対応するユーザ権限を持つNTFSアクセスマスクフラグとは何ですか。

最後の更新
PDFとして保存

Views:: 335

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: NAS

Last Updated:

環境

ONTAP 9 以降
Windows
SMB / CIFS
NTFSボリューム

回答

access_maskは、オブジェクトに対するユーザー権限をエンコードするために使用される32ビットのフラグセットです。
アクセスマスクは'主体に割り当てられたオブジェクトに対する権限のエンコードと'オブジェクトを開くときに要求されたアクセス権のエンコードの両方に使用されます
次に、最も一般的に使用されるアクセスマスクを示します。
- 読み取り許可には0x1200A9を使用します。これは、file_read_data
  （file）またはfile_list_directory（directory）
  1 (0x1)
  file_read_ea
  8 (0x8)
  file_execute（file）またはfile_traverse（directory）
  32 (0x20)
  file_read_attributes
  128 (0x80)
  read_control
  131072 (0x20000)
  synchronizeのフラグに対応します
  1048576 (0x100000)
- Change Permissionには0x1301BFを使用します。これは、
  次の追加フラグに対応します。file_write_data（file）またはfile_add_file（directory）
  2 (0x2)
  file_append_data（file）またはfile_add_subdirectory（directory）
  4 (0x4)
  file_write_EA
  16 (0x10)
  FILEget_attributes
  256 (0x100)
  delete
  65536 (0x10000)
- フルコントロール権限には0x1F01FFを使用します。これは、次の追加フラグに対応します。
  file_delete_child
  64 (0x40)
  write_dac
  262144 (0x40000)
  write_owner
  524288 (0x80000)
ファイルのアクセスマスクビットマップテーブルを次に示します。

Value 説明

generic_read

0x80000000L

アクセス要求操作で使用される場合: オブジェクトへの読み取りアクセスが要求されると、このビットはビットの組み合わせに変換されます。ほとんどの場合、これらはaccess_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGRビットが設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

generic_write

0x4000000L

アクセス要求操作で使用される場合: オブジェクトへの書き込みアクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、
GWビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。
オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGWビットが設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、GWビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

generic_execute

0x20000000L

アクセス要求操作で使用される場合: オブジェクトへの実行アクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合： GXビットがオブジェクトにアタッチされるACEに設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

GENERIC_ALL

0x10000000L

アクセス要求操作で使用される場合: オブジェクトへのすべてのアクセス許可が要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。オブジェクトのセマンティクスで要求されるように、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGAビットが設定されると、通常はaccess_maskの下位16ビットに設定されるビットの組み合わせに変換されます。（個々のプロトコル仕様によって異なる設定が指定される場合があります）。オブジェクトのセマンティクスで必要な場合、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

ママ

maximum_allowed

0x02000000L

アクセス要求操作で使用される場合: 要求されると、このビットは、アクセスチェックアルゴリズムを介してオブジェクトに許可される最大権限を要求者に付与します。このビットは要求のみ可能で、ACEでは設定できません。

オブジェクトにセキュリティ記述子を設定する場合：security_descriptorに最大許容ビットを指定しても意味はありません。MAビットは設定しないでください。security_descriptor構造体の一部である場合は無視する必要があります。

access_system_securityを指定します

0x01000000L

アクセス要求操作で使用される場合: 要求されると、このビットは要求者にオブジェクトのSACLを変更する権利を付与します。このビットは、DACLの一部であるACEでは設定できません。SACLの一部であるACEで設定される場合、このビットはSACL自体へのアクセスの監査を制御します。

同期

0x00100000L

オブジェクトを同期または待機するのに十分なオブジェクトへのアクセスを指定します。

作業オーダ

WRITE_OWNER

0x00080000L

セキュリティ記述子に指定されているオブジェクトの所有者を変更するためのアクセスを指定します。

WRITE_DACL

0x00040000L

オブジェクトのセキュリティ記述子の随意アクセス制御リストを変更するアクセスを指定します。

READ_CONTROL

0x00020000L

オブジェクトのセキュリティ記述子を読み取るためのアクセスを指定します。

DELETE

0x00010000L

オブジェクトを削除するアクセスを指定します。

以下に、ディレクトリのアクセスマスクビットマップを示します。

Value	説明
file_list_directoryを指定します `0x00000001`	この値は、ディレクトリの内容を列挙する権利を示します。
file_add_file `0x00000002`	この値は、ディレクトリの下にファイルを作成する権利を示します。
file_add_subdirectoryを指定します `0x00000004`	この値は、ディレクトリの下にサブディレクトリを追加する権利を示します。
File_read_ea `0x00000008`	この値は、ディレクトリの拡張属性を読み取る権利を示します。
File_write_ea `0x00000010`	この値は、ディレクトリの拡張属性を書き込みまたは変更する権利を示します。
file_traverse `0x00000020`	この値は、基盤となるオブジェクトストアでトラバーサルチェックが適用された場合にこのディレクトリをトラバースする権利を示します。
file_delete_child `0x00000040`	この値は、このディレクトリ内のファイルとディレクトリを削除する権利を示します。
file_read_attributesを指定します `0x00000080`	この値は、ディレクトリの属性を読み取る権利を示します。
file_write_attributesを指定します `0x00000100`	この値は、ディレクトリの属性を変更する権利を示します。
DELETE `0x00010000`	この値は、ディレクトリを削除する権利を示します。
READ_CONTROL `0x00020000`	この値は [1]、ディレクトリのセキュリティ記述子を読み取る権利を示します。
WRITE_DAC `0x00040000`	この値は [2]、ディレクトリのセキュリティ記述子内のDACLを変更する権利を示します。DACLデータ構造については、[MS-DTYP] セクション 2.4.5のACLを参照してください。
WRITE_OWNER `0x00080000`	この値は、ディレクトリのセキュリティ記述子の所有者を変更する権利を示します。
同期 `0x00100000`	このフラグは、クライアントとサーバの両方で無視する必要があります。
access_system_securityを指定します `0x01000000`	[3]この値は、ディレクトリのセキュリティ記述子内のSACLを読み取りまたは変更する権利を示します。SACLデータ構造については、[MS-DTYP]セクション2.4.5のACLを参照してください。
maximum_allowed `0x02000000`	この値は、クライアントが、このディレクトリに対するクライアントの最高レベルのアクセス権を持つディレクトリへのオープンを要求していることを示します。このディレクトリのクライアントにアクセスが許可されていない場合'サーバはSTATUS_ACCESS_DENIEDでオープンを失敗させる必要があります
GENERIC_ALL `0x10000000`	この値は、maximum_allowedとaccess_system_securityを除く、上記のすべてのアクセスフラグに対する要求を示します。
generic_execute `0x20000000`	この値は、上記のfile_read_attributes、file_traverse、synchronize、およびread_controlアクセスフラグに対する要求を示します。
generic_write `0x40000000`	この値は、上記にリストされた次のアクセスフラグに対する要求を示します。file_add_file、file_add_subdirectory、file_write_attributes、file_write_ea、synchronize、およびread_controlを使用します。
generic_read `0x80000000`	この値は、上記のfile_list_directory、file_read_attributes、file_read_ea、synchronize、およびread_controlのアクセスフラグに対する要求を示します。

追加情報

Access_maskの詳細については、以下のマイクロソフトドキュメントを参照してください。

vserver security file-directory showコマンドの出力にNTFSアクセスマスクフラグが表示されます。