日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ストレージレベルのアクセス保護を設定する

07/27/2023 共同作成者

ボリュームまたは qtree にストレージレベルのアクセス保護を設定するためには、いくつかの手順に従う必要があります。ストレージレベルのアクセス保護は、ストレージレベルで設定されるアクセスセキュリティを提供します。環境がすべての NAS プロトコルからその適用先のストレージオブジェクトにアクセスするセキュリティを提供します。

手順

を使用して、セキュリティ記述子を作成します vserver security file-directory ntfs create コマンドを実行します

vserver security file-directory ntfs create -vserver vs1 -ntfs-sd sd1 vserver security file-directory ntfs show -vserver vs1

Vserver: vs1

   NTFS Security    Owner Name
   Descriptor Name
   ------------     --------------
   sd1              -

セキュリティ記述子は、次の 4 つのデフォルト DACL アクセス制御エントリ（ ACE ）を持つように作成されます。

Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access          Apply To
                     Type     Rights
    --------------   -------  -------         -----------
    BUILTIN\Administrators
                     allow    full-control   this-folder, sub-folders, files
    BUILTIN\Users    allow    full-control   this-folder, sub-folders, files
    CREATOR OWNER    allow    full-control   this-folder, sub-folders, files
    NT AUTHORITY\SYSTEM
                     allow    full-control   this-folder, sub-folders, files

ストレージレベルのアクセス保護を設定するときにデフォルトのエントリを使用しない場合は、セキュリティ記述子に独自の ACE を作成して追加する前に、デフォルトのエントリを削除できます。

セキュリティ記述子から、ストレージレベルのアクセス保護セキュリティに設定したくないデフォルトの DACL ACE を削除します。
1. を使用して、不要なDACL ACEを削除します vserver security file-directory ntfs dacl remove コマンドを実行します
  
  この例では、セキュリティ記述子から BUILTIN\Administrators 、 BUILTIN\Users 、 CREATOR OWNER の 3 つのデフォルト DACL ACE を削除しています。
  
  vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\users vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\administrators vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account "creator owner"
2. を使用して、ストレージレベルのアクセス保護セキュリティに使用しないDACL ACEがセキュリティ記述子から削除されたことを確認します vserver security file-directory ntfs dacl show コマンドを実行します
  
  この例では、コマンドからの出力により、セキュリティ記述子から 3 つのデフォルト DACL ACE が削除され、 NT AUTHORITY\SYSTEM のデフォルト DACL ACE エントリのみが残されていることを確認できます。
  
  vserver security file-directory ntfs dacl show -vserver vs1
```
Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access          Apply To
                     Type     Rights
    --------------   -------  -------         -----------
    NT AUTHORITY\SYSTEM
                     allow    full-control   this-folder, sub-folders, files
```
を使用して、セキュリティ記述子に1つ以上のDACLエントリを追加します vserver security file-directory ntfs dacl add コマンドを実行します

この例では、セキュリティ記述子に 2 つの DACL ACE を追加しています。

vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files
を使用して、セキュリティ記述子に1つ以上のSACLエントリを追加します。 vserver security file-directory ntfs sacl add コマンドを実行します

この例では、セキュリティ記述子に2つのSACL ACEを追加しています。

vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type failure -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type success -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files

を使用して、DACLおよびSACLのACEが正しく設定されていることを確認します vserver security file-directory ntfs dacl show および vserver security file-directory ntfs sacl show コマンドを指定します。

この例では、次のコマンドはセキュリティ記述子「 `d1" 」の DACL エントリに関する情報を表示します。

vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1

Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access          Apply To
                     Type     Rights
    --------------   -------  -------         -----------
    EXAMPLE\Domain Users
                     allow    read           this-folder, sub-folders, files
    EXAMPLE\engineering
                     allow    full-control   this-folder, sub-folders, files
    NT AUTHORITY\SYSTEM
                     allow    full-control   this-folder, sub-folders, files

この例では、次のコマンドを実行すると、セキュリティ記述子「 `d1" 」の SACL エントリに関する情報が表示されます。

vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1

Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access          Apply To
                     Type     Rights
    --------------   -------  -------         -----------
    EXAMPLE\Domain Users
                     failure  read           this-folder, sub-folders, files
    EXAMPLE\engineering
                     success  full-control   this-folder, sub-folders, files

