NTFSセキュリティ記述子へのNTFS DACLアクセス制御エントリの追加
変更を提案
PDF
NTFS セキュリティ記述子への随意アクセス制御リスト( DACL )のアクセス制御エントリ( ACE )の追加は、ファイルまたはフォルダに対する NTFS ACL の設定および適用における 2 番目の手順です。各エントリによって、アクセスが許可または拒否されるオブジェクトが識別され、 ACE で定義されているファイルまたはフォルダに対してオブジェクトが実行できる操作または実行できない操作が定義されます。
セキュリティ記述子のDACLには1つ以上のACEを追加できます。
セキュリティ記述子に含まれるDACLに既存のACEがある場合は、新しいACEがDACLに追加されます。セキュリティ記述子にDACLが含まれていない場合は、DACLが作成されて新しいACEが追加されます。
必要に応じて、パラメータで指定したアカウントに対して許可または拒否する権限を指定することで、DACLエントリをカスタマイズでき `-account`ます。権限を指定する場合、次の 3 つの相互に排他的な方法があります。
-
権限
-
詳細な権限
-
raw 権限( advanced 権限)
|
DACLエントリの権限を指定しない場合、権限はデフォルトでに設定され `Full Control`ます。 |
必要に応じて、継承の適用方法を指定することで、 DACL エントリをカスタマイズできます。
オプションのパラメータの値はストレージレベルのアクセス保護では無視されます。詳細については、マニュアルページを参照してください。
-
セキュリティ記述子にDACLエントリを追加します。
vserver security file-directory ntfs dacl add -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDoptional_parametersvserver security file-directory ntfs dacl add -ntfs-sd sd1 -access-type deny -account domain\joe -rights full-control -apply-to this-folder -vserver vs1 -
DACLエントリが正しいことを確認します。
vserver security file-directory ntfs dacl show -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDvserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joeVserver: vs1 Security Descriptor Name: sd1 Allow or Deny: deny Account Name or SID: DOMAIN\joe Access Rights: full-control Advanced Access Rights: - Apply To: this-folder Access Rights: full-control