SMB共有のACLの作成

SMB共有のAccess Control List(ACL;アクセス制御リスト)を作成して共有権限を設定すると、ユーザとグループの共有に対するアクセス レベルを制御できます。

開始する前に

共有へのアクセスを許可するユーザまたはグループを決めておく必要があります。

タスク概要

ローカルまたはドメインのWindowsユーザまたはグループ名を使用して共有レベルのACLを設定できます。

新しいACLを作成する前に、セキュリティ リスクの原因となるデフォルトの共有ACL Everyone / Full Controlを削除します。

ワークグループ モードでは、ローカル ドメイン名はSMBサーバ名です。

手順

  1. デフォルトの共有ACLを削除します。vserver cifs share access-control delete -vserver vserver_name -share share_name -user-or-group everyone
  2. 新しいACLを設定します。
    ACLの設定に使用するアカウント 入力するコマンド
    Windowsユーザ vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_domain_name\user_name -permission access_right
    Windowsグループ vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_group_name -permission access_right
  3. vserver cifs share access-control showコマンドを使用して、共有に適用されたACLが正しいことを確認します。

次のコマンドは、vs1.example.com SVM上のsales共有に対して、Sales Team WindowsグループにChange権限を付与します。
cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "Sales Team" -permission Change

cluster1::> vserver cifs share access-control show
                 Share       User/Group              User/Group  Access
Vserver          Name        Name                    Type        Permission
---------------- ----------- --------------------    ---------   -----------
vs1.example.com  c$          BUILTIN\Administrators  windows     Full_Control
vs1.example.com  sales       DOMAIN\"Sales Team"     windows     Change

次のコマンドは、vs1 SVM上のdatavol5共有に対して、Tiger Teamという名前のローカルWindowsグループにはChange権限を、Sue Changという名前のローカルWindowsユーザにはFull_Control権限を付与します。

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control

cluster1::> vserver cifs share access-control show -vserver vs1
               Share       User/Group                  User/Group  Access
Vserver        Name        Name                        Type        Permission
-------------- ----------- --------------------------- ----------- -----------
vs1            c$          BUILTIN\Administrators      windows     Full_Control
vs1            datavol5    DOMAIN\"Tiger Team"         windows     Change
vs1            datavol5    DOMAIN\"Sue Chang"          windows     Full_Control