両者の違いが分からなかったのでメモ

・NTFSアクセス権
NTFSでフォーマットされたすべてのフォルダ/ファイルに対するアクセス権

・共有アクセス権
共有したフォルダに対するアクセス権


つまり…
①NTFS拒否、共有拒否→共有リソース拒否
②NTFS許可、共有拒否→共有リソース拒否
③NTFS拒否、共有許可→共有リソース拒否
④NTFS許可、共有許可→共有リソース許可

⇒NTFSアクセス権と共有アクセス権がどちらも許可の場合のみ共有リソースへのアクセスが可能

・NTFSアクセス権設定
フォルダ/ファイルのプロパティを開いてセキュリティタブ

・共有アクセス権設定
フォルダのプロパティを開いて共有タブ

• UACの概要・動作
• 設定方法① UAC管理画面による設定
• 設定方法② ローカルグループポリシーによる設定
• 設定方法③ レジストリの編集による設定
• あとがき
• 参考

UACの概要・動作

【概要】

UACとはアプリの自動インストールや設定を誤って変更することを防ぐ機能。

【動作】

まず、ログインするユーザによって権限が異なり(当たり前)、以下トークンがもらえる。(アクセストークン=権限と読み替えて問題ない)

• • 標準ユーザ：「標準アクセストークン」
  • 管理者ユーザ：「標準アクセストークン」、「管理者アクセストークン」

なお、Administratersグループに所属しているユーザは「標準アクセストークン」を使用してログインなどを実行する。

アプリが管理者権限を必要とした場合、例えばコマンドプロンプト(cmd.exe)を管理者権限で実行しようとすると、以下のように許可が求められる。

このポップアップはユーザデスクトップではなく、セキュアなデスクトップ上で表示される。「はい」をクリックすると管理者に昇格できる。

※標準ユーザが管理者権限を得ようとすると、はい/いいえではなく資格情報を入力するポップアップになる。(ログイン時に管理者アクセストークンを持っていないため)

設定方法① UAC管理画面による設定

1. Winキー > 「uac」と検索 > 「ユーザアカウント制御設定の変更」をクリック
2. UAC設定を要件に合わせて設定

設定方法② ローカルグループポリシーによる設定

1. Winキー+R > 「gpedit.msc」をクリック
2. 「コンピュータの構成」 > 「Windowsの設定」 > 「セキュリティの設定」 > 「ローカルポリシー」 > 「セキュリティオプション」 をクリック
3. UAC設定を要件に合わせて設定

設定方法③ レジストリの編集による設定

1. Winキー+R > 「regedit」をクリック
2. \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemをクリック
3. UAC設定を要件に合わせて設定

※設定項目は②と対応している。また①は②の設定項目を複数まとめて設定している。(①のデスクトップ暗転有無は②のセキュアデスクトップかユーザデスクトップか。など)

あとがき

基本有効がよさそうだが何かと悪さする部分でもあるので私は無効にしている。(vCenter Converterでの移行や仮想マシンテンプレート作成等)

Linuxにおけるsudoと同じ立ち位置かと思ったが違うみたい。

きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?

Windows Serverだとインストール後にAdministratorでログインできるけどWindows 10などはOSインストール後Administratorが無効化されているらしい。

https://support.hp.com/jp-ja/document/c01966695

参考

ユーザー アカウント制御のしくみ | Microsoft Learn

【図解】UACの仕組み ~整合性レベル, MIC, アクセストークン~ | SEの道標