- AccessChk を使用すると、ファイル、レジストリ、サービス、プロセスに対する有効なアクセス許可を正確に監査できます。
- 最初に AccessChk で診断すると、ACL、GPO、またはレジストリへの不要な変更を防ぐことができます。
- 一般的なケース: SMB リソース、GPO バックアップ、EFS、クラッシュ、ファイル システムの破損。
- GUI の所有権/ACL、CHKDSK、適切な資格情報、および該当する場合は DLL/ActiveX の再登録を補足してください。
時 Windows 典型的な警告が表示されます アクセスが拒否されました ファイル、フォルダ、レジストリキー、あるいはサービスに触れると、イライラさせられます。そういったものを無効化する前に、誰が、なぜ権限を持っているのかを正確に診断しておくことをお勧めします。そして、まさにここでAccessChkが威力を発揮します。 Sysinternalsの 数秒で効果的なアクセス制御を実現します。
このガイドでは、明確かつ詳細な説明が見つかります。 AccessChkの使い方 最も一般的なシナリオ(共有リソース、GPO/MDMの操作、ロックされたファイル、整合性レベル、さらには次のようなケース)に対する権限、実際の例、結果の解釈、実用的な解決策を確認します。 USB または外付けドライブ 開かないもの。グループポリシー、レジストリ、 トリック 相補的な (プロパティ、EFS、CHKDSK、DLL/ActiveX の再登録) により、「拒否」されたものがあなたに抵抗できなくなります。
AccessChkとは何か、そしてなぜ時間を節約できるのか
AccessChkは、 マーク・ルシノビッチ これにより、アカウントまたはグループがリソース(ファイル、フォルダ、レジストリキー、サービス、プロセス、オブジェクトマネージャ名前空間内のオブジェクトなど)に対してどのような有効なアクセス権を持っているかを一目で確認できます。 共有リソース出力はコンパクトで、必要に応じて非常に詳細になります。
AccessChkを実行すると、次のようなマークが表示されます。 R (読む)そして W (書き込み)、または権限がない場合は何も表示されません。 -v 特定の権限と整合性レベルまでドリルダウンできます。これは、GUIで何千ものダイアログボックスを開くことなく、「なぜこのユーザーはここに書き込みできないのか?」を確認するのに最適です。
基本的なインストールと実行
AccessChk はポータブル コンソール バイナリです。コンピューターのフォルダーにコピーするだけです。 パス または、そのディレクトリに移動して実行します。ゼロを希望する場合は ダウンロードから起動できます Sysinternals ライブ (「今すぐ実行」)をネットワーク経由で直接実行できます。 accesschk を示しています 構文ヘルプ.
システムパス、サービス、または保護されたキーを確認するときは、管理者権限でコンソールを実行してください。そうしないと、 実際のアクセス制御 または抑制されたエラーが表示されます。
構文と必須オプション
一般的な使い方は柔軟で、アカウントやグループ、オブジェクトの種類、フィルタリングやドリルダウンのためのパラメータを指定できます。これが基本的な概要です。 アクセスチェック (要約)
accesschk [-s][-e][-u][-r][-w][-n][-v][-f <cuenta>,...] [[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <tipo>]][-c]|[-d]] [[-l [-i]]|[usuario]] <ruta o nombre de objeto>
以下では、主要な修飾子とその適用内容について説明します。これにより、重要なものを見逃すことなく、適切なものを検索できます。 オブジェクトタイプ あなたは何が必要ですか:
| パラメータ | 何をしますか |
|---|---|
| -a | 名前は 会計権 Windowsの場合、「*」を使用すると、ユーザーに割り当てられたすべての権限が表示されます。特定の権限を指定すると、直接割り当てられた権限のみが表示されます。 |
| -c | 名前は Windows サービス (例:ssdpsrv)。すべてのサービスの場合は「*」、サービスコントロールマネージャーの場合は「scmanager」を使用します。 |
