ユーザーまたはグループが ONTAP SMB ディレクトリ トラバース チェックをバイパスできるようにする
変更を提案
PDF
ユーザーがファイルパス内のすべてのディレクトリをトラバースできるようにしたい場合、たとえトラバース先のディレクトリに対する権限がユーザーになくても、Storage Virtual Machine(SVM)上のローカルSMBユーザーまたはグループに `SeChangeNotifyPrivilege`権限を追加できます。デフォルトでは、ユーザーはディレクトリトラバースチェックをバイパスできます。
-
SVM上にSMBサーバが存在している必要があります。
-
ローカル ユーザとローカル グループのSMBサーバ オプションが有効になっている必要があります。
-
`SeChangeNotifyPrivilege`権限を追加するローカルまたはドメインのユーザーまたはグループが既に存在している必要があります。
ドメイン ユーザまたはグループへの権限の追加時、ONTAPでは、ドメイン コントローラに接続してそのドメイン ユーザまたはグループを検証することがあります。ONTAPがドメイン コントローラに照会できない場合、コマンドが失敗することがあります。
-
SeChangeNotifyPrivilege`権限をローカルまたはドメインのユーザーまたはグループに追加して、トラバース チェックのバイパスを有効にします: `vserver cifs users-and-groups privilege add-privilege -vserver vserver_name -user-or-group-name name -privileges SeChangeNotifyPrivilege`-user-or-group-name`パラメータの値は、ローカル ユーザーまたはグループ、あるいはドメイン ユーザーまたはグループです。
-
指定されたユーザーまたはグループでバイパス走査チェックが有効になっていることを確認します:
vserver cifs users-and-groups privilege show -vserver vserver_name ‑user-or-group-name name
次のコマンドは、“EXAMPLE\eng” グループに属するユーザーが、 `SeChangeNotifyPrivilege`権限をグループに追加することで、ディレクトリトラバースチェックをバイパスできるようにします:
cluster1::> vserver cifs users-and-groups privilege add-privilege -vserver vs1 -user-or-group-name EXAMPLE\eng -privileges SeChangeNotifyPrivilege cluster1::> vserver cifs users-and-groups privilege show -vserver vs1 Vserver User or Group Name Privileges --------- --------------------- --------------- vs1 EXAMPLE\eng SeChangeNotifyPrivilege