次の方法で共有


Get-Acl

ファイル、レジストリ キーなどのリソースのセキュリティ記述子を取得します。

構文

Get-Acl
   [[-Path] <String[]>]
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]
Get-Acl
   -InputObject <PSObject>
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]
Get-Acl
   [-LiteralPath <String[]>]
   [-Audit]
   [-AllCentralAccessPolicies]
   [-Filter <String>]
   [-Include <String[]>]
   [-Exclude <String[]>]
   [-UseTransaction]
   [<CommonParameters>]

説明

Get-Acl コマンドレットは、ファイルまたはリソースのセキュリティ記述子を表すオブジェクトを取得します。 セキュリティ記述子には、リソースのアクセス制御リスト (ACL) が含まれます。 ACL は、リソースにアクセスするユーザーおよびユーザー グループに割り当てられるアクセス許可を指定します。

Windows PowerShell 3.0 以降では、Get-AclInputObject パラメーターを使用して、パスのないオブジェクトのセキュリティ記述子を取得できます。

例 1 - フォルダーの ACL を取得する

この例では、 C:\Windows ディレクトリのセキュリティ記述子を取得します。

Get-Acl C:\Windows

例 2 - ワイルドカードを使用してフォルダーの ACL を取得する

この例では、名前が s で始まる C:\Windows ディレクトリ内のすべての.log ファイルの PowerShell パスと SDDL を取得します。

Get-Acl C:\Windows\s*.log | Format-List -Property PSPath, Sddl

このコマンドでは、 Get-Acl コマンドレットを使用して、各ログ ファイルのセキュリティ記述子を表すオブジェクトを取得します。 パイプライン演算子 (|) を使用して、結果を Format-List コマンドレットに送信します。 このコマンドは、Format-ListProperty パラメーターを使用して、各セキュリティ記述子オブジェクトの PsPath および SDDL プロパティのみを表示します。

長い値はテーブルで切り捨てられたように見えるため、PowerShell ではリストがよく使用されます。

SDDL値は、セキュリティ記述子のすべての情報を含む単純なテキスト文字列であるため、システム管理者にとって重要です。 そのため、これらの値は簡単に渡して保存でき、必要なときに解析できます。

例 3 - ACL の監査エントリの数を取得する

この例では、名前が s で始まる C:\Windows ディレクトリ内の.log ファイルのセキュリティ記述子を取得します。

Get-Acl C:\Windows\s*.log -Audit | ForEach-Object { $_.Audit.Count }

Audit パラメーターを使用して、セキュリティ記述子の SACL から監査レコードを取得します。 次に、 ForEach-Object コマンドレットを使用して、各ファイルに関連付けられている監査レコードの数をカウントします。 結果として、各ログ ファイルの監査レコードの数を表す番号のリストが得られます。

例 4 - レジストリ キーの ACL を取得する

この例では、 Get-Acl コマンドレットを使用して、レジストリの Control サブキー (HKLM:\SYSTEM\CurrentControlSet\Control) のセキュリティ記述子を取得します。

Get-Acl -Path HKLM:\System\CurrentControlSet\Control | Format-List

Path パラメーターは、Control サブキーを指定します。 パイプライン演算子 (|) は、Format-List コマンドGet-Acl取得するセキュリティ記述子を渡します。このコマンドは、セキュリティ記述子のプロパティを一覧として書式設定して、読みやすくします。

例 5 - **InputObject** を使用して ACL を取得する

この例では、Get-AclInputObject パラメーターを使用して、ストレージ サブシステム オブジェクトのセキュリティ記述子を取得します。

Get-Acl -InputObject (Get-StorageSubSystem -Name S087)

パラメーター

-AllCentralAccessPolicies

コンピューター上で有効になっているすべての集約型アクセス ポリシーに関する情報を取得します。

Windows Server 2012 以降では、管理者は Active Directory とグループ ポリシーを使用して、ユーザーとグループの集約型アクセス ポリシーを設定できます。 詳細については、「 Dynamic Access Control: Scenario Overview」を参照してください。

