Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SMBサーバ上のNTFSセキュリティ記述子にNTFS SACLアクセス制御エントリを追加する

共同作成者 netapp-aaron-holt netapp-aherbin
PDF

SVM内のファイルまたはフォルダに対するNTFS監査ポリシーを作成するための2番目のステップは、NTFSセキュリティ記述子にSACL(システムアクセス制御リスト)アクセス制御エントリ(ACE)を追加することです。各エントリは、監査対象となるユーザーまたはグループを識別します。SACLエントリは、成功したアクセス試行と失敗したアクセス試行のどちらを監査するかを定義します。

タスク概要

セキュリティ記述子の SACL に 1 つ以上の ACE を追加できます。

セキュリティ記述子に含まれるSACLに既存のACEがある場合は、新しいACEがSACLに追加されます。セキュリティ記述子にSACLが含まれていない場合は、SACLが作成され、そのDACLに新しいACEが追加されます。

`-account`パラメータで指定されたアカウントの成功イベントまたは失敗イベントについて監査する権限を指定することで、SACL エントリを設定できます。権限を指定するには、互いに排他的な 3 つの方法があります:

  • 権限

  • 高度な権利

  • Raw 権限(advanced-privilege)

メモ

SACL エントリの権限を指定しない場合、デフォルト設定は `Full Control`になります。

 
`apply to`パラメータを使用して継承の適用方法を指定することにより、必要に応じてSACLエントリをカスタマイズできます。このパラメータを指定しない場合は、デフォルトでこのSACLエントリがこのフォルダ、サブフォルダ、およびファイルに適用されます。
手順

  1. セキュリティ記述子に SACL エントリを追加します vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SIDoptional_parameters

    vserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to this-folder -vserver vs1

  2. SACL エントリが正しいことを確認します: vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SID

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe

                                      Vserver: vs1
                        Security Descriptor Name: sd1
         Access type for Specified Access Rights: failure
                             Account Name or SID: DOMAIN\joe
                                   Access Rights: full-control
                          Advanced Access Rights: -
                                        Apply To: this-folder
                                   Access Rights: full-control