Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Agregue entradas de control de acceso SACL NTFS a los descriptores de seguridad NTFS en servidores SMB de ONTAP

Colaboradores
PDF

Añadir entradas de control de acceso (ACE) SACL (lista de control de acceso del sistema) al descriptor de seguridad NTFS es el segundo paso a la hora de crear directivas de auditoría NTFS para archivos o carpetas en SVM. Cada entrada identifica el usuario o grupo que desea auditar. La entrada SACL define si desea auditar los intentos de acceso fallidos o correctos.

Acerca de esta tarea

Puede añadir una o varias ACE a la SACL del descriptor de seguridad.

Si el descriptor de seguridad contiene una SACL que tiene ACE existentes, el comando agrega la nueva ACE a la SACL. Si el descriptor de seguridad no contiene una SACL, el comando crea la SACL y le agrega la nueva ACE.

Puede configurar entradas de SACL especificando los derechos que desea auditar para eventos de éxito o fallo de la cuenta especificada en el -account parámetro. Hay tres métodos mutuamente exclusivos para especificar los derechos:

  • Derechos

  • Derechos avanzados

  • Derechos RAW (privilegio avanzado)

Nota

Si no especifica derechos para la entrada SACL, el valor por defecto es Full Control.

Opcionalmente, puede personalizar las entradas de SACL especificando cómo aplicar la herencia con el apply to parámetro. Si no especifica este parámetro, el valor predeterminado es aplicar esta entrada SACL a esta carpeta, subcarpetas y archivos.

Pasos

  1. Agregue una entrada SACL a un descriptor de seguridad: vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SIDoptional_parameters

    vserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to this-folder -vserver vs1

  2. Compruebe que la entrada de SACL es correcta: vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SID

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe

                                      Vserver: vs1
                        Security Descriptor Name: sd1
         Access type for Specified Access Rights: failure
                             Account Name or SID: DOMAIN\joe
                                   Access Rights: full-control
                          Advanced Access Rights: -
                                        Apply To: this-folder
                                   Access Rights: full-control