メインコンテンツまでスキップ

対応するユーザ権限を持つNTFSアクセスマスクフラグとは何ですか。

Views:
194
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • ONTAP 9 以降
  • Windows
  • SMB / CIFS
  • NTFSボリューム

回答

  • access_maskは、オブジェクトに対するユーザー権限をエンコードするために使用される32ビットのフラグセットです。
  • アクセスマスクは'主体に割り当てられたオブジェクトに対する権限のエンコードと'オブジェクトを開くときに要求されたアクセス権のエンコードの両方に使用されます
  • 次に、最も一般的に使用されるアクセスマスクを示します。
    • 読み取り許可には0x1200A9を使用します。これは、file_read_data
      (file)またはfile_list_directory(directory)
      1 (0x1)
      file_read_ea
      8 (0x8)
      file_execute(file)またはfile_traverse(directory)
      32 (0x20)
      file_read_attributes
      128 (0x80)
      read_control
      131072 (0x20000)
      synchronizeのフラグに対応します
      1048576 (0x100000)

    • Change Permissionには0x1301BFを使用します。これは、
      次の追加フラグに対応します。file_write_data(file)またはfile_add_file(directory)
      2 (0x2)
      file_append_data(file)またはfile_add_subdirectory(directory)
      4 (0x4)
      file_write_EA
      16 (0x10)
      FILEget_attributes
      256 (0x100)
      delete
      65536 (0x10000)

    • フルコントロール権限には0x1F01FFを使用します。これは、次の追加フラグに対応します。
      file_delete_child
      64 (0x40)
      write_dac
      262144 (0x40000)
      write_owner
      524288 (0x80000)

  • ファイルのアクセスマスクビットマップテーブルを次に示します。
Value 説明

GR

generic_read

0x80000000L

アクセス要求操作で使用される場合: オブジェクトへの読み取りアクセスが要求されると、このビットはビットの組み合わせに変換されます。ほとんどの場合、これらはaccess_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGRビットが設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GRビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

GW

generic_write

0x4000000L

アクセス要求操作で使用される場合: オブジェクトへの書き込みアクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、
GWビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。
オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGWビットが設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GWビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

GX

generic_execute

0x20000000L

アクセス要求操作で使用される場合: オブジェクトへの実行アクセスが要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合: GXビットがオブジェクトにアタッチされるACEに設定されると、ビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 設定されるビットは実装に依存します。この変換中、GXビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

GA

GENERIC_ALL

0x10000000L

アクセス要求操作で使用される場合: オブジェクトへのすべてのアクセス許可が要求されると、このビットはビットの組み合わせに変換されます。ビットは通常、access_maskの下位16ビットに設定されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 オブジェクトのセマンティクスで要求されるように、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。結果として得られるaccess_maskビットは、オブジェクトに付加されたセキュリティ記述子内のACE構造に対してチェックされる実際の権限です。

オブジェクトにセキュリティ記述子を設定するために使用される場合: オブジェクトにアタッチされるACEでGAビットが設定されると、通常はaccess_maskの下位16ビットに設定されるビットの組み合わせに変換されます。(個 々 のプロトコル仕様によって異なる設定が指定される場合があります)。 オブジェクトのセマンティクスで必要な場合、オブジェクトは上位16ビットのビットを自由に変換に含めることができます。設定されるビットは実装に依存します。この変換中、GAビットはクリアされます。ACCESS_MASKビットは、このACEによって付与される実際の権限です。

ママ

maximum_allowed

0x02000000L

アクセス要求操作で使用される場合: 要求されると、このビットは、アクセスチェックアルゴリズムを介してオブジェクトに許可される最大権限を要求者に付与します。このビットは要求のみ可能で、ACEでは設定できません。

オブジェクトにセキュリティ記述子を設定する場合:security_descriptorに最大許容ビットを指定 しても意味はありません。MAビットは設定しないでください。security_descriptor構造体の一部である場合は無視する必要があります。

AS

access_system_securityを指定します

0x01000000L

アクセス要求操作で使用される場合: 要求されると、このビットは要求者にオブジェクトのSACLを変更する権利を付与します。このビットは、DACLの一部であるACEでは設定できません。SACLの一部であるACEで設定される場合、このビットはSACL自体へのアクセスの監査を制御します。

