ONTAP SMBサーバにNTFSセキュリティ記述子を作成する
変更を提案
PDF
NTFSセキュリティ記述子監査ポリシーの作成は、SVM内のファイルとフォルダにNTFSアクセス制御リスト(ACL)を設定および適用するための最初のステップです。ポリシー タスクで、セキュリティ記述子をファイルまたはフォルダのパスに関連付けます。
NTFSセキュリティ形式のボリューム内に存在するファイルやフォルダ、または混在セキュリティ形式のボリューム上に存在するファイルやフォルダに対して、NTFSセキュリティ記述子を作成できます。
デフォルトでは、セキュリティ記述子が作成されると、そのセキュリティ記述子に4つの随意アクセス制御リスト(DACL)アクセス制御エントリ(ACE)が追加されます。4つのデフォルトのACEは次のとおりです:
| オブジェクト | アクセス タイプ | 権限 | 権限の適用先 |
|---|---|---|---|
BUILTIN\Administrators |
許可 |
フル コントロール |
このフォルダ、サブフォルダ、ファイル |
BUILTIN\Users |
許可 |
フル コントロール |
このフォルダ、サブフォルダ、ファイル |
CREATOR OWNER |
許可 |
フル コントロール |
このフォルダ、サブフォルダ、ファイル |
NT AUTHORITY\SYSTEM |
許可 |
フル コントロール |
このフォルダ、サブフォルダ、ファイル |
次のオプション パラメータを使用して、セキュリティ記述子の構成をカスタマイズできます:
-
セキュリティ記述子の所有者
-
所有者のプライマリ グループ
-
Raw制御フラグ
ストレージレベルのアクセス保護では、オプションパラメータの値は無視されます。この手順で説明されているコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。
-
高度なパラメータを使用する場合は、権限レベルをadvancedに設定します:
set -privilege advanced -
セキュリティ記述子を作成します。
vserver security file-directory ntfs create -vserver vserver_name -ntfs-sd SD_nameoptional_parametersvserver security file-directory ntfs create -ntfs-sd sd1 -vserver vs1 -owner DOMAIN\joe -
セキュリティ記述子の構成が正しいことを確認します:
vserver security file-directory ntfs show -vserver vserver_name -ntfs-sd SD_namevserver security file-directory ntfs show -vserver vs1 -ntfs-sd sd1
Vserver: vs1 Security Descriptor Name: sd1 Owner of the Security Descriptor: DOMAIN\joe -
上級権限レベルの場合は、管理者権限レベルに戻ります:
set -privilege admin