我在Active Directory(W2k8R2 DC)环境中使用了openfiler设备。 我想尽可能使我的股票看起来像我的用户的Windows股份。 大多数事情都很好,但有些让我发疯。 ATM我最大的问题是使Windows客户端所见的ACL清晰: Windows ACL编辑器 正如你看到的, 每个 人都有条目, 没有人 , CREATOR OWNER和CREATOR GROUP 。 我知道所有这些条目都映射从我的POSIX ACL像所有者:组:其他。 对于大多数Windows用户来说,这只是令人困惑,尤其是每个人都会把一些人吓跑,因为他们认为每个人都可以访问。 我怎么能摆脱这些条目,只有: G-PM-PMFS01-ADM =>完全访问 L-PM-PMFS01-DEPOT-C =>更改/修改 L-PM-PMFS01-DEPOT-R =>只读 L-PM-PMFS01-DEPOT-R是唯一完全正确的唯一组合。 G-PM-PMFS01-ADM被列入特别版,但由于它是POSIX中的“主要组”,因此具有完全访问权限。 L-PM-PMFS01-DEPOT-C被列为完全访问权限,因为它在POSIX上得到了rwx。 我试图改变acl map full control但没有得到任何不同的结果设置为false 。 所以我的问题是,我应该在smb.conf中设置几乎100%的窗口外观(和感觉) – 像Samba一样的文件服务器? 我知道这在EMC或NetApp的商业产品上是可能的,所以我认为应该有办法。 当前共享smb.conf的一部分 [depot] comment = depot path = /mnt/vg1/v001/depot read only = no writeable = yes oplocks […]
如果您告诉Apache使用CustomLog文件,Apache2将在启动时创build这些文件。 它总是把它们给root用户:root。 我怎样才能改变这种行为? 背景 Apache运行 SuexecUserGroup www-data www-data 同时,我使用一个将它输出到脚本的CustomLog。 该脚本从IP中删除两个字节,然后写入日志文件。 由于您不能告诉Apache从error.log中省略IP,因此此pipe道输出非常重要(关于德国隐私法)。 如果脚本不属于www-data ,脚本将无法访问我的自定义日志。 如果我改变了主人,everthing正常工作。 我也知道如何在logrotate重命名并重新创build日志文件时更改文件所有者。 但是,如果我停止了Apache进程,请删除日志文件,然后重新启动Apache进程,新文件将会以root身份login。 我如何告诉Apache在启动时创build新的无效文件为/ www-data ?
首先道歉,如果我的一些术语closures,我很新的Windowsnetworking和Active Directory。 我们正在运行Windows Server 2008R2文件服务器,而且我的任务是重构我们的networking共享中的一个。 默认情况下,所有经过身份validation的用户都可以访问该共享,只有几个文件夹(例如\\share\manager_1 , \\share\manager_2 )仅限于某些人( manager_1和manager_2 )。 我也希望这些文件夹对于没有访问权限的用户不可见 – 基于访问的枚举为此创造了奇迹。 到现在为止还挺好。 现在,当pipe理员希望在自己的文件夹( \\share\manager_1\sub_folder_1 )中创build一个子文件夹并与另一个用户共享此文件夹时,就会出现问题。 我们给了pipe理员在pipe理员自己的文件夹内对文件夹设置自己权限的能力,所以manager_1可以授予user_1对\\share\manager_1\sub_folder_1访问权限,但在这种情况下: user_1无法将共享目录树导航到\\share\manager_1\sub_folder_1因为在\\share\manager_1上不会自动为他们授予“列表文件夹”权限 – 因此Access Based Enumeration将隐藏manager_1文件夹。 即使使用“遍历文件夹”权限,user_1也不能直接进入\\share\manager_1\sub_folder_1 UNCpath,但ABE优先于“遍历文件夹”。 真的, 我想要一种方式来获得ABE的工作,但'反向许可'的'列表文件夹'权限的传播 – 这样在上面的情况下, user_1将能够钻取目录树sub_folder_1但无法看到任何manager_1文件夹的内容(明显是sub_folder_1本身)。 花了好几个小时试图弄清楚如何做到这一点,我的理解是,在Novell的Active Directory中有一个名为“dynamicinheritance”的特性,就是这样做的。 有没有什么办法可以在基于Windows的环境中实现这一点? 任何帮助非常感谢。
