制限付きアカウントのCドライブアクセス権について

お世話になります。
現在Windows XP Professinalにて制限付きアカウントの作成をしております。
このアカウントに切り替えて動作確認をしていますがイマイチ動きに納得できないので質問させていただきました。

制限付きアカウントの自分の認識として

システムに影響を及ぼす変更ができない
レジストリにデータを書き込むタイプのプログラムのインストールができない
特定の保存場所C:\temp、D&settings ユーザーディレクトリ等を除く場所に書き込みができない

等などと思っていましたが、


この度　WindowsのインストールディレクトリのCドライブ直下に　フォルダを新規作成したところ作成できてしまいました。ですが、ファイルを作成しようとするとアクセス拒否の状態になっているようでファイルの作成はできません。


例えばフォルダを作った場合、そのフォルダの下には自由に書き込み出来ます。
デスクトップで作ったフォルダをD&Dでも移動されますが、ファイルの移動はできません。


このような状態ですが、制限付きアカウントのアクセス権では具体的にどこまで出来るのでしょうか？

よろしくお願いいたします。

No.3 ベストアンサー 回答者： unknown_user 回答日時： 2011/02/10 13:05

セキュリティタブは、ワークグループ環境でも

フォルダオプションの簡易ファイルの共有を使用するをオフにすると出てきます。

制限付きアカウント関係は
Everyone:R
BUILTIN\Users:R
BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:)
BUILTIN\Users:(CI)(IO)(特殊なアクセス:)
この部分ですから、基本的にはリードオンリー。
「特殊なアクセス」で書き込み権が付与されているのでしょう。
フォルダの作成権があって、ファイルの作成権がないような設定なのでしょうか。
初期状態のPCが手元になくて確認できないのが残念です。。。

新規作成フォルダ内にファイルを作成したりできるのは
CREATOR OWNER:(OI)(CI)(IO)F
でフルコントロールが付与されているからですね。

目的が
> Cドライブにはデータは書き込ませたくない
であれば、Cドライブ直下をEveryone、Usersに読み取り権のみに変更すれば
おおよその役割は果たせるのではないかと思います。
Tempフォルダを使うとかAll Usersフォルダを使うとか
使用するユーザーによっては抜け道がありそうな気はしますが。

この回答へのお礼

BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:)
BUILTIN\Users:(CI)(IO)(特殊なアクセス:)


まさにこれですね。
今セキュリティタブみてきました。

フォルダの作成とデータの追加　このフォルダとサブフォルダのみ
ファイルの作成とデータの書き込みサブフォルダのみ　でした。

とりあえず↑＋createowner全部消せばC直下の被害はでなさそう・・・ですが笑
デフォルトの値が非常に気になってきました。

でも何かおかしな設定ですよね？メーカー製のマシンだから・・・でしょうか？

ありがとうございます。非常に勉強になりました。　

お礼日時：2011/02/10 13:51

No.4 回答者： Ctrl-Z727 回答日時： 2011/02/10 15:38

＞フォルダを新規作成したところ作成できてしまいました。

当方の PC で調べたところ、Cドライブの直下には、Users に対して次の許可が付与されていますので、正常な結果だと思います。
　　Create Folder：このフォルダとサブフォルダ
　　Create File：サブフォルダのみ

この内容は、アクセス権を詳細設定するツール "xcacls.vbs" で確認できます。
＜C:\ の出力例＞
Directory: C:\
Permissions:
Type Username Permissions Inheritance
Allowed BUILTIN\Administrators Full Control This Folder Only
　----（省略）-----
Allowed \CREATOR OWNER Special (Unknown) Subfolders and Files
Allowed BUILTIN\Users Read and Execute This Folder Only
Allowed BUILTIN\Users Special (Unknown) Subfolders and Files
Allowed BUILTIN\Users Advanced (Create Fold This Folder and Subfo
Allowed BUILTIN\Users Advanced (Create File Subfolders only
Allowed \Everyone Read and Execute This Folder, Subfolde
No Auditing set
Owner: BUILTIN\Administrators

下記ページを参考にしてください。
[Xcacls.vbs を使用して NTFS アクセス許可を変更する方法]
http://support.microsoft.com/kb/825751/ja
（注）このページに、スクリプティングエンジンを Cscript に変更することが記載されていますが、デフォルトに戻すのは cscript /h:wscript です。（念のため）

No.2 回答者： unknown_user 回答日時： 2011/02/10 11:34

Cドライブのプロパティを開き、セキュリティタブを確認。

今、私の手元に初期状態のPCがないため確認できませんが
恐らくeveryoneのアクセス許可を確認すると
制限付きアカウントのアクセス権が確認できると思います。

詳細設定から権限を変更することで制御することができます。
CreateOwner（フォルダやファイルを作った人）の権限も
合わせて設定した方がいいかもしれませんね。

サブフォルダに継承するように設定してしまうと
システムフォルダなどの権限も変わってしまいますので気をつけて下さい。

この回答への補足

すいません。そもそもドメイン環境ではないので、セキュリティタブがありません。
共有アクセス許可等も特に設定はしておらず、ワークグループ環境下の話になります。

Create Ownerも疑いましたが、Usersグループに含まれるAutorty Userの権限がどうも怪しそうです。

ご回答ありがとうございました。

補足日時：2011/02/10 11:41

この回答へのお礼

まだまだ謎です・・・ACLを確認した所次のようになりました。
これだけで見るとファイルもかけそうな気がします；；



BUILTIN\Administrators:F
BUILTIN\Administrators:(OI)(CI)(IO)F
NT AUTHORITY\SYSTEM:F
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
CREATOR OWNER:(OI)(CI)(IO)F
Everyone:R

BUILTIN\Users:R
BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:)
FILE_APPEND_DATA
BUILTIN\Users:(CI)(IO)(特殊なアクセス:)
FILE_WRITE_DATA

お礼日時：2011/02/10 12:34

No.1 回答者： cotae_bb 回答日時： 2011/02/10 11:07

こちらのサイトが参考になるかもしれません。

http://www.microsoft.com/japan/windowsxp/using/s …
http://www-06.ibm.com/jp/domino04/pc/support/beg …

この回答への補足

すいません自己解決したかもしれません・・・

制限付きユーザーの所属するグループUsersにAuthority usersもデフォルトで含まれるようです。
つまり認証ユーザー権限が付属しているので質問のような動きになっているのかな？と。
Guest Userの場合は流石に書けないですもんね；；

詳しい方の解説お待ちしております。

補足日時：2011/02/10 11:38

この回答へのお礼

ありがとう御座います。マイクロソフトのほうは既に確認しておりました。

具体的にアクセス権を追加したいわけではなくて、デフォルトとしてC直下にかけるのはフォルダのみでファイルが書けないという理屈がわからなくて質問しました。


マイクロソフトではは制限ユーザーは

ドキュメントを保存する　可

になっていますが、今現在自分のPCでは

ディレクトリを作成するのは可　ファイルを保存するのは不可となっているので

このあたりの詳細を教えていただきたいのですが・・・

具体的にはCドライブにはデータは書き込ませたくないのであくまでも%userprofile%の範疇でデータの書き込みをさせたいのです。


よろしくお願いいたします。

お礼日時：2011/02/10 11:21