NTFS SACLを追加するとDACLエントリが置き換えられるのはなぜですか。
環境
- ONTAP 9
- CIFS
- NTFS
- SACL
- DACL
回答
-
新しいセキュリティ記述子を作成して NTFSSACLを設定すると、デフォルト のNTFSDACL エントリ が4 つ 追加されます
cluster1::> vserver security file-directory ntfs show -vserver svm1 -ntfs-sd sd1
There are no entries matching your query.
cluster1::> vserver security file-directory ntfs sacl add -vserver svm1 -ntfs-sd sd1 -access-type failure -account demo\user -rights full-control -apply-to this-folder,sub-folders,files
cluster1::> vserver security file-directory ntfs dacl show -vserver svm1 -ntfs-sd sd1
Vserver: svm1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
BUILTIN\Administrators
allow full-control this-folder, sub-folders, files
BUILTIN\Users allow full-control this-folder, sub-folders, files
CREATOR OWNER allow full-control this-folder, sub-folders, files
NT AUTHORITY\SYSTEM
allow full-control this-folder, sub-folders, files
4 entries were displayed.
- [1] セキュリティ記述子に対してfile-directory applyが実行されると、既存のNTFS DACLが上記のデフォルトのDACLで上書きされます
- これにより、より明示的なDACLを定義する前にセキュリティ記述子を誤って適用した場合でも、データアクセスが可能になります
- ファイルセキュリティポリシーを適用する前に、NTFS DACLを目的のDACLに変更します
- これらのデフォルトDACLを変更せずに削除したり、目的のDACLに置き換えたりすると、データアクセスが失われます