[Amazon FSx for NetApp ONTAP] fsmgmt.msc でSMBファイル共有の操作を行うために必要な権限を確認してみた

fsmgmt.msc でFSxN上のSMBファイル共有の操作を行うために必要な権限が気になる

こんにちは、のんピ(@non____97)です。

皆さんはfsmgmt.mscでAmazon FSx for NetApp ONTAP(以降FSxN)上のSMBファイル共有の操作を行うために必要な権限が気になったことはありますか? 私はあります。

GUIでSMBファイル共有の管理をする場合はfsmgmt.mscが便利です。

fsmgmt.mscで操作する場合は、ローカルのAdministratorもしくは、ドメインのAdministrator相当の権限が必要な認識を持っています。

しかし、1つのファイルサーバーを管理するためにドメインのAdministratorを渡すのは少々気が引けます。

FSxNでは「委任されたファイルシステム管理者グループ」というSMBサーバー上の管理者グループを定義することが可能です。

https://dev.classmethod.jp/articles/amazon-fsx-for-netapp-ontap-delegated-file-system-administrators-group/

ドメインのAdministratorでなくとも、委任されたファイルシステム管理者グループに含まれていればfsmgmt.mscの操作が可能だったりするのでしょうか。

実際に試してみました。

いきなりまとめ

• fsmgmt.mscを起動するためにはローカルのAdministratorもしくはDomain Adminsの権限が必要
• fsmgmt.mscでFSxNのSMBファイル共有の操作をするためには、操作しているユーザーが委任されたファイルシステム管理者グループに含まれている必要がある

やってみた

ドメインのAdministratorの場合

まず、ドメインのAdministratorの場合から試します。

ドメインのAdministratorでAD DCにRDP接続し、検索ボックスにfsmgmt.msc /computer=SMB-SERVER.corp.non-97.netを入力して叩きます。

すると、以下のようにFSxN上のSMBファイル共有一覧を確認することができました。

Domain Adminsに属していないユーザー かつ 委任されたファイルシステム管理者グループに属していないユーザーの場合

続いて、Domain Adminsに属していないユーザー かつ 委任されたファイルシステム管理者グループに属していないユーザーの場合です。

使用するユーザーはtest-user01です。

test-user01はDomain UsersとFSxAdminGroupの2つのセキュリティグループに属しています。

FSxAdminGroupはdomain-localとRemote Desktop Usersに属しています。

要するにDomain Adminsには属していません。

また、以下のとおりSMBサーバーのBUILTIN\Administratorsに含まれるグループにも属していません。

::> cifs users-and-groups local-group show-members
Vserver        Group Name                   Members
-------------- ---------------------------- ------------------------
svm            BUILTIN\Administrators       SMB-SERVER\Administrator
                                            CORP\Domain Admins
               BUILTIN\Guests               CORP\Domain Guests
               BUILTIN\Users                CORP\Domain Users
3 entries were displayed.

test-user01でAD DCにRDP接続し、検索ボックスにfsmgmt.msc /computer=SMB-SERVER.corp.non-97.netを入力して叩きます。

すると、以下のようAdminの認証情報を入力するように要求されませした。

test-user01の認証情報を入力してYesをクリックすると、the user has not been granted the requested logon type at this computerと権限がないため弾かれました。

なお、入力した認証情報に誤りがある場合はThe user name or password is incorrectと教えてくれるので、確かに権限不足によって弾かれていると判断できます。

ということで、こちらのパターンではfsmgmt.mscでFSxN上のSMBファイル共有の操作はできません。

Domain Adminsに属していないユーザー かつ 委任されたファイルシステム管理者グループに属しているユーザーの場合

次に、Domain Adminsに属していないユーザー かつ 委任されたファイルシステム管理者グループに属しているユーザーの場合です。

FSxAdminGroupをBUILTIN\Administratorsを所属させます。

::> cifs users-and-groups local-group add-members -vserver svm -group-name BUILTIN\Administrators -member-names CORP\FSxAdminGroup

::> cifs users-and-groups local-group show-members
Vserver        Group Name                   Members
-------------- ---------------------------- ------------------------
svm            BUILTIN\Administrators       SMB-SERVER\Administrator
                                            CORP\Domain Admins
                                            CORP\FSxAdminGroup
               BUILTIN\Guests               CORP\Domain Guests
               BUILTIN\Users                CORP\Domain Users
3 entries were displayed.