| -d | 限定 ディレクトリ、プロセス、または最上位レベルのキーを必要に応じて選択します。 |
| -e | 表示のみ 誠実さのレベル 明示的に設定します (Vista 以降)。 |
| -f | 後に -pプロセストークンをダンプします グループと特権-p を指定しないと、出力からカウント(コンマ区切りのリスト)がフィルタリングされます。 |
| -h | 名前は 共有リソース ファイルまたはプリンターの一覧。「*」は共有されているすべてのファイルを一覧表示します。 |
| -i | -l で完全な ACL をダンプすると、ACE は省略されます。 遺伝性の. |
| -k | 名前は レジストリキー (例: hklm\software)。 |
| -l | 表示 セキュリティ記述子 完了。継承された ACE をスキップするには -i を追加します。 |
| -n | 存在しないオブジェクトのみを返します アクセス. |
| -o | 名前は、 名前空間 オブジェクトマネージャ(デフォルトではルート)から実行します。末尾のスラッシュまたは「-s」は内容を表示します。タイプ(例:セクション)でフィルタリングするには、「-t」を追加します。 |
| -p | 名前は プロセス またはPID(すべてを表すには「*」)。-f を指定すると完全なトークンが表示され、-t を指定するとトークンが含まれます。 スレッド. |
| -ノーバナー | それは示されない バナー 最初から著作権もありませんでした。 |
| -r | 次のオブジェクトをフィルターします 読書. |
| -s | それはある意味で 再帰的. |
| -t | フィルター オブジェクトタイプ (例: 「セクション」)。 |
| -u | 抑制します エラー 出かける途中。 |
| -v | モード 詳細な (整合性レベルを含む)。 |
| -w | 次のオブジェクトをフィルターします 書き物. |
デフォルトでは、AccessChkは渡された内容を次のように解釈します。 ファイルシステムパス名前付きパイプの場合はプレフィックスを使用します \pipe\ユーザーまたはグループとパスを追加すると、 有効な許可 そのアカウントのアクセス権限がありません。ない場合は、オブジェクトのセキュリティ記述子内のアカウントのアクセス権限を表示します。
出力を読みながら迷わない方法
あなたが見たら R、読書があります。 W何も表示されない場合はアクセスできません。 -v これは非常に便利です。付与された各権限と整合性レベルが表示されます (UAC と整合性ポリシーが設定されている環境では非常に便利です)。
あなたが示すとき -l完全なセキュリティ記述子(DACL/SACL/所有者)を取得できます。 -i 従来のACEをスキップして明示的なACEに集中できます。この組み合わせは、 ブロックする人 本当にアクセスします。
トラブルから抜け出すための使用例
権限を確認する 上級ユーザー en C:\Windows\System32 (各要素の有効なアクセスを表示します):
accesschk "power users" c:\windows\system32
グループアカウントを確認する ユーザー Windows サービスに書き込むことができます:
accesschk users -c -w *
以下のキーをリストします HKLM\ソフトウェア 特定のユーザーがアクセスせず、再帰的に走査し、継承を表示しない:
accesschk -k -n -s dominio\usuario hklm\software
キーのセキュリティを表示 HKLM\ソフトウェア 完全な説明:
accesschk -k -l hklm\software
ファイルの場所 C:\Users\名前 明示的な整合性レベルを持つもの:
accesschk -e -s c:\users\nombre
誰でもアクセスできるグローバル名前空間オブジェクトを一覧表示する 変更 (硬化時に注意してください)
accesschk -w -u -o everyone \BaseNamedObjects
ファイル操作とGPO/MDMにおける「アクセス拒否」を修正
典型的なケース: 「ファイルとフォルダの操作」 (例:Endpoint Centralまたは他のプラットフォームから)「構成に失敗しました」と「アクセスが拒否されました」という詳細が表示されて失敗します。まず、ソースとターゲットに対してAccessChkを使用して、有効な権限を確認してください。 実行中のアカウント クライアント上のアクション。