SY

同期

0x00100000L

オブジェクトを同期または待機するのに十分なオブジェクトへのアクセスを指定します。

作業オーダ

WRITE_OWNER

0x00080000L

セキュリティ記述子に指定されているオブジェクトの所有者を変更するためのアクセスを指定します。

WD

WRITE_DACL

0x00040000L

オブジェクトのセキュリティ記述子の随意アクセス制御リストを変更するアクセスを指定します。

RC

READ_CONTROL

0x00020000L

 オブジェクトのセキュリティ記述子を読み取るためのアクセスを指定します。

DE

DELETE

0x00010000L

オブジェクトを削除するアクセスを指定します。

 

  • 以下に、ディレクトリのアクセスマスクビットマップを示します。
Value 説明

file_list_directoryを指定します

0x00000001

この値は、ディレクトリの内容を列挙する権利を示します。

file_add_file

0x00000002

この値は、ディレクトリの下にファイルを作成する権利を示します。

file_add_subdirectoryを指定します

0x00000004

この値は、ディレクトリの下にサブディレクトリを追加する権利を示します。

File_read_ea

0x00000008

この値は、ディレクトリの拡張属性を読み取る権利を示します。

File_write_ea

0x00000010

この値は、ディレクトリの拡張属性を書き込みまたは変更する権利を示します。

file_traverse

0x00000020

この値は、基盤となるオブジェクトストアでトラバーサルチェックが適用された場合にこのディレクトリをトラバースする権利を示します。

file_delete_child

0x00000040

この値は、このディレクトリ内のファイルとディレクトリを削除する権利を示します。

file_read_attributesを指定します

0x00000080

この値は、ディレクトリの属性を読み取る権利を示します。

file_write_attributesを指定します

0x00000100

この値は、ディレクトリの属性を変更する権利を示します。

DELETE

0x00010000

この値は、ディレクトリを削除する権利を示します。

READ_CONTROL

0x00020000

この値は [1]、ディレクトリのセキュリティ記述子を読み取る権利を示します。

WRITE_DAC

0x00040000

この値は [2]、ディレクトリのセキュリティ記述子内のDACLを変更する権利を示します。DACLデータ構造については 、[MS-DTYP] セクション 2.4.5のACLを参照してください。

WRITE_OWNER

0x00080000

この値は、ディレクトリのセキュリティ記述子の所有者を変更する権利を示します。

同期

0x00100000

このフラグは、クライアントとサーバの両方で無視する必要があります。

access_system_securityを指定します

0x01000000

[3]この値は、ディレクトリのセキュリティ記述子内のSACLを読み取りまたは変更する権利を示します。SACLデータ構造については、[MS-DTYP]セクション2.4.5のACLを参照してください。

maximum_allowed

0x02000000

この値は、クライアントが、このディレクトリに対するクライアントの最高レベルのアクセス権を持つディレクトリへのオープンを要求していることを示します。このディレクトリのクライアントにアクセスが許可されていない場合'サーバはSTATUS_ACCESS_DENIEDでオープンを失敗させる必要があります

GENERIC_ALL

0x10000000

この値は、maximum_allowedとaccess_system_securityを除く、上記のすべてのアクセスフラグに対する要求を示します。

generic_execute

0x20000000

この値は、上記のfile_read_attributes、file_traverse、synchronize、およびread_controlアクセスフラグに対する要求を示します。

generic_write

0x40000000

この値は、上記にリストされた次のアクセスフラグに対する要求を示します。file_add_file、file_add_subdirectory、file_write_attributes、file_write_ea、synchronize、 およびread_controlを使用します。

generic_read

0x80000000

この値は、上記のfile_list_directory、file_read_attributes、file_read_ea、synchronize、およびread_controlのアクセスフラグに対する要求を示します。

追加情報

Access_maskの詳細については、以下のマイクロソフトドキュメントを参照してください。

vserver security file-directory showコマンドの出力にNTFSアクセスマスクフラグが表示されます。

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.