我正在使用CentOS 7,并试图列出一个目录的内容,但不能。 当我尝试列出内容时,我得到以下输出: [entpnerd@myhost ~]$ ls -ali /data/sharedlogs/otherhost/ ls: cannot access /data/sharedlogs/otherhost/vcs: Not a directory total 12 2361284 drwxr-xr-x 4 root root 4096 Sep 26 14:40 . 2359297 drwxr-xr-x 6 root root 4096 Apr 26 17:41 .. 2362573 drwxr-xr-x 2 root root 4096 Mar 22 2017 tkr ? d????????? ? ? ? ? ? vcs […]
这里的一些用户有时会错误地拖放一个文件夹。 是否有可能禁止他们移动和重命名文件夹? 他们都使用Windows XP。 该文件夹在networking上。 他们应该仍然可以创build新文件夹并更改文件夹内的所有文件。 这里是一个例子: \\network-folder\projects\folderX 我不应该能够移动或重命名folderX,但我必须能够创buildfolderY; 添加,删除和更改folderX内的文件。 这不是一个真正的安全function,它只是为了防止错误。
这是情况。 通常我需要告诉用户如何访问特定的文件夹。 我可以看到“有效的权限”,他们有读/写/等,但由于嵌套组,我不能立即说出原因。 我想要一个工具/脚本,我可以运行,将采取一个path和用户的input,并告诉我该用户具有权限。 例。 我在Server01上,然后浏览到c:\文件夹,我看到用户MathewC有写权限,但是当我查看文件夹的权限时,我可以看到许多组有权访问,但我不知道不知道MathewC是哪一个团体的成员。 所以,该文件夹的权限将如下所示: C:\文件夹 组01读/写 组02读/写 组03读/写… 99组读/写 工具/脚本会回报 用户MathewC是具有读/写访问权限的“Group 42”的成员。 甚至更复杂: 用户MathewC是具有“读/写”访问权限的“Group Group”成员之一。
我有一个文件夹(由另一个用户拥有,但同一组),我想查看它的内容,但我总是得到以下错误信息: "ls: cannot open directory .: Permission denied" 但是这个组织拥有rwx权限! 例如: 文件夹/ var / log / somefolder由www-data:www-data 用户user1属于组www-data (但这不是主要组)。 我必须设置哪些权限,允许user1查看文件夹内容并写入?
我们的Windows服务器上有一些用户文件夹上有一些相当搞砸的权限。 我想要SYSTEM和Domain Admins完全控制所有文件夹。 我希望用户只能在顶级文件夹(这是他们的主文件夹)上只读,并在所有子文件夹和文件上进行修改。 这可以很容易地通过GUI来完成,但我不知道如何编写脚本。 我从PowerShell脚本调用icacls,因为get-acl和set-acl是主要的PITA。 如果我必须使用它们,我并不反对,但是我认为调用icacls会更容易。 这是我所需要的相关代码: icacls.exe $folder /grant '$domain\$user:(OI)(CI)(M)' icacls.exe $folder /grant 'SYSTEM:(OI)(CI)(F)' icacls.exe $folder /grant '$domain\domain admins:(OI)(CI)(F)' 正如你所看到的,我正在给用户修改icacls.exe $folder /grant '$domain\$user:(OI)(CI)(M)' 。 我无法弄清楚如何使修改只应用于子文件夹和文件,同时授予只读的顶级文件夹。 所需的权限结构如下所示(只是为了清楚): -Users –M —Marra (read only to me) —-Documents (Modify) —-Scripts(Modify) —-Etc (Modify) 什么是正确的icacls语法,或者我怎么能在PS本身与set-acl?
在类似Unix的操作系统中,给文件所有者一个小于7(rwx)的文件权限有什么意义? 所有者可以平凡地改变他/她的文件的所有者权限,并且如果该acct可以是一个黑客。 妥协。 设置所有者权限为7以外的任何东西似乎只是阻碍W / O产生任何实际的安全改进。
我希望有人能指出我对Linux权限的正确方向。 我知道如何计算什么权限,了解改变它们的方法,并可以处理肮脏的工作,我只是不确定什么权限,我应该给予适当的安全。 我一直在Linux服务器上进行根目录的开发,所有文件的权限设置为644(位于/ var / www)。 正如我正在采取一个新的开发人员,我想build立适当的用户,仍然可以编辑。 我不想在这个时候使用版本控制。 在我看来,通过创build两个新用户(一个用于我,一个用于新开发人员),将我们添加到一个通用开发组,并将所有文件组所有者更改为该开发组,我可以在664处对所有文件进行chmod维护自由编辑。 通过如上所述设置权限,我的文件仍然(相对)安全的权限明智吗? 编辑:find一个伟大的资源在这里为未来的任何人看。