いなかみ雑記帳
良く分からないけどPC系雑記サイト +何か
Entries
一時的に他のユーザー(主に管理者)としてプログラムを実行するために利用される、「別のユーザーとして実行」ですが、Windows XP / 2003には
「制限されたアクセス権でこのプログラムを実行する」
というチェックボックスがあり、これをオンにしてプログラムを起動するとWindows Vistaで実装されたUACと似て非なる挙動を示します。
この状態で、普通は別のユーザーを選択して管理者のアカウントを選択して使うのですが、このまま起動すると少し面白いことになる。
Windows Server 2003以降には標準搭載されています。Windows XP の場合はインストールCDの中のサポートツールに入っています。
#Windows XP版は拒否のみに使用するグループの出力ができないくさい?ので、画面はWindows Server 2003から持ってきたwhoami.exeです。
通常のコマンドプロンプト
制限されたアクセス権でこのプログラムを実行する
両者の違いとして、BUILTIN\Administratorsのところに、「拒否のみに使用するグループ」と書かれているかいないかがあります。
...アクセス権が無くてできません。
ユーザープロファイルフォルダのACLは
なので、通常ならばAdministratorsと現在のユーザー(Administrator)にアクセス許可があるのでアクセスできるはずです。
Administratorsが拒否のみに使用されるのは、上のwhoami.exeの結果を見ればその通りであり、Windows VistaのUACの挙動と同じなのですが、現在のユーザーのACLも無視されるという点で異なります。
Cドライブ直下で実験
フォルダの作成はできましたが、削除はできませんでした。
Cドライブ直下のACLは、
なので、フォルダの作成は上の4つめのACLで許可されているので、Usersグループに属していればできることになります。
作成したフォルダの削除については、フォルダを作成した時の所有者は現在のユーザー(Administrator)になるため、2つ目のACLのCREATORS OWNERが自動的にAdministratorに置き換えられて設定されます。つまり、現在のユーザー(Administrator):フルコントロールのACLが追加されているはずです。
しかし、これが無視されているため削除は出来なかったと考えられ、上の結果と合致しています。
RESTRICTEDという組み込みのグループがこの挙動と関連しているようで、
Cドライブ直下に
#RESTRICTEDグループはドメイン環境でないと表示されないので、caclsコマンドを使用してACLを追加します。
今度はフォルダの削除もちゃんと成功します。
しかし、ACLが
これは単に現在のユーザーがRESTRICTEDグループに属していたため、上記の操作が成功したわけではないことを意味します。
#EveryoneやINTERACTIVE等グループの場合は、単にそのユーザーがグループに属していればそのACLのみで効果を持ちます。
RESTRICTEDグループは、制限されている「現在のユーザー」としてのアクセス権を一時的に有効にするためのものではないかと考えられます。
これをうまく使えば、一時的にプログラムを低い権限で実行したりとかに使える・・・のかな?
#MSのページにすら、このグループのことについて殆ど書いてないので、いろいろと想像の域を脱しないです。
「制限されたアクセス権でこのプログラムを実行する」
というチェックボックスがあり、これをオンにしてプログラムを起動するとWindows Vistaで実装されたUACと似て非なる挙動を示します。
この状態で、普通は別のユーザーを選択して管理者のアカウントを選択して使うのですが、このまま起動すると少し面白いことになる。
whoami.exeを使ってアクセス権の違いを調べて見る
Windows Server 2003以降には標準搭載されています。Windows XP の場合はインストールCDの中のサポートツールに入っています。
#Windows XP版は拒否のみに使用するグループの出力ができないくさい?ので、画面はWindows Server 2003から持ってきたwhoami.exeです。
通常のコマンドプロンプト
制限されたアクセス権でこのプログラムを実行する
両者の違いとして、BUILTIN\Administratorsのところに、「拒否のみに使用するグループ」と書かれているかいないかがあります。
実際の挙動を見る
自分のユーザープロファイル フォルダに移動
...アクセス権が無くてできません。
ユーザープロファイルフォルダのACLは
- Administrators:フルコントロール
- Administrator(現在のユーザー):フルコントロール
- SYSTEM:フルコントロール
なので、通常ならばAdministratorsと現在のユーザー(Administrator)にアクセス許可があるのでアクセスできるはずです。
Administratorsが拒否のみに使用されるのは、上のwhoami.exeの結果を見ればその通りであり、Windows VistaのUACの挙動と同じなのですが、現在のユーザーのACLも無視されるという点で異なります。
フォルダの作成/削除
Cドライブ直下で実験
フォルダの作成はできましたが、削除はできませんでした。
Cドライブ直下のACLは、
- Administrators:フルコントロール
- CREATOR OWNER:フルコントロール
- SYSTEM:フルコントロール
- Users:読み取りと実行
- Users:フォルダの作成(このフォルダとサブフォルダ)
- Users:ファイルの作成(サブフォルダのみ)
なので、フォルダの作成は上の4つめのACLで許可されているので、Usersグループに属していればできることになります。
作成したフォルダの削除については、フォルダを作成した時の所有者は現在のユーザー(Administrator)になるため、2つ目のACLのCREATORS OWNERが自動的にAdministratorに置き換えられて設定されます。つまり、現在のユーザー(Administrator):フルコントロールのACLが追加されているはずです。
しかし、これが無視されているため削除は出来なかったと考えられ、上の結果と合致しています。
RESTRICTED セキュリティグループ
RESTRICTEDという組み込みのグループがこの挙動と関連しているようで、
Cドライブ直下に
- RESTRICTED:フルコントロール
#RESTRICTEDグループはドメイン環境でないと表示されないので、caclsコマンドを使用してACLを追加します。
今度はフォルダの削除もちゃんと成功します。
しかし、ACLが
- Administrators:フルコントロール
- SYSTEM:フルコントロール
- RESTRICTED:フルコントロール
これは単に現在のユーザーがRESTRICTEDグループに属していたため、上記の操作が成功したわけではないことを意味します。
#EveryoneやINTERACTIVE等グループの場合は、単にそのユーザーがグループに属していればそのACLのみで効果を持ちます。
RESTRICTEDグループは、制限されている「現在のユーザー」としてのアクセス権を一時的に有効にするためのものではないかと考えられます。
これをうまく使えば、一時的にプログラムを低い権限で実行したりとかに使える・・・のかな?
#MSのページにすら、このグループのことについて殆ど書いてないので、いろいろと想像の域を脱しないです。
0件のコメント
コメントの投稿
0件のトラックバック
- トラックバックURL
- http://inakami.blog120.fc2.com/tb.php/95-c214a8ed
- この記事に対してトラックバックを送信する(FC2ブログユーザー)