ソース障害の一般的なポイントを確認してください:1) クライアントがソースからネットワークリソースを読み取ることができない。2) ワークグループ または異なるドメインで、資格情報を定義していない場合、3) ファイルが使用中の場合。宛先から判断する場合:1) ユーザーは 書き込み パス内; 2) ファイルは別のプロセスによってロックされています。
通常、これを解決する具体的な対策:情報源のシェアについては、少なくとも 読書 適切なグループに追加してください(Windowsの場合:プロパティ > セキュリティ)。信頼できない環境では、バックアップタスクを設定する際に有効な資格情報を指定してください(資格情報を使用してリソースを接続する)、アカウントが必要に応じて読み取りや書き込みを行えることを確認します。
削除に失敗した場合は、クライアントコンピュータを再起動してハンドルを解放します。起動時にもクラッシュが発生する場合は、 衝突ルート msconfigのスタート/サービスオプションからもう一度お試しください。 Windows 11同じ手順が適用され、AccessChkは、 厄介なACE もはや存在しません。
SMB株と「危険な」ゲスト
混合環境では、ゲスト認証がロックアウトされる可能性があります。「安全でないゲストログオンを有効にする” はSMB経由のゲストログインを許可しますが、これはリスクのある方法です。ポリシーから:コンピューター > 管理用テンプレート > ネットワーク > Lanman Workstation > 安全でないゲストログインを有効にする.
レジスターによる同等の調整は HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters とともに AllowInsecureGuestAuth=1影響を理解している場合にのみ使用してください。 資格情報 リソースに対する権限が明確に定義されています。
GUIから所有権を取得し、権限を調整する
AccessChkで確認した結果、ユーザーまたはグループにアクセス権がないことが確認できたら、制御を取り戻すことができます。管理者アカウントで、「プロパティ」>「セキュリティ」> 上級 所有者を変更します。その後、管理者(または対象グループ)にフルコントロール権限を付与し、必要に応じてサブフォルダ/オブジェクトにも適用します。
ステップバイステップの要約:箱を開ける 高度なセキュリティ設定所有者の変更を押し、ユーザーまたはグループを選択し(今すぐ検索してリストを表示できます)、承認し、アクセス許可で必要な権限(読み取り、書き込み、変更、削除、アクセス許可の変更など)を持つエントリを追加します。 所有するなど)。Windows セキュリティで適用して確認してください。
開けられない原因が EFS暗号化「プロパティ」>「全般」>「詳細設定」で、「コンテンツを暗号化」のチェックボックスにチェックが入っているはずです。この場合、関連する証明書/キーが必要になります。証明書/キーがないと、コンテンツを読み取る正当な方法がありません。キーを持っている場合、または復号可能なコピーから復元した場合のみ、チェックを外してください。
「このフォルダにアクセスできません」などのよくあるメッセージ
最も一般的な原因: Windows の更新後の所有権の変更、継承された権限が現在あなたを除外している、EFS によって保護されているファイル、破損したデータ、またはプロファイル 被害を受けたユーザーAccessChk は、ACL の問題なのか、ディスク上の物理的/論理的な問題なのかを区別するのに役立ちます。
権限を検証するには:プロパティ > セキュリティ > 「グループ名またはユーザー名」でユーザーを確認し、該当する場合は管理者アカウントで編集をクリックします。 agregar 不足している権限。ツリーが複雑な場合は、 -l AccessChk で DACL/SACL を調べて、ACE が何を送信しているかを理解します。
外付けドライブまたはUSBドライブ:「ドライブにアクセスできません」
クラッシュがUSBメモリや外付けドライブに影響する場合(「構造が壊れている」「パラメータが間違っている」など)、手がかりは変わります。ファイルシステムの破損、不良セクタ、またはアクセスポリシーの問題が考えられます。計画はまず以下の点から始めるべきです。 データを保護する.
