日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB 共有のアクセス制御リストを作成

寄稿者 netapp-ahibbard

SMB 共有の Access Control List ( ACL ;アクセス制御リスト)を作成して共有権限を設定すると、ユーザとグループの共有へのアクセスレベルを制御できます。

共有へのアクセスを許可するユーザまたはグループを決めておく必要があります。

ローカルまたはドメインの Windows ユーザまたはグループ名を使用して共有レベルの ACL を設定できます。

新しい ACL を作成する前に ' セキュリティ・リスクの原因となるデフォルトの共有 ACL Everyone / Full Control を削除する必要があります

ワークグループモードでは、ローカルドメイン名は SMB サーバ名です。

手順
  1. デフォルトの共有 ACL を削除します。「 vserver cifs share access-control delete -vserver vserver_name __ share_share_name _-user-or-group-name Everyone 」

  2. 新しい ACL を設定します。

    設定する ACL に使用するアカウント 入力するコマンド

    Windows ユーザ

    「 vserver cifs share access-control create -vserver vserver_name __ share_share_name -user-group-type windows-user-or -group_windows_domain_name \\user_name _permission access_right 」になります

    Windows グループ

    「 vserver cifs share access-control create -vserver vserver_name share_share_name -user-group-type windows-user-or -group_group_name permission access_right 」という形式のコマンドを使用します

  3. vserver cifs share access-control show コマンドを使用して、共有に適用された ACL が正しいことを確認します。

次のコマンドでは、「 vs1.example.com`"SVM: 」上の「 "`sales Team" 」共有に対して「 Change 」権限を「 Windows 」グループに付与します

cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "Sales Team" -permission Change

cluster1::> vserver cifs share access-control show
                 Share       User/Group              User/Group  Access
Vserver          Name        Name                    Type        Permission
---------------- ----------- --------------------    ---------   -----------
vs1.example.com  c$          BUILTIN\Administrators  windows     Full_Control
vs1.example.com  sales       DOMAIN\"Sales Team"     windows     Change

次のコマンドを実行すると、「 vs1 」 SVM 上の「 `d atvol5 」共有に対して、「 Tiger Team 」という名前のローカル Windows グループに「 Change 」権限が付与され、「 Full_Control 」権限が「 `vs1 」という名前のローカル Windows ユーザに付与されます。

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control

cluster1::> vserver cifs share access-control show -vserver vs1
               Share       User/Group                  User/Group  Access
Vserver        Name        Name                        Type        Permission
-------------- ----------- --------------------------- ----------- -----------
vs1            c$          BUILTIN\Administrators      windows     Full_Control
vs1            datavol5    DOMAIN\"Tiger Team"         windows     Change
vs1            datavol5    DOMAIN\"Sue Chang"          windows     Full_Control