MachineKeys フォルダーの既定のアクセス許可

この記事では、MachineKeys フォルダーの既定のアクセス許可について説明します。

適用対象: Windows Server 2003
元の KB 番号: 278381

まとめ

MachineKeys フォルダーには、コンピューターとユーザーの両方の証明書ペア キーが格納されます。 証明書サービスと Internet Explorer の両方でこのフォルダーが使用されます。 適切なインストールと証明書へのアクセスに必要な最小限のアクセス許可を決定しようとすると、フォルダーに対する既定のアクセス許可が誤解を招く可能性があります。

MachineKeys フォルダーの既定のアクセス許可

MachineKeys フォルダーは、 All Users Profile\Application Data\Microsoft\Crypto\RSA フォルダーの下にあります。 管理者がフォルダーを最小レベルに設定しなかった場合、インターネット インフォメーション サーバー (IIS) を使用してサーバー証明書を生成するときに、ユーザーが次のエラーを受け取る可能性があります。

• 証明書要求を生成できませんでした
• 内部サーバー エラー (インポートする秘密キーには、システムにインストールされていない暗号化サービス プロバイダーが必要になる場合があります)

MachineKeys フォルダーの既定のアクセス許可は、次の設定です。

• Administrators (フル コントロール) このフォルダーのみ
• Everyone (特殊) このフォルダーのみ

Everyone グループのアクセス許可

Everyone グループの特別なアクセス許可を表示するには、MachineKeys フォルダーを右クリックし、Security タブで Advanced を選択し、View/Edit を選択します。 アクセス許可は、次のアクセス許可で構成されます。

• フォルダの一覧表示/データの読み取り
• 属性の読み取り
• 拡張属性の読み取り
• ファイルの作成/データの書き込み
• フォルダの作成/データの追加
• 属性の書き込み
• 拡張属性の書き込み
• 読み取りのアクセス許可

すべての子オブジェクトに対する権限の設定を選択し、継承可能な権限の伝達を有効にしますチェック ボックスをオンにします。 管理者は、キー ペアのユーザーのプライベート部分を保護するために、子オブジェクトを完全に制御することはできません。 ただし、管理者は引き続きユーザーの証明書を削除できます。

詳しくは、次の資料を参照してください。

IIS 5.0、IIS 5.1、または IIS 6.0 Web サーバーに必要な NTFS アクセス許可とユーザー権限を設定する方法。