デュアル ブート Win7 の NTFS アクセス許可にはどの組み込み Windows グループを使用すればよいですか?

tag-icon tag-icon windows-7 ntfs multi-boot
デュアル ブート Win7 の NTFS アクセス許可にはどの組み込み Windows グループを使用すればよいですか?

私はまだいくつかのコンピューターでデュアル ブートを使用しているため、2 つの Windows 7 インストールを実行しています。ほとんどのデータは、両方のインストールで使用される別のハード ドライブのパーティションにあります。

特定のファイルについては、NTFS アクセス許可を設定する必要があります。ユーザー アカウントまたはカスタム Windows グループを使用してこれを行うと、1 つのインストールでは正常に機能します。2 番目のインストールを起動すると、ACL のエントリが最初のインストールのアカウントに固有のものであるため (セキュリティ ダイアログで「不明」と表示される)、ユーザーはファイルにアクセスできません。

この問題を回避するには、組み込みの Windows グループの 1 つを使用します。これらのグループの SID は、Windows のすべてのインストールで同じです。

問題は、どの組み込みグループを使用するかということです。ユーザーに与える余分な権限はできるだけ少なくしたいのです。

Administrators                  S-1-5-32-544
Backup Operators                S-1-5-32-551
Cryptographic Operators         S-1-5-32-569
Distributed COM Users           S-1-5-32-562
Event Log Readers               S-1-5-32-573
Guests                          S-1-5-32-546
IIS_IUSRS                       S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users           S-1-5-32-559
Performance Monitor Users       S-1-5-32-558
Power Users                     S-1-5-32-547
Remote Desktop Users            S-1-5-32-555
Replicator                      S-1-5-32-552
Users                           S-1-5-32-545

管理者、バックアップ オペレーター、パワー ユーザーは、これらのグループのアカウントに強力な権限があるため、使用したくないです。残りのどれが最も「権限が弱い」のでしょうか?

また、「ゲスト」にはファイルへのアクセス権がないため、使用できません。

すべての通常ユーザーがそのグループに属しているため、「ユーザー」も使用できませんが、すべてのユーザーが問題のファイルにアクセスできるわけではありません。

答え1

1つの単語。ユーザー。

ユーザーとは、基本的にそのマシンによってローカルで認証できるすべてのユーザーです。

答え2

Windows Vista 以降では、「Power Users」グループの権限がほぼすべて失われ、そのメンバーは基本的に「Users」グループのメンバーと同じ権限を持つようになったようです。

したがって、Power Users グループは、指定された要件に適した候補です。

また、「Replicator」グループには追加のユーザー権限はなく、私の知る限り、セキュリティ保護可能なオブジェクトに対する権限もありません。これは、Windows NT 時代からのレガシー グループです。

サーバーを使用している場合は、「印刷オペレーター」グループも候補になります。

編集: 結局、「Power Users」グループと「Print Operators」グループはどちらもこの目的には適さないことがわかりました。ユーザーがこれらのグループのメンバーであり、グループにリソースへの書き込み権限がある場合でも、ユーザーにはリソースへの書き込みアクセス権がありません。

管理者グループと同様に、これらのグループは特別であり、ユーザーがグループに所属すると、ログオン時に分割トークンが付与されます。このグループ メンバーシップを通じて獲得した権限は、標準ユーザー トークンには含まれていないため、リソースにアクセスできません。

これを確認するには、次のように入力してください。

whoami /groups

「パワー ユーザー」グループには次の属性があります:

Group used for deny only

「リモートデスクトップユーザー」グループにはこの機能はありませんが、ユーザーがRDP経由でログオンできるようにするという副作用があります。そのため、これに使用できる唯一のグループはレプリケーターグループ

答え3

非常に実験的なアプローチの 1 つは、両方の Windows インストールで同じユーザー データベース (SAM) を使用するようにすることです。

インストール 1 のSAM ファイル ( ) をインストール 2 にコピーできれば、\Windows\System32\config\SAMユーザーは SID レベルまで同一になります。

同様のアプローチとしては、各インストールでグループを作成し、1 つのインストールの SAM ファイルを編集して、その SID を他のインストールで使用されている SID に変更するという方法があります。パスワード リセット ツールは SAM を変更するため、これが可能な方法である可能性があります。

私はこれを自分で試したことはありません。したがって、このようなアプローチを試す前に、システムの完全なバックアップがあることを確認してください...

関連情報