假设我有两个VLAN(我们称它们为GroupA和GroupB,我并不希望GroupA与GroupB交谈,事实上,我只想让GroupA访问互联网,我build立了如下组: interface Vlan2 ip access-group public-only out ip address 10.0.2.2/24 hsrp 1 timers 1 3 ip 10.0.2.1 no shutdown description GroupA interface Vlan3 ip address 10.0.3.2/24 hsrp 1 timers 1 3 ip 10.0.3.1 no shutdown description GroupB 我试图用仅公开的ACL来分离GroupA: ip access-list public-only 10 deny ip 172.16.0.0/12 any 20 deny ip 10.0.0.0/8 any 30 deny ip 192.168.0.0/16 […]
我们使用了NGinx的一些应用服务器。 我们现在希望限制代理对某些应用程序的访问,但仍然允许在同一主机和内部LAN上运行的脚本绕过新的身份validation。 为此,我们将以下内容添加到configuration中: satisfy any; allow 192.168.32.0/24; allow 192.168.29.29; allow 127.0.0.1; deny all; proxy_pass http://127.0.0.1… 但是,这允许所有的请求进入 – 大概是因为代理完成到127.0.0.1,因此所有的请求匹配上面的“允许127.0.0.1”规则。 我们做错了什么? 什么是正确的方法?
我很难理解用户能够从ShadowCopy恢复文件的条件。 以下是对问题的背景的简要描述: Windows Server 2012 R2作为文件共享服务器。 在托pipe文件的本地驱动器上激活卷影复制 非常不同的ACL超过数百个文件。 不断演变的ACL。 文件可以通过DFS共享访问最终用户。 pipe理员帐户位于AD的域pipe理员组中。 有时候,作为pipe理员,我们必须使用卷影副本来恢复文件。 通常情况下,pipe理员连接到该服务器后,无法通过浏览器UI查看任何可用的卷影副本(即使技术上他们可以访问该文件夹作为域pipe理员)。 如果您有权访问该文件夹,则仅可用于文件夹的卷影副本似乎是合乎逻辑的。 默认情况下,大多数文件夹的访问列表中都有“域pipe理员”。 但是,只有在访问资源pipe理器中的文件夹并在UAC提示pipe理员权限后,pipe理员才会被主名添加到ACL中。 然后,当pipe理员被主动添加到ACL中时,他可以从那时起看到更新的Shadow副本。 但显然不是之前创build的较旧的快照。 就好像在确定是否应为Admin-A帐户显示卷影副本时,域pipe理员组没有考虑在内。 显然,作为内置的本地pipe理员帐户连接时,我们可以在大多数文件夹中看到更多的卷影副本历史logging。 有没有一种简单可靠的方式作为pipe理员访问所有的影子副本? 据我所知,作为域pipe理员,只要域pipe理员组在其ACL中具有对该文件夹的完全访问权限,我就能够查看文件夹的影子副本的完整历史logging。 我已经看到了可以手动安装卷影副本的方法,但看起来有些反效果。 另外,如果有任何有关如何查看/恢复ShadowCopies的权限的文档,我会很乐意深入研究。 谢谢你的帮助 !