それでも文字がマウントされる場合は、まず回復ツールを使用して回復を試みてください。 データ復旧 何かに触れる前に、多くの商用スイートは数千ものフォーマットやシナリオをサポートし、高い成功率を誇っています。重要なファイルを抽出した後、CHKDSKを実行して修復してください。
一般的な手順: 開く CMD 管理者として起動 chkdsk E: /f /r (Eをあなたのドライブに置き換えてください)。その後、AccessChkであなたのアカウントに権限があるかどうかを確認し、必要に応じて変更してください。 propiedad 他のローカル フォルダーと同様にアクセスを許可します。
サービス、プロセス、オブジェクト: ファイルを超えて
すべてがそうであるわけではありません NTFS。 とともに -c サービス(および「scmanager」を使用したサービスコントロールマネージャー)を確認することができます。 -p プロセスを検査し、-fを使用すると、 特権 トークングループ。カーネルオブジェクト(セクション、イベントなど)の場合は、 -o -t を使用してタイプ別にフィルタリングします。
これらのチェックは、強化によって機能が破壊されるときに重要です。たとえば、ユーザーの開始権限のないサービスや、 オープンライティング 閉じられているはずです。AccessChk で正確な写真を確認できます。
Microsoft Access (VBA)、参照、および ActiveX: ロックが NTFS でない場合
「動作しない」原因は、コード依存関係(タイプライブラリなど)から発生することがあります。 DAO/ADO、ActiveXコントロール、または存在しないファイルへの参照。Access(データベース)で、VBエディタ(Alt+F11)を開き、「ツール」>「参照設定」を選択し、「不足」フラグがないか確認してください。
Accessは参照を順番に解決します。すでにロードされているかどうかを確認し、 RefLibPaths レジストリで、アプリフォルダ(Msaccess.exe)、現在のフォルダ、Windows、システム、PATH パスを探します。一致するものがない場合、「プロジェクトまたはライブラリが見つかりません」などのエラーが表示されます。 「未定義の変数」 または消える機能。
一般的な解決策: 以前のバージョンから移行する場合、該当しない場合はADOを置き換え、「Microsoft DAO 3.6 オブジェクト ライブラリ適切な場合は ” を追加し、Utility.mda への参照が最新のライブラリで既にカバーされている場合は削除し、配布時にはライセンスされたコントロールを実行時にパッケージ化します。 実行 「必要なライセンスを持っていない」という状況を避けるためです。
「ActiveXコンポーネントはオブジェクトを作成できません」というエラーが表示される場合は、DLLが正しく登録されていることを確認してください。再登録するには、 regsvr32.exe Nombre.dll (まずregsvr32とDLLのパスを調べてください)そしてAccessでもう一度試してください。もし問題が深刻な場合は、「参照設定」を開き、任意のライブラリをアクティブ化し、「承認」をクリックして再度入力してください。 消して; この「リフレッシュ」は時々状態を浄化します。
モバイル転送とデータソース
フォルダを iPhone o iPad、覚えておいてください iTunesファイル共有 アイテムをドキュメントアプリ(ローカルファイル)に移動し、そこからPC/Macまたはクラウドに移動します。古いモデルではこのオプションが利用できない場合があります。
ファイルがコンピューターに保存されたら、AccessChk を使用して、ファイルを操作するユーザーの有効な権限を確認し、予期せぬ事態を回避します。 ACL ブロックの変更を継承しました。
AccessChkのベストプラクティス
大きなディレクトリでAccessChkを使用すると、 -s 再帰的に走査し、トラブルを探すなら、 -n アクセスできない場所のみをリストします。 -v 精密診断と用途 -u エラーによって出力が汚くならないようにしたい場合。
パフォーマンスやデータ量を分析する際に、興味のないアカウントを除外するには -f (カンマ区切りのリストとして)カーネルオブジェクトでは、型によって区切られ、 -tこれにより、ノイズが低減され、 研究.
バイトの世界とテクノロジー全般についての情熱的なライター。私は執筆を通じて自分の知識を共有するのが大好きです。このブログでは、ガジェット、ソフトウェア、ハードウェア、技術トレンドなどについて最も興味深いことをすべて紹介します。私の目標は、シンプルで楽しい方法でデジタル世界をナビゲートできるよう支援することです。