このパラメーターは、Windows PowerShell 3.0 で導入されました。

型:SwitchParameter
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Audit

システム アクセス制御リスト (SACL) からセキュリティ記述子の監査データを取得します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Exclude

指定した項目を除外します。 このパラメーターの値は、 Path パラメーターを修飾します。 パス要素またはパターン ( *.txtなど) を入力します。 ワイルドカードを使用できます。

型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Filter

プロバイダーの形式や言語でフィルターを指定します。 このパラメーターの値は、 Path パラメーターを修飾します。 ワイルドカードを使用できるかどうかなど、フィルターの構文はプロバイダーによって異なります。 フィルターは、取得後に PowerShell でオブジェクトをフィルター処理するのではなく、オブジェクトを取得するときにプロバイダーによって適用されるため、他のパラメーターよりも効率的です。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Include

指定された項目だけを取得します。 このパラメーターの値は、 Path パラメーターを修飾します。 パス要素またはパターン ( *.txtなど) を入力します。 ワイルドカードを使用できます。

型:String[]
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-InputObject

指定したオブジェクトのセキュリティ記述子を取得します。 オブジェクトが格納されている変数、またはオブジェクトを取得するコマンドを入力します。

パス以外のオブジェクトをパイプして Get-Aclすることはできません。 代わりに、コマンドで InputObject パラメーターを明示的に使用します。

このパラメーターは、Windows PowerShell 3.0 で導入されました。

型:PSObject
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-LiteralPath

リソースへのパスを指定します。 Path とは異なり、LiteralPath パラメーターの値は、型指定されたとおりに使用されます。 ワイルドカードとして解釈される文字はありません。 パスにエスケープ文字が含まれている場合は、単一引用符で囲みます。 単一引用符は、エスケープ シーケンスとして文字を解釈しないように PowerShell に指示します。

このパラメーターは、Windows PowerShell 3.0 で導入されました。

型:String[]
Aliases:PSPath
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Path

リソースへのパスを指定します。 Get-Acl は、パスによって示されるリソースのセキュリティ記述子を取得します。 ワイルドカードを使用できます。 Path パラメーターを省略すると、Get-Aclは現在のディレクトリのセキュリティ記述子を取得します。

パラメーター名 ("Path") は省略可能です。

型:String[]
配置:1
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:True

-UseTransaction

アクティブなトランザクションのコマンドが含まれます。 このパラメーターは、トランザクションが進行中の場合のみ有効です。 詳細については、「 about_Transactions」を参照してください。

型:SwitchParameter
Aliases:usetx
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

String

このコマンドレットへのパスを含む文字列をパイプ処理できます。

出力

FileSecurity

DirectorySecurity

RegistrySecurity

このコマンドレットは、取得した ACL を表すオブジェクトを返します。 オブジェクトの種類は、ACL の種類に依存します。

メモ

既定では、 Get-Acl リソース (<provider>::<resource-path>)、リソースの所有者、およびリソースの随意アクセス制御リスト (DACL) のアクセス制御エントリのリスト (配列) である "Access" への PowerShell パスが表示されます。 DACL リストは、リソースの所有者によって制御されます。

パス、所有者、アクセス リストに加えて、結果をリスト (Get-Acl | Format-List) として書式設定すると、PowerShell には次のプロパティとプロパティ値が表示されます。

  • グループ: 所有者のセキュリティ グループ。
  • 監査: システム アクセス制御リスト (SACL) 内のエントリの一覧 (配列)。 SACL は、Windows が監査レコードを生成するアクセス試行の種類を指定します。
  • Sddl: セキュリティ記述子定義言語形式の単一のテキスト文字列で表示されるリソースのセキュリティ記述子。 PowerShell では、セキュリティ記述子の GetSddlForm メソッドを使用して、このデータを取得します。

Get-Aclはファイル システムとレジストリ プロバイダーによってサポートされているため、Get-Aclを使用して、ファイルやディレクトリなどのファイル システム オブジェクトの ACL と、レジストリ キーやエントリなどのレジストリ オブジェクトを表示できます。