我有一个域join的服务器,Windows Server 2012 R2标准,与多个用户共同的文件夹树。 有些用户拥有域帐户,有些用户只拥有本地Windows帐户。 所有用户使用远程桌面访问服务器和修改文件。 所有用户都可以访问整个文件夹树(例如C:\ Common)。 由于各种用户在通用文件夹及其子文件夹中创build,删除和修改文件,文件权限会飘移到某些用户无法再访问或修改某些文件的地方。 文件最终由各种用户拥有,不包括所有用户的权限。 父文件夹(C:\ Common)具有授予每个用户的完全控制权限。 要解决此问题,每当用户抱怨他们无法访问所需的文件时,我从C:\ Common文件夹中的pipe理员命令提示符运行这两个命令: icacls * /setowner LocalCommonUsersGroup /t /c icacls * /T /Q /C /RESET 这会重置所有权和权限,但运行需要很长时间(20分钟以上)。 LocalCommonUsersGroup是一个本地组,所有相关的本地和域用户都是成员。 我曾与各种业主尝试。 如何设置此文件夹树上的所有权和权限,以便所有用户都可以创build/修改/删除文件和文件夹,并且没有人被locking在任何文件或文件夹之外? 什么是灵活/是一个select: 主人。 它可以是域帐户,域组,本地帐户或本地组。 用户被授予权限的方式 它可以是每个帐户单独添加或本地组。 什么是不灵活/ 不是一个选项: 该文件夹仍然需要安全,即我不能授予访问“所有人”。 提前致谢。 更新: icacls的结果C:\ Common: C:\Common MYDOMAIN\domainuser1:(OI)(CI)(F) SERVER1\localuser1:(OI)(CI)(F) SERVER1\localuser2:(OI)(CI)(F) SERVER1\LocalCommonUsersGroup:(OI)(CI)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) BUILTIN\Users:(I)(OI)(CI)(RX) BUILTIN\Users:(I)(CI)(AD) BUILTIN\Users:(I)(CI)(WD) SERVER1\LocalCommonUsersGroup:(I)(F) CREATOR […]
我想在我的代理服务器上实现基于IP的身份validation。 考虑一下我的服务user1 。 以下是我的ACL目前的样子: acl user11 proxy_auth [-i] user11 acl user12 proxy_auth [-i] user12 acl user13 proxy_auth [-i] user13 与相应的传出IP地址分配: tcp_outgoing_address 175.25.11.25 user11 tcp_outgoing_address 175.25.11.26 user12 tcp_outgoing_address 175.25.11.27 user13 通过这种方式, user1可以在authentication时通过在用户名后面附加一个数字来使用多个出站IP地址。 我希望user1有权访问许多传出IP地址,但使用基于IP的身份validation。 据我所知,我会做这样的基于IP的authentication: acl user11 10.0.0.1 acl user12 10.0.0.1 acl user13 10.0.0.1 但是,这是行不通的,因为那么用户没有办法使用/指定不同的外出IP地址。 这意味着我必须为每个出站IP地址使用不同的端口。 假设我的服务器的主IP是175.25.11.1 (用户将连接到什么),我希望他们连接的每个端口有不同的出站IP地址。 我们还假设用户的IP是10.0.0.1 ,我们要使用基于IP的身份validation。 我理解的方式,这是我将如何做到这一点: http_port 175.25.11.1:3128 name=3128 http_port 175.25.11.1:3129 name=3129 […]
我想从acl中排除一些IP,例如: acl "exclude" { 192.168.1.1; 192.168.1.2; 192.168.1.3; }; acl "internal" { 192.168.1.0/24; !exclude; }; 这是行不通的,我想是因为包含在exclude acl中的IP包含在整个范围内。
我们在网上找了很长时间才写了这么长的一篇文章,但是我们没有find任何解决scheme,甚至在微软的网站上也没有find任何解决办法。 长话短说了解情况 我们使用Windows Server 2016开始了一个项目,这是我们第一次应用AGDLP模型来configuration共享文件夹。 一切工作正常,除了漫游configuration文件。 对于许可和成本的原因,我们可以只有2个虚拟机可用于Windows Server,一个专用于Active Directory,另一个用于共享和应用程序(用户不需要远程桌面访问,只需运行一个软件,共享文件夹和漫游configuration文件)。 这就排除了我们可以拥有第三台虚拟机来分离软件和共享的事实(不需要购买Windows Server的另一个许可证)。 有两个不同的公司可以访问客户端的服务器,第一个是IT服务(我们),第二个是pipe理需要自己安装和更新软件的特定软件。 但是,我们不希望第三方公司能够看到共享文件夹的内容,即使他们需要成为服务器“内置pipe理员”的成员才能安装该软件,当然也不能访问Active Directory服务器。 我们使用安全组对每个文件夹的ACL进行了configuration(读取,修改,完整),并按照AGDLP上下文中的build议将这些组分配给其他组。 但是,由于上述原因,我们没有添加“BUILTIN Administrators”部分的访问权限,出于安全原因,我们也没有添加“Domain Admins”(域pipe理员组仅用于pipe理Active Directory,所有内容否则有它自己的组)。 一切工作正常,除了“家”目录,我们有用户的漫游configuration文件和redirect的文件夹。 出于安全原因,我们希望只有用户(创build者所有者)和名为“家庭pipe理员”的特定组有权访问。 这个组可以访问configuration文件,但是即使我们是对文件夹和子文件夹拥有完全权限的组的一部分,我们也不能改变文件夹的权限。 看起来我们需要成为“pipe理员”(内build或域)的成员才能修改它。 你有这方面的经验吗? 或者你有什么build议可以帮助我们继续前进? 由于英文不是我们的主要语言,我们希望这个post足够清晰。 如果不是,如果你需要更多的信息,请告诉我们。 非常感谢您的时间和帮助:-)
