出産前後の痔にはご注意!

細かくアクセス制限を行おうと思い、セキュリティタブを表示するようにしたのですが、「グループ名またはユーザー名」の中で、ほぼ初期値としてはいっている"SYSTEM"は削除すると支障が出るでしょうか。
たとえば「マイドキュメント」フォルダは"SYSTEM"を削除すると支障が出るでしょうか。
"SYSTEM"が絶対に必要なフォルダとは、どういうフォルダでしょうか。
なんとなく"WINDOWS"フォルダには絶対に必要な気がするのですが、「グループ名またはユーザー名」の"SYSTEM"について詳しく解説していただければありがたいです。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

SYSTEM のアクセス許可を削除すると、タスクマネージャのプロセスタブで、ユーザー名が SYSTEM となっているプロセスからそのフォルダへのアクセスが出来なくなります。



Windowsにログインする前から起動してPCの保守などを行うようなプロセスは、基本的にSYSTEMユーザーで動いていますので、たとえば、わたしのPCでは、Norton AntiVirusがSYSTEMユーザーのプロセスとして動いていました。

この場合、マイドキュメントフォルダからSYSTEMユーザーのアクセス制御を削除すると、マイドキュメントフォルダは保護されないことになります。
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。
ユーザー名「SYSTEM」の意味がわかりました。

お礼日時:2006/08/31 19:32

SYSTEM グループは、いわばOSが使用するアカウントです。


グループやアカウント自体は多分削除できないと思いますが、削除してはいけません。
フォルダのセキュリティタブで設定するユーザーやグループについては、個人的なフォルダ(マイドキュメント)のアクセス許可管理で、許可されているメンバーから削除しても多分支障はないと思います。(自信を持っては言えませんが)
Windows フォルダについては、ほとんど常にOSからアクセスがあるでしょうからアクセスできないようにする(できるかどうかは知りませんが)と支障があると思います。

>"SYSTEM"が絶対に必要なフォルダとは、どういうフォルダでしょうか。
端的に言えば、OSの(システム上?)アクセスがあるフォルダ。
わざわざメンバーから外す必要はほとんどないと思います。
    • good
    • 3
この回答へのお礼

ご回答ありがとうございます。

お礼日時:2006/08/31 19:31

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QAuthenticated Userって何ですか?

Windows系サーバにあるAuthenticated Userって何ですか?
ネットで調べてもいまいちよく理解できません。
わかりやすく説明してくれる方がいらっしゃいましたらお願いします。

Aベストアンサー

ドメインに参加することを許可されたユーザ。
(ドメインにアカウントのあるユーザ)
ローカルで言えば一般ユーザ(User)と変わりないです。

Qeveryoneがフルコンなら誰でもアクセス可?

Windows 7 Ultimateの「フォルダを右クリックする→プロパティ→セキュリティ」にあるeveryoneをフルコントロールにしておくと、そのworkgroup内のユーザーであればどんなユーザーでもそのフォルダにアクセスできるのでしょうか。

Aベストアンサー

>同じworkgroup内のユーザーでなければ、そもそもLAN上に出てこないですよね。
「ネットワーク」に表示されないだけで、アドレスを直接入力すればアクセスすることはできます。

LAN上の他のコンピュータからのアクセスはローカルのファイルのアクセス権(右クリックのセキュリティから表示される)と、共有のアクセス権の双方に関わります。これらは別々に指定することが可能です。
で、共有ファイルにアクセスするためにはそのコンピュータ上のユーザIDとパスワードが必要です。これを知らなければアクセスできません。

http://mbsupport.dip.jp/watson/network_02.htm
http://win7.jp/h7k1120.htm

Q管理者としてログインしているのに、なぜかファイルを削除できない。

管理者としてログインしているのに、なぜかファイルを削除できない。
windows7で、管理者として入っているのにファイルが削除できません。所有者の変更はしてみましたが、うまくいきません。所有者の変更はできるのですが、読み取り専用のチェックをはずそうとすると管理者の権限を求められます。何か他の方法はないでしょうか?