を使用して、セキュリティポリシーを作成します vserver security file-directory policy create コマンドを実行します

次に、「 policy1 」という名前のポリシーを作成する例を示します。

vserver security file-directory policy create -vserver vs1 -policy-name policy1
を使用して、ポリシーが正しく設定されていることを確認します vserver security file-directory policy show コマンドを実行します

vserver security file-directory policy show
```
   Vserver          Policy Name
   ------------     --------------
   vs1              policy1
```
を使用して、セキュリティ記述子が関連付けられたタスクをセキュリティポリシーに追加します vserver security file-directory policy task add コマンドにを指定します -access-control パラメータをに設定します slag。

ポリシーには複数のストレージレベルのアクセス保護タスクを含めることができますが、ポリシーにファイルとディレクトリのタスクとストレージレベルのアクセス保護タスクの両方を含めることはできません。ポリシーに含めるタスクは、すべてストレージレベルのアクセス保護タスクにするか、すべてファイルとディレクトリのタスクにする必要があります。

この例では ' セキュリティー記述子 "`d1" に割り当てられている "policy1 " という名前のポリシーにタスクが追加されますこれはに割り当てられます `/datavol1 アクセス制御タイプが「slag」に設定されているパス。

vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /datavol1 -access-control slag -security-type ntfs -ntfs-mode propagate -ntfs-sd sd1

を使用して、タスクが正しく設定されていることを確認します vserver security file-directory policy task show コマンドを実行します

vserver security file-directory policy task show -vserver vs1 -policy-name policy1

 Vserver: vs1
  Policy: policy1

   Index  File/Folder  Access           Security  NTFS       NTFS Security
          Path         Control          Type      Mode       Descriptor Name
   -----  -----------  ---------------  --------  ---------- ---------------
   1      /datavol1    slag             ntfs      propagate  sd1

を使用して、ストレージレベルのアクセス保護セキュリティポリシーを適用します vserver security file-directory apply コマンドを実行します

vserver security file-directory apply -vserver vs1 -policy-name policy1

セキュリティポリシーを適用するジョブがスケジュールされます。

を使用して、適用されたストレージレベルのアクセス保護セキュリティ設定が正しいことを確認します vserver security file-directory show コマンドを実行します

この例では、コマンドの出力から、ストレージレベルのアクセス保護セキュリティがNTFSボリュームに適用されていることがわかります /datavol1。Everyone に Full Control を許可するデフォルト DACL は残っていますが、ストレージレベルのアクセス保護セキュリティによって、ストレージレベルのアクセス保護設定で定義されたグループにアクセスが制限（および監査）されます。

vserver security file-directory show -vserver vs1 -path /datavol1

                Vserver: vs1
              File Path: /datavol1
      File Inode Number: 77
         Security Style: ntfs
        Effective Style: ntfs
         DOS Attributes: 10
 DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
           Unix User Id: 0
          Unix Group Id: 0
         Unix Mode Bits: 777
 Unix Mode Bits in Text: rwxrwxrwx
                   ACLs: NTFS Security Descriptor
                         Control:0x8004
                         Owner:BUILTIN\Administrators
                         Group:BUILTIN\Administrators
                         DACL - ACEs
                           ALLOW-Everyone-0x1f01ff
                           ALLOW-Everyone-0x10000000-OI|CI|IO


                         Storage-Level Access Guard security
                         SACL (Applies to Directories):
                           AUDIT-EXAMPLE\Domain Users-0x120089-FA
                           AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                         DACL (Applies to Directories):
                           ALLOW-EXAMPLE\Domain Users-0x120089
                           ALLOW-EXAMPLE\engineering-0x1f01ff
                           ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
                         SACL (Applies to Files):
                           AUDIT-EXAMPLE\Domain Users-0x120089-FA
                           AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                         DACL (Applies to Files):
                           ALLOW-EXAMPLE\Domain Users-0x120089
                           ALLOW-EXAMPLE\engineering-0x1f01ff
                           ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff

ストレージレベルのアクセス保護を設定する

Creating your file...