Windowsアクセス制御エントリ（ACE）の適用先

フォルダの各ACEには「適用先」が定義されています。セキュリティの詳細設定画面において、ACL一覧に表示されていますが、
「編集」ボタンを押すとさらに詳しく見ることが可能です。（ファイルのACEには適用先はありません）

適用先は7通りだけではない

アクセス許可エントリの編集画面で選択できる適用先は下記の7通りです。

#	適用先のWindows標準表記	caclsでの表記
1	このフォルダのみ
2	このフォルダ、サブフォルダおよびファイル	(OI)(CI)
3	このフォルダとサブフォルダ	(CI)
4	このフォルダとファイル	(OI)
5	サブフォルダとファイルのみ	(OI)(CI)(IO)
6	サブフォルダのみ	(CI)(IO)
7	ファイルのみ	(OI)(IO)

ご覧の通り、この7通りは、下記の３つのフラグの組合わせです。

記号	フラグ	意味
OI	オブジェクト継承(Object Inherit)	ファイルに継承されます
CI	コンテナ継承(Container Inherit)	フォルダに継承されます
IO	継承のみ(Inherit Only)	このフォルダに適用されません

2×2×2 = 8通りですが、適用先なしの組み合わせ（IOのみ）の場合にはエントリの存在意義がなくなってしまうため、それを除いた7通りが使われます

しかしながら、実は7通りでは足りないのです。というのもここでの「サブフォルダ」はサブフォルダのさらに下位階層にある
孫フォルダをも含んでおり、「ファイル」もサブフォルダ中のファイルを含んでいるからです。そのため、
このフォルダ中のファイルとサブフォルダ中のファイルを区別するには、もうひとつのフラグが必要になりました。このフラグが、
アクセス制御エントリの編集画面一番下に出てくるチェックボックスであり、
このチェックボックスとの組合わせによって13通りの適用先が決まります。
適用際の選択ボックスや表示が7通りのままなのは、過去を引きずっているだけと考えましょう。

チェックボックスの名前ですが「これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する」という大変長ったるしい名前で面倒なので、
「NP」チェックボックスと呼ばせてください。（"Non-Propagate" - 「継承しない」の意）

13通りの適用先

下記に13通りの適用先と、このフォルダ・サブフォルダ・孫フォルダおよびそれぞれのフォルダのファイルが適用対象となるかを列挙します

#	適用先	#	適用先
NPチェックボックスをOFF(既定) ※サブフォルダ以下のフォルダ・ファイルが含まれます		NPチェックボックスをON ※サブフォルダ内のファイル・孫フォルダ以下が適用外になります
1	このフォルダのみ	-	左に同じ
2	このフォルダ・サブフォルダとファイル	8	このフォルダ・サブフォルダとファイル
3	このフォルダとサブフォルダ	9	このフォルダとサブフォルダ
4	このフォルダとファイル	10	このフォルダとファイル
5	サブフォルダとファイルのみ	11	サブフォルダとファイルのみ
6	サブフォルダのみ	12	サブフォルダのみ
7	ファイルのみ	13	ファイルのみ

いかがでしょうか？ご覧の通り、４つのフラグの組み合わせが13通りになりますが、
意味がわかりにくく使いにくいものが多いことがわかります。

よくつかう適用先は5通り程度

よく使う組合わせはそれほど多くないでしょう。下記にあげる5通りで、良いのではないでしょうか？

#	適用先	説明
NPチェックボックスをOFF(既定)の場合
1	このフォルダのみ	これはよく使います
2	このフォルダ・サブフォルダとファイル	これも一番使われます
5	サブフォルダとファイルのみ	使うことがあるかもしれません
NPチェックボックスをONの場合
10	このフォルダとファイル	「このフォルダとこのフォルダのファイル」です
13	ファイルのみ	「このフォルダのファイル」です

つづき [3] Windowsアクセス許可のいろいろ

関連記事