ONTAP SMBバイパストラバースチェックの設定について学習します
変更を提案
PDF
トラバースチェックのバイパスは、ユーザーがトラバースされたディレクトリに対する権限を持っていない場合でも、ファイルへのパス内のすべてのディレクトリをトラバースできるかどうかを決定するユーザー権限(_権限_とも呼ばれます)です。トラバースチェックのバイパスを許可または禁止すると何が起こるか、また、Storage Virtual Machine(SVM)上のユーザーに対してトラバースチェックのバイパスを設定する方法について理解しておく必要があります。
トラバース チェックのバイパスを許可または拒否した場合の動作
-
許可した場合、ユーザがファイルにアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイルへのアクセスの可否が判別されます。
-
拒否した場合、ONTAPはファイルのパスにあるすべてのディレクトリでトラバース(実行)権限をチェックします。
中間ディレクトリのいずれかに「
X」(トラバース権限)がない場合、ONTAPはファイルへのアクセスを拒否します。
トラバース チェックのバイパスの設定
ONTAP CLIを使用するか、Active Directoryグループ ポリシーにこのユーザ権限を設定すると、トラバース チェックのバイパスを設定できます。
`SeChangeNotifyPrivilege`権限は、ユーザーがトラバース チェックをバイパスできるかどうかを制御します。
-
この権限をSVMのローカルSMBユーザまたはグループ、ドメイン ユーザまたはグループに追加すると、トラバース チェックのバイパスを許可できます。
-
この権限をSVMのローカルSMBユーザまたはグループ、ドメイン ユーザまたはグループから削除すると、トラバース チェックのバイパスを拒否できます。
SVMの次のBUILTINグループには、デフォルトでトラバース チェックのバイパス権限が割り当てられています。
-
BUILTIN\Administrators -
BUILTIN\Power Users -
BUILTIN\Backup Operators -
BUILTIN\Users -
Everyone
これらのいずれかのグループのメンバーにトラバース チェックのバイパスを許可したくない場合は、グループからこの権限を削除する必要があります。
CLIを使用してSVMのローカルSMBユーザおよびグループのトラバース チェックのバイパスを設定する場合は、次の点に注意する必要があります。
-
カスタム ローカル グループまたはドメイン グループのメンバーが走査チェックをバイパスできるようにするには、 `SeChangeNotifyPrivilege`権限をそのグループに追加する必要があります。
-
個々のローカル ユーザーまたはドメイン ユーザーが走査チェックをバイパスできるようにしたいが、そのユーザーがその権限を持つグループのメンバーではない場合は、そのユーザー アカウントに `SeChangeNotifyPrivilege`権限を追加できます。
-
いつでも `SeChangeNotifyPrivilege`権限を削除することで、ローカルまたはドメインのユーザーまたはグループに対する走査チェックのバイパスを無効にすることができます。
指定されたローカルまたはドメインのユーザーまたはグループのバイパス トラバーズ チェックを無効にするには、 `Everyone`グループから `SeChangeNotifyPrivilege`権限も削除する必要があります。