ユーザまたはグループに対するディレクトリのトラバース チェックのバイパスの禁止

トラバースするディレクトリに対する権限がない場合に、ファイルへのパスに含まれるすべてのディレクトリをユーザがトラバースできないようにするには、Storage Virtual Machine(SVM)のローカルSMBユーザまたはグループからSeChangeNotifyPrivilege権限を削除します。

開始する前に

権限を削除するローカルまたはドメインのユーザまたはグループがすでに存在している必要があります。

タスク概要

ドメインのユーザまたはグループの権限を削除する場合、ONTAPでそれらのユーザやグループを検証するために、ドメイン コントローラに接続することがあります。ONTAPがドメイン コントローラに照会できない場合、コマンドが失敗することがあります。

手順

  1. トラバース チェックのバイパスを禁止します。vserver cifs users-and-groups privilege remove-privilege -vserver vserver_name -user-or-group-name name -privileges SeChangeNotifyPrivilege
    このコマンドを実行すると、-user-or-group-namenameパラメータの値で指定したローカルまたはドメインのユーザまたはグループからSeChangeNotifyPrivilege権限が削除されます。
  2. 指定したユーザまたはグループに対してトラバース チェックのバイパスが無効になっていることを確認します。vserver cifs users-and-groups privilege show -vserver vserver_name -user-or-group-name name

次のコマンドを実行すると、EXAMPLE\engグループに属するユーザに対して、ディレクトリのトラバース チェックのバイパスが禁止されます。

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- -----------------------
vs1       EXAMPLE\eng           SeChangeNotifyPrivilege                                

cluster1::> vserver cifs users-and-groups privilege remove-privilege -vserver vs1 -user-or-group-name EXAMPLE\eng -privileges SeChangeNotifyPrivilege

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- -----------------------
vs1       EXAMPLE\eng           -