我有一个利用Windows Server 2012上的Active Directory域的文件服务器angular色,我试图用所有现有文件服务器共享ACL中的另一个用户对象replace一个用户对象。 基本上,用户A离开公司,用户B在维护先前的ACL的同时接pipe他们的职责。 用户A是一个部门经理,拥有多个目录的所有权,并被手动添加到不同项目的其他部门目录。 有没有办法用用户Breplace用户A,同时保持用户B的ACL?
这不是你的标准“权限如何工作”的问题! 我想答案可能会涉及ACL,但我不知道如何。 我已经搞乱了标准的权限,GUID,粘滞位等不起作用。 我想要的:用户将上传文件。 用户将能够更改文件的权限以允许执行。 但是一旦创build,用户将无法更改文件的内容。 用户将无法删除该文件。 请帮忙! 我已经把我的头发撕了好几个小时了! 编辑: 感谢您的答案,但到目前为止,他们似乎没有解决如何自动为新创build的文件这项工作。 可能的scheme find -mtime -1 -exec chattr +i '{}' \+ 第二种可能的解 inotifywait -m -e create –format %f . 现在我只需要弄清楚pipe道chattr。
我无法提出解决scheme,可能是因为我不太了解Windows ACL的工作原理。 我有两个文件夹,我们称之为目录A和目录B.这些都包含在另一个目录中。 应该看到文件夹B的用户在AD组中; B组将其他人放在不同的组中是不现实的 – 这仅仅是1000个用户中的几个。 我只想让在该组中的用户看到文件夹B,而其他人只看到文件夹A. 我应该如何设置我的权限? (如果这是相关的,这些文件夹是用于开始菜单通过GPredirect到networking位置的用户的开始菜单快捷方式。)
我正在从一个旧的工具,通过一个Web表单(完全位于防火墙之后,有多个authentication层,这不是借口)启动一个rsync (从本地path复制到远程path)在Mac OS X 10.6 Snow Leopard服务器上。 为了解决rsync由_www运行这个事实,但这些文件是由_www用户拥有的(加上SSH用户密钥是针对某个用户的),原作者制作了rsync二进制文件副本,并且拥有4755& someuser作为所有者的权限所以,运行rsync副本的任何人都以someuser用户身份运行)。 一个肮脏的黑客,当然,但它的工作原理(它是在Mac OS X甚至支持ACL之前编写的,所以它至less可以理解,尽pipe从安全angular度来看它仍然很残酷)。 作为离开这个解决scheme的第一步,我已经将这些文件的权限从777(由_www用户拥有)更改为755(仍然由_www用户拥有),然后设置ACL的访问权限以便对这些文件具有完全访问权限如下: chmod -R +a "_www allow read,write,delete,add_file,add_subdirectory,file_inherit,directory_inherit" /path/to/directory 不幸的是,虽然仍然使用相同的rsync二进制文件与为someuser用户设置的set-user-ID-on-execution位, rsync现在会引发以下错误: building file list … rsync: link_stat "/path/to/directory/subdir/." failed: Permission denied (13) done sent 332 bytes received 20 bytes 704.00 bytes/sec total size is 0 speedup is 0.00 rsync error: some files could not […]
所以NFSv4 acls不会忽略umask,据我所知。 与kerberos nfsv3有它自己的问题(与autofs – 与帕姆竞赛条件)自己的主机。 所以,如果我们想用autofs支持nfs的系统,那么支持哪些select。 我听说过AFS,但不适合我们所需要的。 (Autofs从三个不同的nfs主机为几千个用户装载主目录)。 ACLS用于访问存储库和其他目录给不属于同一组的用户,并且将它们添加到组中并不是一件容易的事(对于他们来说)。 我们最初使用nfsv3,但有安全问题和组问题(sysauth),所以我们去了nfsv4 kerberos它运作良好,直到我们试图做acls。 在nfsv3中,acls很好用,容易,我们可以设置默认掩码inheritance,但对于nfsv4,没有这样的function。
我基本上想要做的就是能够在Samba共享上从Windows的某些目录设置SGID(setgid)。 提醒:在设置了SGID的目录中创build的文件和目录inheritance父目录的主要组。 环境 我有一个需要访问与他们所属的项目相关的文件的几十个小组的环境。 由于项目组和成员本身的成员经常发生变化,所以我想尽可能地把权限设置给组长。 虽然pipe理小组成员是很容易的(GOSA特权代表团照顾好了这一点),我正在努力与文件权限。 注意:组和其他类似层次的数量很大,因此为每个组或层次创build不同的共享是行不通的(Windows中可能的挂载点数量是有限的,使用UNCpath不幸也是不可能的)。 共享中的文件夹如下所示: /共享根 + – 层次1 + – 层次2 | … + – 层次结构20 + – 项目 + – 项目A | + – dir A | + – 文件 + – 项目B + – … + – 项目Z Samba ACL组控制 samba( acl group control )的一个很好的function允许我允许拥有该目录或文件的主要组的成员编辑它的权限(与smb.conf中的常规:owner,root和“admin users”不同)。 所以,当我有这样一个文件夹(来自getfacl POSIX ACL): […]
我正在尝试为OpenLDAP编写访问控制,以允许用户使用特定的基本dn进行search,但只能从某些子dn中获取结果。 我玩过很多不同的规则,但无法实现。 我不确定它甚至可能。 例如: 我有用户使用dn uid=testuser,ou=people,dc=example,dc=com 。 我希望此用户能够以dc=example,dc=com为基础进行search,并获取ou=people,dc=example,dc=com条目。 在dc=example,dc=com下还有很多其他的子OU,但是只有ou=people才能返回(为了奖励,我只希望返回某些属性)。 可以这样做吗?
简单的问题:有没有办法让Mac OS客户端上的NFS共享文件inheritance共享目录的权限? 场景: Ubuntu 12.04服务器 Mac 10.7.4客户端 共享目录有775个权限 客户端上创build的文件有644个权限 我尝试使用setfacl命令设置ACL,如此处所述,并且在服务器上显示它们。 getfacl返回这个: # file: Documents/ # owner: someguy # group: somegroup # flags: -s- user::rwx group::rwx other::rx default:user::rwx default:group::rwx default:group:somegroup:rwx default:mask::rwx default:other::rx 但是,当我在Mac OS客户端上创build一个新文件时,它仍然有644个权限,而不是我所期望的664个权限。 在服务器上创build的文件具有预期的权限。 用另一个Ubuntu客户端创build的文件也具有预期的权限。
ACL [访问控制列表像getfacl,setfacl]工具是否可以和OEL 6x一起工作? 它适用于Solaris 5.9,但不确定OEL 6x将支持ACL实用程序
我为目录创build了以下ACL: # file: . # owner: www-data # group: root user::rwx user:www-data:rwx user:deploy:rwx group::— mask::rwx other::— default:user::rwx default:user:www-data:rwx default:user:deploy:rwx default:group::— default:mask::rwx default:other::— 但是,如果脚本创build一个新目录并指定一个位掩码,则不应用默认掩码。 无论提供给mkdir()的位掩码如何强制此ACL生效?