dsp74118の補完庫: Windows のオブジェクトのアクセス権を操作するコマンド subinacl が便利だった で触れたSubInACLのFlag、AccessMaskの早見表を作った。
俺の中ではアクセス権変更ツールとしてのSubInACLはオワコンだが、現在のACLを確認するツールとしてはまだまだ便利に使えると思う。
SubInACLのFlag -> ACLの適用先対応表
| 2進数 |
16進数 |
適用先 |
| 0 |
0x0 |
このフォルダーのみ |
| 1 |
0x1 |
このフォルダーとファイル |
| 10 |
0x2 |
このフォルダーとサブフォルダー |
| 11 |
0x3 |
このフォルダーとサブフォルダー、ファイル |
| 1000 |
0x8 |
ありえない |
| 1001 |
0x9 |
ファイルのみ |
| 1010 |
0xA |
サブフォルダーのみ |
| 1011 |
0xB |
サブフォルダーとファイルのみ |
| 10000 |
0x10 |
親の権限を継承+このフォルダーのみ |
| 10001 |
0x11 |
親の権限を継承+このフォルダーとファイル |
| 10010 |
0x12 |
親の権限を継承+このフォルダーとサブフォルダー |
| 10011 |
0x13 |
親の権限を継承+このフォルダーとサブフォルダー、ファイル |
| 11000 |
0x18 |
ありえない |
| 11001 |
0x19 |
親の権限を継承+ファイルのみ |
| 11010 |
0x1A |
親の権限を継承+サブフォルダーのみ |
| 11011 |
0x1B |
親の権限を継承+サブフォルダーとファイルのみ |
|
SubInACLのAccessMask -> ACL設定対応表
| 2進数 |
16進数 |
定数名 |
ACLの意味 |
| 1 |
0x1 |
FILE_READ_DATA |
フォルダーの一覧/データの読み取り |
| 10 |
0x2 |
FILE_WRITE_DATA |
ファイルの作成/データの書き込み |
| 100 |
0x4 |
FILE_APPEND_DATA |
フォルダーの作成/データの追加 |
| 1000 |
0x8 |
FILE_READ_EA |
拡張属性の読み取り |
| 10000 |
0x10 |
FILE_WRITE_EA |
拡張属性の書き込み |
| 100000 |
0x20 |
FILE_EXECUTE |
フォルダーのスキャン/ファイルの実行 |
| 1000000 |
0x40 |
FILE_DELETE_CHILD |
サブフォルダーとファイルの削除 |
| 10000000 |
0x80 |
FILE_READ_ATTRIBUTES |
属性の読み取り |
| 100000000 |
0x100 |
FILE_WRITE_ATTRIBUTES |
属性の書き込み |
| 10000000000000000 |
0x10000 |
DELETE |
削除 |
| 100000000000000000 |
0x20000 |
READ_CONTROL |
アクセス許可の読み取り |
| 1000000000000000000 |
0x40000 |
WRITE_DAC |
アクセス許可の変更 |
| 10000000000000000000 |
0x80000 |
WRITE_OWNER |
所有権の取得 |
| 100000000000000000000 |
0x100000 |
SYNCHRONIZE |
このフラグは必ず立っている? |
NTFSのACLをいじるのには、cacls/icacls/powershell等ありますが、playfileが使えたり、相対的には継承が見易かったりでsubinacl無しでの運用は私的には現状無理です。オワコンの件の詳細(代替?)を教えて頂けるとありがたいです。皆さんどうしているのでしょう。。
返信削除