Windows Server 2016 におけるデータ ドライブに付与されるアクセス権限の注意事項

こんにちは、Windows プラットフォーム サポート 横瀬です。

今回は Windows Server 2016 におけるデータ ドライブ (C ドライブと同じディスク上の別パーティション) に
付与されるアクセス権限の注意事項について、ご紹介します。

この情報が、お客様の運用のご参考となれば幸いです。

現在 Windows Server 2016 のイメージ作成を実施いただいているお客様より Sysprep の実行前後で、
一部のデータ ドライブのアクセス権限が変わってしまう。とのお問い合わせをいただいています。

具体的には、以下のような変化です。

■ Windows Server 2016 の D ドライブ (Sysprep 前)

C:\>icacls D:\
D:\ BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(AD)
BUILTIN\Users:(CI)(IO)(WD)
Everyone:(RX)

■ Windows Server 2016 の D ドライブ (Sysprep 後)

C:\>icacls D:\
D:\ BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(M)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)

この動作は Windows Server 2016 の Sysprep.exe 及び、関連モジュールのデザイン変更に伴うもので、
現行 Windows Server 2016 における想定された動作となります。

Windows Server 2016 では Sysprep.exe 及び、その関連モジュールに修正が加えられ、
その際、セキュリティ強化を考慮し既定のアクセス権限が見直されている経緯があります。

この影響を受けるドライブは C ドライブと同じディスク上に存在するドライブのみで、
C ドライブと異なるディスク上のドライブは影響を受けません。

Windows Server 2016 をご利用で且つ、C ドライブが配置されるディスク上に、別パーティションを作成し
データ ドライブを構成する際には Sysprep の実行前後で、既定のアクセス権限が異なることをご留意ください。

なお、上記の動作を変更させるグループ ポリシーや、レジストリ キーはないため、この動作において
影響を受ける可能性がある環境では、前述のアクセス権限を変更することをご検討ください。

データ ドライブについて、既定のアクセス権限を変更いただくことは、サポート対象範囲内です。

【 補足 】

前述のように Sysprep の実行前後でアクセス権限が変化するケースがありますが、もう 1 つ、データ ドライブを
作成する方法によっても、既定のアクセス権限が異なるケースがありますので、補足情報として、紹介します。

この動作は Windows Server 2012 R2 と Windows Server 2016 におけるもので、弊社製品における想定された動作です。

データ ドライブを作成する方法として、Windows インストール時に作成する場合と Windows インストール後、縮小処理等を利用して
作成する場合の 2 パターンがあります。

Windows インストール時に作成した場合、既定のアクセス権限は以下となります。

▼ Windows Server 2012 R2 (インストール時に作成)
Windows Server 2016 (インストール時に作成)

C:\>icacls D:\
D:\ BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(M)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)

Windows インストール後に作成すると、既定のアクセス権限は以下となります。

▼ Windows Server 2012 R2 (インストールした後に作成)
Windows Server 2016 (インストールした後に作成)

C:\>icacls D:\
D:\ BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(AD)
BUILTIN\Users:(CI)(IO)(WD)
Everyone:(RX)

以上となります。

なお、本ブログは予告なく変更される場合がございますので、ご了承ください。