ONTAP SMBバイパストラバースチェックの設定について学ぶ
変更を提案
PDF
トラバースチェックのバイパスは、トラバースするディレクトリに対する権限がユーザにない場合でも、ファイルのパスに含まれるすべてのディレクトリをユーザがトラバースできるかどうかを判断するユーザ権限です。トラバースチェックのバイパスを許可または拒否した場合の動作と、Storage Virtual Machine(SVM)でのユーザに対するトラバースチェックのバイパスの設定方法を理解しておく必要があります。
トラバースチェックのバイパスを許可または拒否した場合の動作
-
許可した場合、ユーザがファイルにアクセスしようとすると、中間ディレクトリのトラバース権限がONTAPでチェックされず、ファイルへのアクセスの可否が判別されます。
-
拒否した場合、ONTAPはファイルのパスにあるすべてのディレクトリでトラバース(実行)権限をチェックします。
中間ディレクトリのいずれかに「 X 」(トラバース権限)がない場合、 ONTAP はファイルへのアクセスを拒否します。
トラバースチェックのバイパスの設定
トラバースチェックのバイパスを設定するには、ONTAP CLIを使用するか、Active Directoryグループポリシーにこのユーザ権限を設定します。
権限は SeChangeNotifyPrivilege、ユーザにトラバースチェックのバイパスを許可するかどうかを制御します。
-
この権限をSVMのローカルSMBユーザまたはグループ、ドメインユーザまたはグループに追加すると、トラバースチェックのバイパスを許可できます。
-
この権限をSVMのローカルSMBユーザまたはグループ、ドメインユーザまたはグループから削除すると、トラバースチェックのバイパスが拒否されます。
SVMの次のBUILTINグループには、デフォルトでトラバースチェックのバイパス権限があります。
-
BUILTIN\Administrators -
BUILTIN\Power Users -
BUILTIN\Backup Operators -
BUILTIN\Users -
Everyone
これらのいずれかのグループのメンバーにトラバースチェックのバイパスを許可しない場合は、グループからこの権限を削除する必要があります。
CLIを使用してSVMのローカルSMBユーザおよびグループのトラバースチェックのバイパスを設定する場合は、次の点に注意する必要があります。
-
カスタムのローカルグループまたはドメイングループのメンバーにトラバースチェックのバイパスを許可する場合は、そのグループに権限を追加する必要があります
SeChangeNotifyPrivilege。 -
ローカルユーザまたはドメインユーザにトラバースチェックのバイパスを個別に許可し、そのユーザがその権限を持つグループのメンバーでない場合は、そのユーザアカウントに権限を追加できます
SeChangeNotifyPrivilege。 -
ローカルまたはドメインのユーザやグループに対するトラバースチェックのバイパスをいつでも無効にするには、権限を削除し `SeChangeNotifyPrivilege`ます。
特定のローカルまたはドメインのユーザまたはグループに対してトラバースチェックのバイパスを無効にするには、グループから権限
Everyone`も削除する必要があります `SeChangeNotifyPrivilege。