我有一个问题,为OpenLDAP设置ACL。 这里是一些最简单的例子来解释这个问题。 模式如下: dc=example,dc=com |– cn=password_resetter `– ou=users |– uid=johndoe `– uid=janedoe 用户中的所有对象都具有“qmailUser”作为objectClass,结果是属性mail和userPassword 。 password_ressetter应该能够根据邮件地址更改密码。 我知道的正常方式是允许search和比较邮件属性,并允许写入userPassword属性。 像(没有testing过): to dn.subtree="ou=users,dc=exmpale,dc=com" by dn.base="cn=password_resetter,dc=example,dc=com" search to dn.children="ou=users,dc=exmpale,dc=com" attrs=mail by dn.base="cn=password_resetter,dc=example,dc=com" compare to dn.children="ou=users,dc=exmpale,dc=com" attrs=userPassword by dn.base="cn=password_resetter,dc=example,dc=com" write 但是这将正确的访问权检查转移到客户端应用程序:客户端可以search用户树,客户端可以编辑每个密码,甚至不检查邮件。 你知道一个访问规则,只有当邮件是一个特定的,才允许更改userPassword? 或者其他说:我理想的需要一个规则,允许更改属性userPassword只有DN与一个被宽恕的邮件。
有没有办法通过Linux本身直接从Samba Share的文件和文件夹设置Windows ACL? 我知道有setfacl / getfacl选项,但它们只能在: – DENY |之间改变 READ-ONLY | 全控制 – 如果我有这个权利。 但是我需要一个Windows安全组修改权限。 而recursion到所有以下的目录。 如果我直接通过SMB连接从Windows更改,则由于大量的文件,这将需要数小时甚至数天。 有没有办法做到这一点,还是不可能? 我知道信息存储在共享的任何地方,因为我可以将Linux中的文件复制到共享文件夹,并自动获得以前select的修改权限。 为了避免通过SMB更改设置,我从共享中复制文件。 删除共享中的所有文件,并从共享上的窗口更改权限。 Actually this is how I proceeding so far: In Linux: 1. I copy files and folders from the share folder to a separate location. 2. I delete all stuff in the share folder. In […]
我们使用AD中的安全组来控制对我们文件共享的访问。 \区 ZONE组(仅读取和执行,仅此文件夹)ZONE-写入组(修改,此文件夹,子文件夹和文件) 用户“rick.deckard”位于区域写入安全组中,因此具有对整个\ ZONE文件夹的修改访问权限。 如果rick.deckard创build一个目录 \区\ BR1 “rick.deckard”ACE进入BR1目录的ACL,“完全控制,仅此文件夹”。 如果我们随后从区域写入安全组中删除“rick.deckard”,他根本无法访问ZONE树。 除非他直接映射到\ ZONE \ BR1,然后他仍然完全控制在该目录中! ACL中的这些基于用户的ACE条目甚至在通过安全组的访问被撤销后仍然保留。 这是正常的行为? 我们如何build立一个授予访问ZONE目录的“仅限安全组”的方法,从而在创build目录时,不安装特定的用户ACE? 任何帮助,将不胜感激。
我必须限制某些用户的login时间访问权限。 我GOOGLE了,发现有可能与pam模块和time.conf。 我的问题是:是否有可能做到这一点,但与团体一样,而不是处理用户,只是收集这些用户,并设置有限的login时间到这个组? 我正在使用centos7的ldap服务器。
我试图从所有的文件夹中删除一个ACL为johndoe设置,在我的一个驱动器上recursion,而没有任何其他条目! 任何人都知道如何做到这一点,而不会影响其他组/用户已经存在的ACL? 我正在寻找相当于Mac的“setfacl -du:johndoe” 我知道你可以使用chmod从多个文件中删除一个规则,但是我看到的唯一方法是不行的,因为它通过它的索引(例如:每个文件夹的第五个条目)删除了规则,并且我的用户的条目赢了永远是同一个指标。 你为什么想做这个? 假设你inheritance了一个疯狂的文件系统,它拥有大量的个人用户,而不是团体,你想摆脱个人,因为他们已经有访问权限。
我想使用命令attrib -s C:\ windows \ tasks从文件夹C:\ windows \ tasks中删除特殊属性,但是我得到: 拒绝访问 – C:\ windows \ Tasks 我是服务器上的本地pipe理员(这是Windows 2003 SP2),我没有发现任何特殊的GPO应用于这些设置。 还有什么原因可能导致这种行为?
我有一个networking/ VLAN,我想阻止一些stream量,并允许我的networking中的一些stream量,这是可能的使用L2或L3交换机? 如果是这样的话,哪个交换机支持这个function,configuration这个命令是什么? 我已经尝试过使用访问列表,通过将它应用到以太网端口,但是如果我将它应用到一个端口上,它将自动处理该端口上的传入stream量,但是我的意思是根据我的ACL只处理传出stream量。 你有什么build议吗?