからのACLを継承せず、ACLを空にした場合には、「-」の行が一行出力されます。

【参考】No=0のエントリの意義

親フォルダからACLを継承せず、置換しているファイル / フォルダを目立たせるために、あえて出力しています。将来的に、ACLDumpまたはシリーズ製品でACL書き換え機能を実装するときに、「ダミーエントリがあったら、ACLをクリアする(継承を切る)。+-のエントリがあったらエントリ(ACE)を追加する」という扱いにすることを想定しています。

CREATOR OWNERのアクセス制御エントリについて

ACL Dumpを用いると、親フォルダから継承していないアクセス制御エントリをリストアップすることが可能です。

親フォルダからACLを継承しただけの大部分のフォルダ・ファイルを一覧に出力しないようにできますが、ここで問題になるのが「CREATOR OWNER」にアクセス権を与える設定がなされている場合です。

たとえば、CREATOR OWNERについて「フルコントロール」アクセス権を与えるような設定がなされている場合、新しいフォルダをユーザ(例えばokada)が作成すると、作成されたフォルダのACLにはフォルダの作成者(okada)で「フルコントロール」権限が追加されます。

こうして追加された okada のアクセス制御エントリ(ACE)は、親フォルダから継承したエントリではありませんので、ACLDumpが出力する対象となってしまいます。

一定規模以上のファイルサーバを管理するならば、CREATOR OWNERに権限を与えるのは、良い考えとは言えません。

CREATOR OWNERにフルコントロールを与えるというルールによって出来てしまったACEを、一定のルール(継承元無しで、対象が「ファイルのみ」か「このフォルダのみ」で、フルコントロールを許可するACE)に基づいて、一括削除するツールを使い、ACLの掃除をしてしまうことをお勧めします。

ACLDump.exe の実行についての注意事項

Windows Vista / Windows 7 / Windows 2008 ServerでUACが有効な場合には、「管理者として実行」しないと、ライセンス登録情報を読み書きするレジストリの関係で試用モードになってしまいます。

ご質問・ご相談などありましたら
お気軽にお問い合わせください

ダウンロード
お問い合わせはこちら