我在ZFS上运行FreeBSD 11上的Samba 4.6。 每个用户都属于文件服务器组 。 另外,每个部门还有其他组,例如销售组 。 我的问题就来了 在服务器上是一个名为sales的文件夹。 文件服务器和组销售商拥有哪一个。 为什么我的销售团队成员不能通过Windows文件夹覆盖文件。 使用shell访问编辑工作没有任何问题。 在Windows下出现消息访问目标文件夹已被拒绝当我尝试覆盖文件。 可以在销售文件夹内创build新文件,而不会出现问题。 重命名也有效 folder sales chmod 770 sales chown fileserver:sales # file: sales # owner: fileserver # group: sales owner@:rwxp–aARWcCos:——-:allow group@:rwxp–aRc–s:——-:allow everyone@:rx—aRc–s:——-:allow 销售文件夹里面是一个文件test.txt chmod 770 test.txt chown fileserver:sales # file: test.txt # owner: fileserver # group: sales owner@:rwxp–aARWcCos:——-:allow group@:rwxp–aRc–s:——-:allow everyone@:——aRc–s:——-:allow 将文件夹权限更改为chmod 2770销售也不起作用 只有当我给这个文件和保存所有者相同的ACL权限。 […]
是否有可能有一个单一的Subversion存储库的多个authz文件,并让他们互动? 为了更好地理解我之后的事情,让我解释一下。 我们即将为我们大学的所有学生推出集中托pipe的Subversion版本库。 我们希望能够指定学生可以轻松访问的用户组,例如教师和pipe理员。 为了保持多个学生对ACL的并发编辑,我们将为每个学生创build一个authz文件。 然而,这使得全局组定义变得很痛苦,因为组定义必须至less在每个使用它的authz文件中更新。 所以我的问题基本上相当于,我可以有一个authz文件的组定义,然后我从另一个authz文件引用?
我正在将我们的文件共享从Windows Server迁移到Linux上的Samba,目前我唯一的障碍就是acl了。 目前,我们有许多使用NTFS上的“修改”权限的目录,因此用户可以写入目录,但一旦写入文件就不能修改。 在Linux上,我的想法是为目录设置ACL以具有读/写访问权限,但是具有与只读访问相关联的默认ACL。 这可能吗? 我不太清楚如何设置一个不同于父目录的默认ACL。 谢谢!
我的情况是这样的。 我们有一台机器作为员工门户,可以访问几个基于Web的应用程序。 我们想要做的是控制用户访问这些应用程序使用一个login网站对LDAP进行身份validation。 然后这个应用程序会向用户显示一个页面,给他们一个他们有权访问的应用程序列表。 但是,我们还需要拒绝他们访问不在其列表中的应用程序。 实质上,设置Apache来提供针对网站上不同应用程序的acls。 用户无法通过手动inputURL来跳过这一点很重要,任何尝试都会将它们指向login页面。 这是可能吗?? 我们面临的挑战是尽可能简单地为用户设置访问权限,好像它们在外部访问而不是内部访问时不同于应用程序的URL,这是让他们轻松导航和访问的一种方式。 有关信息,login站点正在使用PHP编写,并使用Zend Framework进行身份validation并从LDAP获取访问列表。 提前致谢。
因此,对于我的服务器上托pipe网站的客户,我使用/ home中的标准主文件夹创build用户帐户。 我为所有的collective用户设置了一个SSH监狱,因为我真的反对使用一个单独的FTP服务器。 然后,我安装了ACL,并将acl添加到我的/etc/fstab – 都很好。 我cd到/home和chmod 700 ./* 。 在这一点上,用户不能看到其他用户主目录(耶),但Apache不能看到他们(嘘) 。 我运行了setfacl u:www-data:rx ./* 。 我也试过个别目录。 现在Apache可以再次看到网站,但所有的用户也可以。 ACL将主文件夹的权限更改为750 。 如何设置ACL以便Apache可以看到托pipe在用户家庭文件夹中的站点AND 2.用户不能在他们家外看到其他人的文件。 编辑:更多细节: chmod -R 700 ./*后输出chmod -R 700 ./* sh-3.2# chmod 700 ./* sh-3.2# ls -l total 72 drwx——+ 24 austin austin 4096 Jul 31 06:13 austin drwx——+ 8 jeremy collective 4096 Aug 3 […]
是可能的,如果是的话,如何configurationNetatalk尊重ACL的? 我正在运行Debian Lenny,安装了ACL。 ACL的工作很好,使用SSH,这就是为什么我开始使用它。 但是,如果我通过AFPlogin,我无法访问这些文件。