NTFSセキュリティ記述子へのNTFS SACLアクセス制御エントリの追加
変更を提案
PDF
NTFS セキュリティ記述子への SACL (システムアクセス制御リスト)アクセス制御エントリ( ACE )の追加は、 SVM 内のファイルやフォルダに対する NTFS 監査ポリシーを作成する 2 番目のステップです。エントリごとに、監査するユーザまたはグループを指定します。SACL エントリは、成功したアクセス試行と失敗したアクセス試行のどちらを監査するかを定義します。
セキュリティ記述子のSACLには1つ以上のACEを追加できます。
セキュリティ記述子に含まれるSACLに既存のACEがある場合は、新しいACEがSACLに追加されます。セキュリティ記述子にSACLが含まれていない場合は、SACLが作成されて新しいACEが追加されます。
SACLエントリを設定するには、パラメータで指定したアカウントの成功イベントまたは失敗イベントについて監査する権限を指定し `-account`ます。権限を指定する場合、次の 3 つの相互に排他的な方法があります。
-
権限
-
詳細な権限
-
raw 権限( advanced 権限)
|
SACLエントリの権限を指定しない場合のデフォルト設定はです |
必要に応じて、パラメータで継承を適用する方法を指定して、SACLエントリをカスタマイズでき `apply to`ます。このパラメータを指定しない場合、デフォルトでは、この SACL エントリがこのフォルダ、サブフォルダ、およびファイルに適用されます。
-
SACLエントリをセキュリティ記述子に追加します。
vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SIDoptional_parametersvserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to this-folder -vserver vs1 -
SACLエントリが正しいことを確認します。
vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SIDvserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joeVserver: vs1 Security Descriptor Name: sd1 Access type for Specified Access Rights: failure Account Name or SID: DOMAIN\joe Access Rights: full-control Advanced Access Rights: - Apply To: this-folder Access Rights: full-control