ONTAP SMBサーバ上のNTFSセキュリティ記述子にNTFS DACLアクセス制御エントリを追加する
変更を提案
PDF
NTFSセキュリティ記述子にDACL(随意アクセス制御リスト)アクセス制御エントリ(ACE)を追加することは、ファイルまたはフォルダにNTFS ACLを設定および適用するための2番目のステップです。各エントリは、アクセスを許可または拒否するオブジェクトを識別し、ACEで定義されたファイルまたはフォルダに対してオブジェクトが実行できる操作と実行できない操作を定義します。
セキュリティ記述子の DACL に 1 つ以上の ACE を追加できます。
セキュリティ記述子に含まれるDACLに既存のACEがある場合は、新しいACEがDACLに追加されます。セキュリティ記述子にDACLが含まれていない場合は、DACLが作成され、そのDACLに新しいACEが追加されます。
`-account`パラメータで指定されたアカウントに対して許可または拒否する権限を指定することで、必要に応じてDACLエントリをカスタマイズできます。権限を指定するには、相互に排他的な3つの方法があります:
-
権限
-
高度な権利
-
Raw 権限(advanced-privilege)
|
DACL エントリの権限を指定しない場合は、デフォルトで権限が `Full Control`に設定されます。 |
継承を適用する方法を指定して、必要に応じて DACL エントリをカスタマイズできます。
ストレージレベルのアクセス保護では、オプションパラメータの値は無視されます。この手順で説明されているコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。
-
セキュリティ記述子に DACL エントリを追加します
vserver security file-directory ntfs dacl add -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDoptional_parametersvserver security file-directory ntfs dacl add -ntfs-sd sd1 -access-type deny -account domain\joe -rights full-control -apply-to this-folder -vserver vs1 -
DACL エントリが正しいことを確認します:
vserver security file-directory ntfs dacl show -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDvserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joeVserver: vs1 Security Descriptor Name: sd1 Allow or Deny: deny Account Name or SID: DOMAIN\joe Access Rights: full-control Advanced Access Rights: - Apply To: this-folder Access Rights: full-control`vserver security file-directory ntfs dacl`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=vserver+security+file-directory+ntfs+dacl["ONTAPコマンド リファレンス"^]をご覧ください。