NTFS SACLを追加するとDACLエントリが置き換えられるのはなぜですか
適用対象
- ONTAP 9
- CIFS
- NTFS
- SACL
- DACL
回答
NTFS SACLを新しいセキュリティ記述子で構成すると、4default NTFS DACLエントリが追加されます
cluster1::> vserver security file-directory ntfs show -vserver svm1 -ntfs-sd sd1
There are no entries matching your query.
cluster1::> vserver security file-directory ntfs sacl add -vserver svm1 -ntfs-sd sd1 -access-type failure -account demo\user -rights full-control -apply-to this-folder,sub-folders,filescluster1::> vserver security file-directory ntfs dacl show -vserver svm1 -ntfs-sd sd1
Vserver: svm1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
BUILTIN\Administrators
allow full-control this-folder, sub-folders, files
BUILTIN\Users allow full-control this-folder, sub-folders, files
CREATOR OWNER allow full-control this-folder, sub-folders, files
NT AUTHORITY\SYSTEM
allow full-control this-folder, sub-folders, files
4 entries were displayed.
- もしfile-directory applyがセキュリティ記述子に対して実行されると、既存のNTFS DACLは上記のデフォルトのものに上書きされます
これにより、誰かがより明示的なDACLを定義する前に誤ってセキュリティ記述子を適用した場合でも、データにアクセスできます
- ファイルセキュリティポリシーを適用する前に、NTFS DACLを希望する値に変更します
これらのデフォルトDACLSを変更や置き換えをせずに削除すると、データアクセスが失われます