エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

CLIを使用したFlexVolのNTFS監査ポリシーに関する情報の表示

セキュリティ形式と有効なセキュリティ形式、適用されているアクセス権、システム アクセス制御リストに関する情報など、FlexVolのNTFS監査ポリシーに関する情報を表示できます。この結果を使用して、セキュリティ設定の検証や、監査に関する問題のトラブルシューティングを行うことができます。

タスク概要

Storage Virtual Machine(SVM)の名前と、監査情報を表示するファイルまたはディレクトリーへのパスを指定する必要があります。出力には概要または詳細を表示できます。

  • NTFSセキュリティ形式のボリュームおよびqtreeでは、NTFSのシステム アクセス制御リスト(SACL)のみが監査ポリシーに使用されます。

  • NTFS対応のセキュリティが有効なmixedセキュリティ形式のボリューム内のファイルおよびフォルダーには、NTFS監査ポリシーを適用できます。

    mixedセキュリティ形式のボリュームおよびqtreeは、UNIXファイル権限(モード ビットまたはNFSv4 ACL)を使用するファイルおよびディレクトリーと、NTFSファイル権限を使用するファイルおよびディレクトリーを格納できます。

  • mixedセキュリティ形式のボリュームの最上位では、UNIXまたはNTFS対応のセキュリティを有効にすることができ、そこにはNTFS SACLが格納されている場合も、格納されていない場合もあります。

  • mixedセキュリティ形式のボリュームまたはqtreeでは、ボリュームのルートまたはqtreeの有効なセキュリティ形式がUNIXであっても、ストレージレベルのアクセス保護セキュリティを設定できるため、ストレージレベルのアクセス保護が設定されているボリュームまたはqtreeの出力には、標準ファイルおよびフォルダーのNFSv4 SACLとストレージレベルのアクセス保護のNTFS SACLの両方が表示される場合があります。

  • コマンドで入力したパスが、NTFS対応のセキュリティを使用するデータへのパスである場合、そのファイルまたはディレクトリー パスにダイナミック アクセス制御が設定されていれば、ダイナミック アクセス制御ACEに関する情報も出力に表示されます。

  • NTFS対応のセキュリティが有効なファイルおよびフォルダーに関するセキュリティ情報の表示時には、UNIX関連の出力フィールドに表示専用のUNIXファイル アクセス権情報が格納されます。

    ファイル アクセス権の決定時には、NTFSセキュリティ形式のファイルおよびフォルダーで、NTFSファイル アクセス権とWindowsユーザーおよびグループのみが使用されます。

  • ACL出力は、NTFSまたはNFSv4セキュリティが適用されたファイルとフォルダーについてのみ表示されます。

    このフィールドは、モード ビットの権限のみ(NFSv4 ACLはなし)が適用されているUNIXセキュリティ形式のファイルおよびフォルダーでは空になります。

  • ACL出力の所有者とグループの出力フィールドは、NTFSセキュリティ記述子の場合にのみ適用されます。

手順
  1. ファイルおよびディレクトリー監査ポリシー設定を適切な詳細レベルで表示します。

    表示する情報 入力するコマンド

    概要

    vserver security file-directory show -vserver vserver_name -path path

    詳細

    vserver security file-directory show -vserver vserver_name -path path -expand-mask true

次の例は、SVM vs1のパス /corp に関する監査ポリシーの情報を表示します。このパスではNTFS対応のセキュリティが有効になっています。NTFSセキュリティ記述子には、SUCCESSおよびSUCCESS / FAIL SACLエントリの両方が格納されています。

cluster::> vserver security file-directory show -vserver vs1 -path /corp
                Vserver: vs1
              File Path: /corp
      File Inode Number: 357
         Security Style: ntfs
        Effective Style: ntfs
         DOS Attributes: 10
 DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
           Unix User Id: 0
          Unix Group Id: 0
         Unix Mode Bits: 777
 Unix Mode Bits in Text: rwxrwxrwx
                   ACLs: NTFS Security Descriptor
                         Control:0x8014
                         Owner:DOMAIN\Administrator
                         Group:BUILTIN\Administrators
                         SACL - ACEs
                           ALL-DOMAIN\Administrator-0x100081-OI|CI|SA|FA
                           SUCCESSFUL-DOMAIN\user1-0x100116-OI|CI|SA
                         DACL - ACEs
                           ALLOW-BUILTIN\Administrators-0x1f01ff-OI|CI
                           ALLOW-BUILTIN\Users-0x1f01ff-OI|CI
                           ALLOW-CREATOR OWNER-0x1f01ff-OI|CI
                           ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff-OI|CI

次の例は、SVM vs1のパス /datavol1 に関する監査ポリシーの情報を表示します。このパスには、標準ファイルおよびフォルダーのSACLとストレージレベルのアクセス保護のSACLの両方が格納されています。

cluster::> vserver security file-directory show -vserver vs1 -path /datavol1

                Vserver: vs1
              File Path: /datavol1
        File Inode Number: 77
         Security Style: ntfs
        Effective Style: ntfs
         DOS Attributes: 10
 DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
           Unix User Id: 0
          Unix Group Id: 0
         Unix Mode Bits: 777
 Unix Mode Bits in Text: rwxrwxrwx
                   ACLs: NTFS Security Descriptor
                         Control:0xaa14
                         Owner:BUILTIN\Administrators
                         Group:BUILTIN\Administrators
                         SACL - ACEs
                           AUDIT-EXAMPLE\marketing-0xf01ff-OI|CI|FA
                         DACL - ACEs
                           ALLOW-EXAMPLE\Domain Admins-0x1f01ff-OI|CI
                           ALLOW-EXAMPLE\marketing-0x1200a9-OI|CI

                         Storage-Level Access Guard security
                         SACL (Applies to Directories):
                           AUDIT-EXAMPLE\Domain Users-0x120089-FA
                           AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                         DACL (Applies to Directories):
                           ALLOW-EXAMPLE\Domain Users-0x120089
                           ALLOW-EXAMPLE\engineering-0x1f01ff
                           ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
                         SACL (Applies to Files):
                           AUDIT-EXAMPLE\Domain Users-0x120089-FA
                           AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                         DACL (Applies to Files):
                           ALLOW-EXAMPLE\Domain Users-0x120089
                           ALLOW-EXAMPLE\engineering-0x1f01ff
                           ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
Top of Page