あと、後学のためになぜこうなるのか簡単に説明してくださると助かりますが、問題を解決する方法が特に知りたいです。
このPCははじめからwindows7が入っていました。

Aベストアンサー

No.3 の補足です。
質問には何も書いてないので、システム動作中には操作できないファイルかとも考えて、DVD(CD)起動での操作を回答しました。
普通のファイルのようですので、No.3 に書いたツールはWin7動作中のコマンドプロンプトでいいです。
(コマンドプロンプト右クリック->管理者として実行)

補足ですが「管理者としてログイン」していても、いわゆる最高レベルの管理者ではありません。
アクセス許可されないファイルもありますので「管理者として実行」でレベルを昇格して使用してください。

質問には何も書いてないのですが、エクスプローラで操作しているのですか?
エクスプローラを「管理者として実行」で実行していますか?
(スタート->アクセサリ->エクスプローラ右クリック->管理者として実行)

> 所有者の変更はしてみましたが、うまくいきません。

どのようにうまくいかないのですか。
どのファイルでも管理者に変更後にはEveryone フルコントロールを追加できるはずです。

Qeveryoneとusersって誰のことでしょうか

Windows 7 Ultimateの「フォルダを右クリックする→プロパティ→セキュリティ」にあるeveryoneとusersとは誰のことですか。次の(a)~(c)のような人のことかなと思いましたがよく分かりません。

(1) everyone
(a)パスワードを設定していないユーザーだけ
(b)パスワードを設定しているユーザーだけ
(c)全てのユーザー

(2) users
(a)パスワードを設定していないユーザーだけ
(b)パスワードを設定しているユーザーだけ
(c)全てのユーザー

Aベストアンサー

>「パスワード未設定のGuestユーザーが有効」に設定するにはどうしたらいいのでしょうか。

管理者権限のあるユーザーでログインして、以下のページに従って有効/無効を設定。
http://faq.epsondirect.co.jp/faq/edc/app/servlet/relatedqa?QID=010648

通常、Guestにはパスワードは設定出来ない筈ですが、もし、間違ってパスワードが付いていた場合は、Guestアカウントを有効にしたのち、以下のページに従ってGuestのパスワードを削除して下さい。
http://qa.support.sony.jp/solution/S0907031064291/

正常であれば、ユーザーのアイコン付き一覧が出た段階で、Guestの下に「パスワード保護」と書いてない筈です。

なお、Guestユーザーは、Administratorと同様に、特殊ユーザーアカウントなので、Guestアカウントは削除したり、削除後に再作成したりする事は出来ません。また、パスワードも設定出来ない筈です。

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

QタスクがSYSTEMアカウントで実行されません。

タスクがSYSTEMアカウントで実行されません。

タスクスケジュールでバッチファイルを実行しているのですが、
タスクの実行アカウントをAdministratorにすると問題ないのですが、
SYSTEMアカウントにすると実行されません。
正確には、バッチファイルの中で、
ローカルのファイルをLAN上のファイルサーバにコピーすることができません。
Administratorアカウントでは問題ありません。
また、バッチファイルの中のコピー以外については、
SYSTEMアカウントでも実行されています。
何が原因かわかりますでしょうか。
よろしくお願いします。

Aベストアンサー

http://support.microsoft.com/kb/417903/ja
タスクスケジューラで登録したタスクで行ったネットワーク ドライブへの接続は、「実行するアカウント名」に指定したユーザー アカウントの SMB セッションで行われます。タスクが実行された時に、システムに対話形式のログオンを行っていたユーザー アカウントが「実行するアカウント名」とは異なるユーザー アカウントであった場合、あるいは対話形式のログオンが行なわれていない状態(ログオフ状態)であった場合、このタスクが作成したドライブレターの削除や再割り当てを行うことができなくなります。
http://help.support.fcm.co.jp/__Help/FOV1-00012355/FOV1-00012358/S0004A3F5-0004A3FB?WasRead=1
「ローカルシステムアカウント」で実行されているサービスはネットワークドライブが見られないようにシステムによって制限されていることです。これは、Windowsの仕組みです。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QSystemアカウントとは・・

WindowsXP上において、Systemアカウントでセットアップを行い、アカウントを作成したのですが、そのアカウントを使用してもログオンできませんAdministratorでログオンした際に作成したアカウントは正常にログオンできます。そもそもSystemアカウントとはどういったものなのでしょうか?それとアカウント作成はSYSTEMでは出来ないのでしょうか?分かる方いましたらお願いします

Aベストアンサー

Systemアカウントは、Administratorでログオンした際に作成したアカウントとは、別物の使い方をする様です。

Systemアカウントは、バックグラウンドで、作動しているWindowsアプリを、設定するのに使う、特別なアカウントのようです。

使用例が、有りましたので、下記URLを参考にしてください。

参考URL:http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/042proxy.html

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング