我希望我的用户'tobias'和'www-data'能够读写特定的目录。 为此,我已经把它变成tobias:www-data,把tobias添加到www-data组,并将setguid添加到目录中。 使用www-data组拥有它们,正确地创build了文件和子目录。 根据我的理解,下一步是使用ACL为这个特定的目录设置一个特定的umask。 我想它是002,所以内容给rw-rw-r权限。 所以我在/ etc / fstab里join了'acl',然后重新安装了磁盘。 到现在为止还挺好。 这里是我的目录的ACLconfiguration: $ getfacl app/cache/ # file: app/cache/ # owner: tobias # group: www-data # flags: -s- user::rwx user:www-data:rwx user:tobias:rwx group::rwx mask::rwx other::rx default:user::rwx default:user:www-data:rwx default:user:tobias:rwx default:group::rwx default:mask::rwx default:other::rx 但是,即使我的ACL设置,它仍然创build新的文件和子目录与rw – r – r – 权限。 所以要么我做错了什么,要么我误解了这个概念。 任何人都可以请帮我弄清楚,我应该做些什么,使其工作?
有谁知道如何获得带有ACL的本地共享文件夹列表并将列表导出到文件?
多年来,我用这两个吸盘的强大的武装… sudo chmod +a "localadmin allow read,write,append,execute,\ delete,readattr,writeattr,readextattr,writeextattr,\ readsecurity,writesecurity,chown" sudo chmod +a "localadmin allow list,search,add_file,add_subdirectory,\ delete_child,readattr,writeattr,readextattr,\ writeextattr,readsecurity,writesecurity,chown" 因为我认为这是一个recursion的 ,全面的,全面的,为每一个可用的权限(用户, localadmin )提供的。 当我, localadmin ,想要“做某事”没有很多关于权限的抱怨,等等 美丽的是,这种方法避免了改变所有权/组成员资格的必要性,或任何可执行的位。 但它是recursion的吗? 我开始想,事实并非如此。 如果是这样,我该怎么办? 而且如何能检查这样的东西? 将这个单用户添加到ACL不会显示在Finder中,所以…好的,欢呼声。
我正在为TeamCity开发团队构build一个很好的持续集成环境。 它运行得非常好,因为它可以构build.NET和PHP项目的组合,并将它们推送到我们的内部和外部平台。 我主要使用MsDeploy将所有内容推送到内部平台,因为这是所有基于IIS的。 但是,有许多构build需要在目标目录上设置目录权限。 我可以使用setAcl运算符,但似乎只将一个目标作为参数。 因此,如果需要更改5个目标目录的权限,我需要调用MsDeploy 5次,这似乎是一个很大的开销。 有没有一个明智的方法呢? 阅读文档,我不认为MsDeploy为setAcl运算符提供了多个参数,但可能是错误的。 构build服务器是否有更好的方式来一次设置多个目录权限?
我们使用一个基于networking的软件,用户可以login到该软件,以pipe理访问由AD组控制的共享。 用户可以pipe理的组列表是他们具有“写入成员”安全性的组。 这允许用户维护文件共享而不需要知道AD。 我正在尝试使用quest.activeroles.admanagement编写Powershell脚本,该脚本将返回指定用户具有“写入成员”安全性的整齐列表,以清除离职用户的权限。 我需要search的组存储在一个OU中,尽pipe有超过1000个。 我到目前为止已经想出了: add-pssnapin quest.activeroles.admanagement Get-QADObject -ShowProgress -SearchRoot 'domain.server.com/path/to/OU' -SearchScope 'OneLevel' -Type Group -SizeLimit 2500 | Get-QADPermission -Rights 'WriteProperty' -Property 'member' -Account "user" -WarningAction SilentlyContinue 这工作正常(但效率不高),但主机输出相当混乱: Permissions for: full.domain.path/OU/path/group1 Ctrl Account Rights Source AppliesTo —- ——- —— —— ——— Domain\user Write member Not inherited This object and all child objects Permissions for: […]
