uu直播快3平台_UU快3直播官方

阿里云SMB协议文件系统ACL权限控制使用指南

时间:2020-02-11 18:42:48 出处:uu直播快3平台_UU快3直播官方

机会再次出现恶意用户强行删除了管理者权限以及每所有人所有的权限,导致 文件/文件夹不可用,须要用管理员身份挂载并重写该文件/文件夹的权限。阿里云NAS SMB文件卷实现了与Windows Server文件卷同类的逃逸机制。

比如,当恶意用户把文件夹的拥有者改成每所有人所有,然后设置Deny Everyone完后 ,管理者(Domain Admins, Built-in Administrators)须要在点击确认完后 将文件夹的拥有者修改为管理者每所有人所有机会Everyone,然后把Deny Everyone的权限项删除并添加相当于的Allow权限项即可。

机会NAS SMB的默认挂载使用Everyone权限,而Everyone在Cygwin对应为other。Cygwin在生成文件/文件夹时,会有同类Linux的行为,在创建文件完后 自动执行chmod操作使文件/文件夹mode达到默认值。机会文件夹的other默认值是r-x,文件的默认值是r--,一些一些Everyone必须r-x机会r--的权限,导致 新生成的文件夹里Everyone无法创建新文件,新生成的文件对于Everyone也是只读的。

介绍完NAS SMB ACL的基本使用辦法 ,接下来一些人介绍NAS SMB ACL的基本行态。

必须以1个多多多身份挂载1个多多多NAS SMB卷。尝试用另一身份挂载会再次出现以下错误:

在Cygwin中使用NAS SMB卷时,建议在Cygwin的/etc/fstab中加入noacl的挂载选项,就说 Cygwin不让启用复杂的ACL转化,就说 对新生成的文件和文件夹使用默认mode值,USER/GROUP则为当前Windows登录用户的用户名和群组。基本规则如下:

接下来一些人介绍怎么才能 才能 使用NAS SMB ACL及其相关行态。

Set-Acl示同类下,更多资料请参考Set-Acl文档:

在符号链接生成后,用户须要通过Windows文件资源管理器(File Explorer)查看和编辑文件/目录的ACL。以下为示例(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。

说明 须要注意的是,阿里云NAS文件系统并没法实际加入用户的AD域。机会须要通过c:\myshare访问,就说 通过网络路径\\nas-mount-point.nas.aliyuncs.com\myshare访问文件系统,在设置ACL时,会遇到因RPC服务器不可用而无法取舍NAS挂载点不是已加入域的情况。



Cygwin须要在Windows环境中虚拟POSIX环境,运行POSIX应用程序。然后在启用AD/ACL完后 ,用户SID和Windows SD权限在Cygwin中会转化成POSIX uid/gid和POSIX ACL。你你这一 转化的具体细节请参考Cygwin ntsec.html。

用户须要使用Windows文件资源管理器的安全栏查看/修改权限,也须要通过Get-Acl/Set-Acl Powershell命令机会icacls命令行命令查看/修改ACL。

Windows Powershell支持Get-Acl/Set-Acl来查看、修改ACL。

Get-Acl示同类下,更多资料请参考Get-Acl文档:

icacls是Windows命令行下的ACL操作标准命令。示同类下,更多资料请参考icacls文档:

ACL权限控制表是一项重要的企业级行态。在不连通AD服务时,NAS SMB卷的ACL是只读的,用户登录身份为匿名(EVERYONE)。现在阿里云用户须要将自建的AD服务与NAS SMB卷连通,通过AD域身份机会EVERYONE的辦法 挂载NAS SMB卷,完后 用户须要对文件、文件夹设置ACL。具体配置AD的辦法 请参考将SMB协议NAS挂载点接入AD域,挂载SMB卷的辦法 请参考从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统。

阿里云NAS SMB ACL的卷根目录权限默认值如下:

更多内容请参考从LinuxAD以域用户身份挂载使用阿里云SMB协议文件系统。

注意:一定要保证文件管理器路径栏显示的是本地盘路径,然后设置ACL须要向NAS SMB卷发送RPC请求造成修改ACL失败。使用时注意机会须要回退,请点击回退机会上退按钮,然后并不点击路径中的某一段来回退。

说明 目前AD/ACL功能须要通过工单提交申请后还还都可不可以使用,默认关闭。

请参考从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,使用mklink工具以C盘下的符号链接的形式挂载好NAS SMB文件系统。

更多Windows文件管理器设置ACL的相关内容请参考Set-file-folder-permission-windows。

在Linux下使用mount -t cifs挂载时,用户须要指定挂载的域用户身份,以及挂载后的文件gid/uid/file mode/dir mode等。在使用文件卷时,客户端会根据挂载的uid/gid和登录的真实用户身份进行基本的posix权限检查,而在文件服务器端,无论Linux用户以何种uid/gid身份登录,都将映射到该域用户身份进行操作。Linux Root身份也没法管理员权限,就说 该域用户的权限。chmod, chown, chgrp, getfacl/setfacl等Linux权限操作都将不起作用。

然后,强烈建议用户在Cygwin下使用noacl选项,并不使用acl选项。

说明 请参考从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,使用mklink工具以C盘下的符号链接的形式挂载好NAS SMB文件系统。

热门

热门标签