エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

NTFSセキュリティ記述子へのNTFS SACLアクセス制御エントリの追加

NTFSセキュリティ記述子へのシステム アクセス制御リスト(SACL)のアクセス制御エントリ(ACE)の追加は、SVMのファイルやフォルダーに対するNTFS監査ポリシーを作成する2番目の手順です。エントリごとに、監査するユーザーまたはグループを指定します。また、成功したアクセス試行と失敗したアクセス試行のどちらを監査対象にするかを定義します。

タスク概要

セキュリティ記述子のSACLには、1つまたは複数のACEを追加できます。

セキュリティ記述子に含まれているSACLに既存のACEがある場合は、新しいACEがSACLに追加されます。セキュリティ記述子にSACLが含まれていない場合は、SACLが作成され、そのSACLに新しいACEが追加されます。

-account パラメーターで指定したアカウントの成功イベントまたは失敗イベントについて監査する権限を指定することで、SACLエントリを設定できます。権限を指定する場合、次の相互に排他的な3つの方法があります。

  • 権限

  • 詳細な権限

  • raw権限(advanced権限)

SACLエントリの権限を指定しない場合、デフォルト設定の Full Control になります。

必要に応じて、apply to パラメーターで継承を適用する方法を指定することで、SACLエントリをカスタマイズすることもできます。このパラメーターを指定しない場合は、デフォルトで、このSACLエントリがこのフォルダー、サブフォルダー、およびファイルに適用されます。

手順
  1. SACLエントリをセキュリティ記述子に追加します。
    vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SIDoptional_parameters

    vserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to this-folder -vserver vs1

  2. SACLエントリが正しいことを確認します。
    vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SID

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe

                                      Vserver: vs1
                            Security Descriptor Name: sd1
             Access type for Specified Access Rights: failure
                                 Account Name or SID: DOMAIN\joe
                                       Access Rights: full-control
                              Advanced Access Rights: -
                                            Apply To: this-folder
                                       Access Rights: full-control
Top of Page