CIFSサーバでダイナミック アクセス制御と集約型アクセス ポリシーを使用する際の考慮事項

CIFSサーバ上のファイルとフォルダを保護するためにDynamic Access Control(DAC;ダイナミック アクセス制御)と集約型アクセス ポリシーを使用する際は、一定の考慮事項に注意する必要があります。

ポリシー ルールがdomain\administratorユーザに適用されている場合、rootに対してNFSアクセスが拒否されることがある

特定の状況では、rootユーザがアクセスしようとしているデータに集約型アクセス ポリシー セキュリティが適用されていると、rootに対してNFSアクセスが拒否されることがあります。この問題は、集約型アクセス ポリシーにdomain\administratorに適用されるルールが含まれており、rootアカウントがdomain\administratorアカウントにマッピングされている場合に発生します。

domain\administratorユーザにルールを適用する代わりに、domain\administratorsグループなど、管理者権限を持つグループにルールを適用してください。こうすることで、rootをdomain\administratorアカウントにマッピングしても、rootはこの問題の影響を受けなくなります。

適用された集約型アクセス ポリシーがActive Directoryに見つからないと、CIFSサーバのBUILTIN\Administratorsグループにリソースへのアクセスが許可される

CIFSサーバ内のリソースに集約型アクセス ポリシーが適用されている場合に、CIFSサーバが集約型アクセス ポリシーのSIDを使用してActive Directoryから情報を取得しようとしてもそのSIDがActive Directoryにある集約型アクセス ポリシーの既存のどのSIDとも一致しないことがあります。この場合、CIFSサーバはそのリソースにローカルのデフォルトのリカバリ ポリシーを適用します。

ローカルのデフォルトのリカバリ ポリシーでは、CIFSサーバのBUILTIN\Administratorsグループにそのリソースへのアクセスが許可されます。