共有とアクセス権 - windowsのアクセス制御

Ⅲ．アクセスの制御

　windowsは管理や制御を目的として、システム内に於いて様々な識別子を用います。ユーザーの管理にSIDを用いる外、アクセスの制御用にアクセストークンやUIDを発行します。
この章では、アクセストークンやUIDを使ってユーザーのアクセス要求を制御する様子を追います。

Ⅲ．１．アクセストークンとUID

　windows がユーザーの識別にSIDを用いることは「Ⅰ.３.SID」で触れましたが、アクセス制御を行う時はこの外に[アクセストークン]、[UID]という識別子を使います。

アクセストークン
ユーザーアカウントのSIDと所属グループのSIDをまとめ、そこに発行元情報等を加えたもので構成されれています。
ログオン等で認証を要求したユーザーアカウントに対して、ローカルマシン、サーバー、ドメインコントローラー等が適宜発行します。

UID：User IDentifier (ユーザー識別子)
ネットワーク経由でアクセスしてくる(リモート)ユーザーに対して、アクセストークンの代わりに使います。
アクセストークンは、ユーザーアカウントとグループのSID、発行元情報等を含むため大きなデータ量となります。このアクセストークンをそのままネットワークに流すのは、セキュリティとネットワーク効率の面から好ましいことではなく、その代用としてUIDを発行します。

Ⅲ．２．ローカルアクセス

　ローカルでログオンしたユーザーが、同じwindows内のフォルダやファイルへアクセスした時、windows内部ではどのような処理が行われているのでしょう。

　下図はローカルユーザーがフォルダ(ファイル)にアクセスした時に、windows内部で行われる処理の流れを示しています。

【ローカルアクセスの概念図】

ローカルユーザー

(１)　

　(３)

(４)　

　[ローカルPC]

【ユーザー管理表】

アカウント名	SID
taro	yyy
hanako	zzz

(２)

【アクセストークン管理表】

SID	アクセストークン
yyy	token11
zzz	token22

【セキュリティディスクリプタ】

SID	アクセス可否	権限
yyy	許可	フルコントロール
zzz	許可	読み取り

(５)

【ローカルアクセスの処理手順】

○ ユーザーの taro がwindowsにログオン後、フォルダ(ファイル)にアクセスできるまで。

taro でログオン
ユーザーはユーザーアカウント名とパスワードでwindowsにログオンする。

※　ログオンの行為は、windowsの認証を受けることと同じです。

アクセストークンを発行
windowsはアカウント名とパスワードを登録情報(ユーザー管理表)と照合し、一致していればアクセストークンを発行(作成)してアクセストークン管理表に登録する。

アクセストークンを返信
windowsは発行したアクセストークンをユーザーに返信する。
(実際にはwindowsの内部処理のみ)
※ ここまでは、ログオン時に処理される。

アクセストークンを使ってアクセス
ユーザーは受信済みのアクセストークンを使って、フォルダやファイルにアクセスする。

アクセスの判定
windowsはアクセストークンからSIDを確認後、フォルダやファイルに設定されている [セキュリティディスクリプタ]を参照。
SIDを基に可能な操作(権限)を識別してアクセス要求を制御する。
この例では taro はフルコントロールが可能となる。

Ⅲ．３．リモートアクセス

　ネットワークを経由してアクセスするリモートアクセスの動作は、ネットワークの形態(ワークグループまたはドメイン)によって異なります。
　リモートユーザーがサーバーへアクセスした時の動作を、ワークグループとドメインの場合で追ってみましょう。

▼ ここでは情報を提供する(共有設定)側を便宜上サーバーと表記しています。
▼ リモートユーザー同士の場合は、情報提供側をサーバーと読み替えて下さい。

【 windowsのエディションによるサーバー接続時の動作の違い】

　最初にサーバーにアクセスする時はサーバーへのログオンと同じ動作になります。
アクセスを受けたサーバーは、ユーザー認証のためユーザーアカウントとパスワードの入力を求めますが、リモートユーザー側の動作はwindowsのエディションによって異なることがあります。
例えば windows XPでは次の通りです。

windows XP Professional Edition
windowsはユーザーがログオンに使ったアカウント名とパスワードを記憶しています。サーバーの要求にはwindowsが記憶していたアカウント名とパスワードを送信するので、ユーザーは意識する必要がありません。
windows XP Home Edition
ログオン時に入力したアカウント名とパスワードの記憶機能がないので、サーバーへのアクセスの都度アカウント(ユーザー)名とパスワードを入力しなければなりません。

Ⅲ．３．１．ワークグループのリモートアクセス

　ワークグループに於けるリモートアクセスの動作は、基本的にはローカルアクセスと同じですが、サーバー上のフォルダやファイルにアクセスするので、サーバーの認証を受ける(ログインする)必要があります。
　サーバー側ではアクセスを許可するリモートユーザーのユーザーアカウントを作成(ユーザー管理表を用意)して、適切なアクセス権の設定を済ませておきます。

※ サーバーが複数ある場合は、各サーバーで適切なユーザーアカウント作成とアクセス権の設定が必要に
　なります。　アクセス権設定の詳細は [ Ⅳ．共有設定手順 ] を参照して下さい。

【リモートアクセスの概念図　：ワークグループ】

リモートユーザー

(１)　

　(４)

(５)　

　[サーバー]

【ユーザー管理表】

アカウント名	SID
taro	yyy
hanako	zzz

(２)