この状態で再度、test-user01でAD DCにRDP接続し、検索ボックスにfsmgmt.msc /computer=SMB-SERVER.corp.non-97.netを入力して叩きます。

結果は変わりなく、先述と同様にAdminの認証情報を入力を求められました。

test-user01のパスワードを入力しても変わらずアクセスできません。

検索ボックスからfsmfmt.mscで起動した場合も同様の画面が表示されました。

そもそもfsmfmt.mscを立ち上げるタイミングで、ドメインのAdministrator権限を要求されていそうですね。

Domain Adminsに属しているユーザー かつ 委任されたファイルシステム管理者グループに属しているユーザーの場合

次に、Domain Adminsに属しているユーザー かつ 委任されたファイルシステム管理者グループに属しているユーザーの場合を試します。

FSxAdminGroupをDomain Adminsに所属させます。

この状態で再度、test-user01でAD DCにRDP接続し、検索ボックスにfsmgmt.msc /computer=SMB-SERVER.corp.non-97.netを入力して叩きます。

すると、fsmgmt.mscでFSxN上のSMBサーバーに接続できました。

また、SMBファイル共有の追加と削除もできました。

Domain Adminsに属しているユーザー かつ 委任されたファイルシステム管理者グループに属していないユーザーの場合

最後に、Domain Adminsに属しているユーザー かつ 委任されたファイルシステム管理者グループに属していないユーザーの場合を試します。

委任されたファイルシステム管理者グループからDomain AdminsとFSxAdminGroupを外します。

::> cifs users-and-groups local-group remove-members -vserver svm -group-name BUILTIN\Administrators -member-names CORP\FSxAdminGroup

::> cifs users-and-groups local-group remove-members -vserver svm -group-name BUILTIN\Administrators -member-names CORP\Domain Admins

Error: command failed: Failed to resolve name "Admins".

::> cifs users-and-groups local-group remove-members -vserver svm -group-name BUILTIN\Administrators -member-names "CORP\Domain Admins"

::> cifs users-and-groups local-group show-members
Vserver        Group Name                   Members
-------------- ---------------------------- ------------------------
svm            BUILTIN\Administrators       SMB-SERVER\Administrator
               BUILTIN\Guests               CORP\Domain Guests
               BUILTIN\Users                CORP\Domain Users
3 entries were displayed.

この状態で再度、test-user01でAD DCにRDP接続し、検索ボックスにfsmgmt.msc /computer=SMB-SERVER.corp.non-97.netを入力して叩きます。

すると、SMBサーバーに接続はできたのですが、権限不足によりSMBファイル共有の一覧を表示することができませんでした。

SMBファイル共有(Share)だけでなく、セッションやオープンファイル一覧も開けませんでした。

また、ドメインのAdministratorで試した場合も同様の結果でした。

以上のことから、fsmgmt.mscでSMBファイル共有の管理を行う際には委任されたファイルシステム管理者グループにも属している必要があることが分かりました。

fsmgmt.mscでFSxN上のSMBファイル共有を管理するためには実質Domain Adminsの権限が必要

fsmgmt.msc でSMBファイル共有の操作を行うために必要な権限を確認してみました。

結論としては、fsmgmt.mscでFSxN上のSMBファイル共有を管理するためには実質Domain Adminsの権限が必要であることが分かりました。

fsmgmt.mscでSMBファイル共有の管理をさせたい場合は付与する権限に注意しましょう。

この記事が誰かの助けになれば幸いです。

以上、AWS事業本部 コンサルティング部の のんピ(@non____97)でした!