![[PukiWiki]](image/picc.png "[PukiWiki]")
参照 https://wiki.samba.org/index.php/User_home_drives
ドメインにログイン済みのwindowsクライアントで操作します。ログインはSeDiskOperatorPrivilege権限を持つユーザで
行いますが、Domein Adminに所属するユーザですね。
「スタート」->「コントロールパネル」->「管理ツール」->「コンピュータの管理」を開く。
すると「コンピュータの管理」画面が表示されるが、ここから別のマシンに接続をし直す
まず、左ツリーの「コンピュータの管理(ローカル)」を選択して、右クリックから「別のコンピュータへ接続...」を選びます。
新たに表示された「コンピュータの選択」画面にて、/homeのファイルサーバ先を入力して「OK」ボタンをクリックします。
ここでは c.sybyl.local が/homeの持ち主です
接続が許可されると、下記の様にツリーが展開できる。
共有名「home」を選択して、右クリックから「プロパティ」を選択します。
「homeのプロパティ」画面にて、「共有のフォルダ許可」タブを開くと、「Evryone」で「フルコントロール」のみが存在している。
この「Evryone」の設定を削除して、「Authenticated Users」「Domain Admins」「System」が「フルコントロール」を持つように修正する。
| Authenticated Users: | フル コントロール |
| Domain Admins: | フル コントロール |
| System: | フル コントロール |
こんな感じで(例:Authenticated Users)
次に、同じ「homeのプロパティ」画面の「セキュリティ」タブを開く。
続いて、この「セキュリティ」タブ画面の「詳細設定」ボタンをクリックして、「home(\\C.SYBYL.LOCAL)のセキュリティの詳細設定」画面を開く。
「アクセス許可」タブ内で、「アクセス許可の変更...」ボタンをクリックして、同じ名称なのだが「home(\\C.SYBYL.LOCAL)のセキュリティの詳細設定」画面を開く。そこに「このオブジェクトの親から継承可能なアクセス許可を含める」のチェックを外して、「OK」ボタンを押す。
初めの「home(\\C.SYBYL.LOCAL)の...」画面に戻るが、ここでも「OK」ボタンを押す。これで
「homeのプロパティ」画面で「セキュリティ」タブまで戻ったはずだ。
次に、今度は同じ「セキュリティ」タブの「グループ名またはユーザ名」で許可対象を変更する。「編集...」ボタンをクリックして、
既存で定義されている項目をすべて削除して、
下記項目の様に定義を行う
| Administrator: | フル コントロール |
| Authenticated Users: | 読み取りと実行, フォルダー内容の一覧表示, 読み取り |
| Creator Owner: | フル コントロール |
| Domain Admins: | フル コントロール |
| System: | フル コントロール |
こんな感じで。
そして「OK」ボタンをクリックします
*「OK」ボタンを押下後、「Creator Owner」がフルコントロールでないように見えるが正しい動きです
このままだと認証されたユーザ(Authenticated Users)は、他のフォルダも読めてしまう状態なので、権限制限を施す。
「詳細設定」ボタンを押して、「アクセス許可の変更...」ボタンを押して、
「Authenticated Users」を選択したまま、「編集」ボタンをクリックします。
表示された「home(\\C.SYBYL.LOCAL)のアクセス許可エントリ」画面にて、名前が「Authenticated Users」であることを確認して、適用先を「このフォルダのみ」にします。その他のアクセス許可項目への変更はなく、そのまま「OK」ボタンを押します。
開いたすべての画面を閉じるように「OK」ボタンを押して、調整は完了となる。
っで、結局どうなったかと言うと、/homeをgetfaclで確認するとこうなる
[root@c ~]# cd /
[root@c /]# getfacl home
# file: home
# owner: root
# group: root
user::rwx
user:root:rwx
user:3000002:rwx
user:3000003:r-x
user:3000008:rwx
group::---
group:root:---
group:3000002:rwx
group:3000003:r-x
group:3000008:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000002:rwx
default:user:3000008:rwx
default:group::---
default:group:root:---
default:group:3000002:rwx
default:group:3000008:rwx
default:mask::rwx
default:other::---
[root@c /]#ちなみに、下記の関係になる。
| 3000002 | S-1-5-18 | Local System |
| 3000003 | S-1-5-11 | Authenticated Users |
| 3000008 | S-1-5-21-3856705137-1458541217-574567365-512 | Domain Admins |