所以我试图把一些ACI添加到我的OpenLDAP系统(托pipe在CentOS 6上)。 我读过别人怎么把他们的ACI放在bdb里 olcAccess:attrs = userPassword,shadowLastChange by dn =“cn = manager,dc = bromosapien,dc = net”由匿名authentication olcAccess:通过*读取到dn.base =“” olcAccess:to * by dn =“cn = manager,dc = bromosapien,dc = net”write by * read 但是,我想避免这种情况,只是允许从容器中发生密码更改(至less避免使用目录pipe理器)。 我从他们的angular度读到这样做的人: dn:ou =人,dc = bromosapien,dc = net changetype:修改 加:aci aci:(targetattr =“userpassword || telephonenumber”)(version 3.0; acl“Allow self entry modification”; allow(write)(userdn =“ldap:/// self”);) 问题是,试图添加它,我得到了这个。 #ldapadd […]
我试图扩展在父目录下创build的子目录的ACL,但出于某种原因,我的一个组正被切换到#effective rx并且掩码正在改变。 有任何想法吗? 有一些默认的umask? Administrator@MyServer ~ $ setfacl -md:u:Someuser:r– somedir Administrator@MyServer ~ $ getfacl somedir/ # file: somedir/ # owner: Administrator # group: None user::rwx group::rx group:user1:rx group:user2:rwx mask:rwx other:rx default:user::rwx default:group::rx default:group:user1:rx default:group:user2:rwx default:mask:rwx default:other:rx -mkdir /somedir/somedir Administrator@MyServer ~ $ getfacl somedir/somedir # file: somedir/somedir # owner: Administrator # group: None user::rwx group::rx group:user1:rx […]
我目前正在从一个前辈检索一个ASP MVC网站解决scheme,我不得不创build一个活动目录机器来支持使用它的login实现。 在用户第一次login时,我们会提示他设置密码,我们也会更新他的描述(在moniroting工具中使用通用帐户状态)。 我的问题是以下几点: 我可以使用这些代码行来更改用户的密码(input是用户的ADinput): entry.Invoke("ChangePassword", new object[] { oldpassword, newPassword }); entry.CommitChanges(); 但几行后,其描述更新失败: entry.InvokeSet("description", new object[] { UserPasswordStatus.PasswordChanged.ToString() }); entry.CommitChanges(); 导致“System.UnauthorizedAccessException:一般访问被拒绝错误”。 当我去公元时,并改变用户的安全,以完全控制自己(在“自我”参考给予),这些相同的线路顺利。 我的问题是:我需要改变什么来允许用户改变他的描述? 显然,我希望它是通用的,并默认应用于我的所有用户。 正如你可能注意到的,我是一个开发人员,我不是很习惯服务器pipe理本身,所以请尝试把它考虑在内:)
如标题所示,我试图locking文件夹层次结构的目录结构。 多个(W7)用户访问(QNAP)SMB NAS(针对AD的ACL&Auth)上的共享项目。 创build新项目时,将从模板中复制目录结构,并在完成时将项目(locking)归档。 一个不断出现的问题是(更高级的)工作人员倾向于无意中将整个项目相互拖拽 – 即移动鼠标中间拖放。 我已经设法使用icacls防止删除本地磁盘上的文件夹,但这似乎不是在NAS上的文件夹,也不实际上阻止将一个文件夹移动到相邻的文件夹。 有没有一种方法(或工具)来locking文件夹结构,以便文件夹不能被非pipe理员移动或删除?
给你一个具有挑战性的问题。 有一个Linux的盒子。 需要创build用户可以创build文件的目录,但是只删除/修改由他们创build的文件。 足够简单,有粘稠的设置,这就是它。 但是,我们希望特定的pipe理员用户能够从这个目录中删除文件,而不是root用户。 怎么做? NFS4_ACL可能在那里。 但我相信他们不会帮助的。 想法? 用户:user1:上传者user2:上传者admin1:admins <—应该能够pipe理组目录中的文件 在dir上sgid可以保护文件不被其他用户编辑,但是不会阻止用户删除其他用户的文件。 那就是问题所在 更新1: 问题在于FS权限和nfs4_acls,因为用户将通过sftp来处理文件。 所以sudo和其他脚本的方式是不可能的。 可能的是为sftp-server使用LD_PRELOAD,并重写unlink syscall或类似的东西。 所以它落入了openssh和sftp-server。 更新2: 用户通过openssh连接到相关的目录,并且该目录应该是root:root所拥有的。 所有的文件都放在这个目录中没有任何结构(特定于应用程序)。 pipe理员其实不是pipe理上传文件的唯一用户,而是一组pipe理员用户。