対応するユーザ権限を持つNTFSアクセスマスクフラグとは何ですか。
環境
- ONTAP 9 以降
- Windows
- SMB / CIFS
- NTFSボリューム
回答
- access_maskは、オブジェクトに対するユーザー権限をエンコードするために使用される32ビットのフラグセットです。
- アクセスマスクは'主体に割り当てられたオブジェクトに対する権限のエンコードと'オブジェクトを開くときに要求されたアクセス権のエンコードの両方に使用されます
- 次に、最も一般的に使用されるアクセスマスクを示します。
-
読み取り許可には0x1200A9を使用します。これは、file_read_data
(file)またはfile_list_directory(directory)1 (0x1)
file_read_ea8 (0x8)
file_execute(file)またはfile_traverse(directory)32 (0x20)
file_read_attributes128 (0x80)
read_control131072 (0x20000)
synchronizeのフラグに対応します
1048576 (0x100000)
-
Change Permissionには0x1301BFを使用します。これは、
次の追加フラグに対応します。file_write_data(file)またはfile_add_file(directory)2 (0x2)
file_append_data(file)またはfile_add_subdirectory(directory)4 (0x4)
file_write_EA16 (0x10)
FILEget_attributes256 (0x100)
delete
65536 (0x10000)
-
フルコントロール権限には0x1F01FFを使用します。これは、次の追加フラグに対応します。
file_delete_child64 (0x40)
write_dac262144 (0x40000)
write_owner
524288 (0x80000)
-
- ファイルのアクセスマスクビットマップテーブルを次に示します。
Value | 説明 |
GR generic_read
|
アクセス要求操作で使用される場合: オブジェクトへの読み取りアクセスが要求されると、このビットはビットの組み合わせに変換されます。ほとんどの場合、これらはaccess_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。 オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGRビットが設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。 |
GW generic_write
|
アクセス要求操作で使用される場合: オブジェクトへの書き込みアクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、 |
GX generic_execute
|
アクセス要求操作で使用される場合: オブジェクトへの実行アクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。 オブジェクトにセキュリティ記述子を設定するために使用される場合: GXビットがオブジェクトにアタッチされるACEに設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。 |
GA GENERIC_ALL
|
アクセス要求操作で使用される場合: オブジェクトへのすべてのアクセス許可が要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 オブジェクトのセマンティクスで要求されるように、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。 オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGAビットが設定されると、通常はaccess_maskの下位16ビットに設定されるビットの組み合わせに変換されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 オブジェクトのセマンティクスで必要な場合、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。 |
ママ maximum_allowed
|
アクセス要求操作で使用される場合: 要求されると、このビットは、アクセスチェックアルゴリズムを介してオブジェクトに許可される最大権限を要求者に付与します。このビットは要求のみ可能で、ACEでは設定できません。 オブジェクトにセキュリティ記述子を設定する場合:security_descriptorに最大許容ビットを指定 しても意味はありません。MAビットは設定しないでください。security_descriptor構造体の一部である場合は無視する必要があります。 |
AS access_system_securityを指定します
|
アクセス要求操作で使用される場合: 要求されると、このビットは要求者にオブジェクトのSACLを変更する権利を付与します。このビットは、DACLの一部であるACEでは設定できません。SACLの一部であるACEで設定される場合、このビットはSACL自体へのアクセスの監査を制御します。 |
SY 同期
|
オブジェクトを同期または待機するのに十分なオブジェクトへのアクセスを指定します。 |
作業オーダ WRITE_OWNER
|
セキュリティ記述子に指定されているオブジェクトの所有者を変更するためのアクセスを指定します。 |
WD WRITE_DACL
|
オブジェクトのセキュリティ記述子の随意アクセス制御リストを変更するアクセスを指定します。 |
RC READ_CONTROL
|
オブジェクトのセキュリティ記述子を読み取るためのアクセスを指定します。 |
DE DELETE
|
オブジェクトを削除するアクセスを指定します。
|
- 以下に、ディレクトリのアクセスマスクビットマップを示します。
Value | 説明 |
file_list_directoryを指定します 0x00000001 |
この値は、ディレクトリの内容を列挙する権利を示します。 |
file_add_file 0x00000002 |
この値は、ディレクトリの下にファイルを作成する権利を示します。 |
file_add_subdirectoryを指定します 0x00000004 |
この値は、ディレクトリの下にサブディレクトリを追加する権利を示します。 |
File_read_ea 0x00000008 |
この値は、ディレクトリの拡張属性を読み取る権利を示します。 |
File_write_ea 0x00000010 |
この値は、ディレクトリの拡張属性を書き込みまたは変更する権利を示します。 |
file_traverse 0x00000020 |
この値は、基盤となるオブジェクトストアでトラバーサルチェックが適用された場合にこのディレクトリをトラバースする権利を示します。 |
file_delete_child 0x00000040 |
この値は、このディレクトリ内のファイルとディレクトリを削除する権利を示します。 |
file_read_attributesを指定します 0x00000080 |
この値は、ディレクトリの属性を読み取る権利を示します。 |
file_write_attributesを指定します 0x00000100 |
この値は、ディレクトリの属性を変更する権利を示します。 |
DELETE 0x00010000 |
この値は、ディレクトリを削除する権利を示します。 |
READ_CONTROL 0x00020000 |
この値は [1]、ディレクトリのセキュリティ記述子を読み取る権利を示します。 |
WRITE_DAC 0x00040000 |
この値は [2]、ディレクトリのセキュリティ記述子内のDACLを変更する権利を示します。DACLデータ構造については 、[MS-DTYP] セクション 2.4.5のACLを参照してください。 |
WRITE_OWNER 0x00080000 |
この値は、ディレクトリのセキュリティ記述子の所有者を変更する権利を示します。 |
同期 0x00100000 |
このフラグは、クライアントとサーバの両方で無視する必要があります。 |
access_system_securityを指定します 0x01000000 |
[3]この値は、ディレクトリのセキュリティ記述子内のSACLを読み取りまたは変更する権利を示します。SACLデータ構造については、[MS-DTYP]セクション2.4.5のACLを参照してください。 |
maximum_allowed
|
この値は、クライアントが、このディレクトリに対するクライアントの最高レベルのアクセス権を持つディレクトリへのオープンを要求していることを示します。このディレクトリのクライアントにアクセスが許可されていない場合'サーバはSTATUS_ACCESS_DENIEDでオープンを失敗させる必要があります |
GENERIC_ALL 0x10000000 |
この値は、maximum_allowedとaccess_system_securityを除く、上記のすべてのアクセスフラグに対する要求を示します。 |
generic_execute 0x20000000 |
この値は、上記のfile_read_attributes、file_traverse、synchronize、およびread_controlアクセスフラグに対する要求を示します。 |
generic_write 0x40000000 |
この値は、上記にリストされた次のアクセスフラグに対する要求を示します。file_add_file、file_add_subdirectory、file_write_attributes、file_write_ea、synchronize、 およびread_controlを使用します。 |
generic_read 0x80000000 |
この値は、上記のfile_list_directory、file_read_attributes、file_read_ea、synchronize、およびread_controlのアクセスフラグに対する要求を示します。 |
追加情報
Access_maskの詳細については、以下のマイクロソフトドキュメントを参照してください。
vserver security file-directory showコマンドの出力にNTFSアクセスマスクフラグが表示されます。