【アクセストークン管理表】

SID	アクセストークン
yyy	token11
zzz	token22

(３)

【アクセストークン：UID対応表】

アクセストークン	UID
token11	abcde
token22	vwxyz

【セキュリティディスクリプタ】

SID	アクセス可否	権限
yyy	許可	フルコントロール
zzz	許可	読み取り

(６)

【リモートアクセス時の処理手順　：　ワークグループ】

○ ユーザーの hanako がネットワーク経由でサーバーに接続(ログオン)し、フォルダ(ファイル)にアクセス
　できるまで。

hanako がサーバーにログオン《サーバーの認証を受ける》
サーバーはアカウント(ユーザー)名とパスワードを要求し、リモートユーザー機はローカルログオン時のアカウント名とパスワードを送信する。

※ リモートユーザー側のwindowsのエディションによって、動作に違いがあります。

アクセストークンを発行
サーバーはアカウント名とパスワードを登録情報(ユーザー管理表)と照合し、一致していればアクセストークンを発行(作成)してアクセストークン管理表に登録する。

UID を作成
サーバーはUIDを作成してアクセストークンとの対応表に登録する。

※ リモートアクセスにはアクセストークンの代わりにUIDを用いる。

UID を返信
サーバーはリモートユーザーにUIDを返す。

UID を使ってアクセス
リモートユーザー機は受け取ったUIDを使って、サーバーのフォルダやファイルにアクセスする。

アクセス許可の判定
サーバーは受信したUIDを基に次の動作を行う。
1. UIDを基に[アクセストークン:UID対応表]を参照、アクセストークンを識別。
2. アクセストークンを基に[アクセストークン管理表]を参照、SIDを識別。
3. SIDを基に[セキュリティディスクリプタ]を参照、可能な操作(権限)を識別。
4. アクセス要求を制御する。
この例では hanako は読み取りが可能となる。

　ドメインネットワーク内のユーザーアカウント情報とユーザー認証は、ドメインコントローラーが一元管理しています(サーバーは行いません)。
　リモートアクセスの際にユーザーアカウントとパスワードで認証を受け、UIDを使って目的のフォルダ(ファイル)にアクセスする仕組みはワークグループの場合と変わりませんが、その実現方法が異なっています。

　リモートユーザーからアクセス要求を受けたサーバーはユーザー認証の動作をドメインコントローラーに委託し、その結果を受け取ってアクセス制御を行います。

◎ ドメインに所属するサーバーは、リモートユーザーのアカウントを保持していません。

リモートユーザーのアクセス権は、ドメインコントローラーが管理しているユーザーアカウントを参照して設定(SIDをキーとして記録)しておきます。

※ アクセス権設定の詳細は [ Ⅳ．共有設定手順 ] を参照して下さい。

【リモートアクセスの概念図　：ドメイン】

　[サーバー]

【アクセストークン管理表】

SID	アクセストークン
yyy	token11
zzz	token22

【アクセストークン：UID対応表】

アクセストークン	UID
token11	abcde
token22	vwxyz

【セキュリティディスクリプタ】

SID	アクセス可否	権限
yyy	許可	フルコントロール
zzz	許可	読み取り

(６)

リモートユーザー

(１)　

　(４)

(５)　

[ ドメインコントローラー ]

【ユーザー管理表】

アカウント名	SID
taro	yyy
hanako	zzz

【アクセストークン管理表】

SID	アクセストークン
yyy	token11
zzz	token22

　(２)

(３)　

【リモートアクセス時の処理手順　：ドメイン】

taro がサーバーにログオン《サーバー経由でドメインコントローラーの認証を受ける》
サーバーはアカウント(ユーザー)名とパスワードを要求し、リモートユーザー機はローカルログオン時のアカウント名とパスワードを送信する。

※ リモートユーザー側のwindowsのエディションによって、動作に違いがあります。

リモートユーザー情報転送
サーバーはリモートユーザーから受信したユーザーアカウント名とパスワードを、ユーザー認証のためドメインコントローラーへ転送する。

アクセストークンを返信
ドメインコントローラーはユーザー認証後、アクセストークンを作成・記録してサーバーに返信する。

UID を返信
サーバーは受信したアクセストークンをアクセストークン管理表に記録。
さらにUIDを作成して双方を対応表に記録後、UIDをリモートユーザーに返信する。

UID を使ってアクセス
リモートユーザー機は受け取ったUIDを使って、サーバーのフォルダやファイルにアクセスする。

アクセスの制御
サーバーは受信したUIDを基に次の動作を行う。
1. UIDを基に[アクセストークン:UID対応表]を参照、アクセストークンを識別。
2. アクセストークンを基に[アクセストークン管理表]を参照、SIDを識別。
3. SIDを基に[セキュリティディスクリプタ]を参照、可能な操作(権限)を識別。
4. アクセス要求を制御する。
この例では taro はフルコントロールが可能となる。

≪　previous

[[ 共有とアクセス権 ]]

next　≫

Ⅲ．アクセスの制御

Ⅲ．１．アクセス トークンとUID

Ⅲ．２．ローカル アクセス

Ⅲ．３．リモート アクセス

Ⅲ．３．１．ワーク グループ の リモート アクセス

Ⅲ．３．２．ドメイン の リモート アクセス

Ⅲ．１．アクセストークンとUID

Ⅲ．２．ローカルアクセス

Ⅲ．３．リモートアクセス

Ⅲ．３．１．ワークグループのリモートアクセス

Ⅲ．３．２．ドメインのリモートアクセス