有人在NTFS驱动器设置权限主要搞砸了,我正在寻找一种方法将所有权限重置为默认。 操作系统将被重新安装,但我试图挽救他们的用户目录中的数据。 没有一个数据在FS级别被encryption。 任何build议如何实现?
我希望能够为新网站设置IIS帐户具有修改权限。 我有以下脚本: function Set-ModifyPermission ($directory, $username, $domain = 'IIS APPPOOL') { $inherit = [system.security.accesscontrol.InheritanceFlags]"ContainerInherit, ObjectInherit" $propagation = [system.security.accesscontrol.PropagationFlags]"None" $acl = Get-Acl $directory $user = New-Object System.Security.Principal.NTAccount($domain, $username ) $accessrule = New-Object system.security.AccessControl.FileSystemAccessRule($user, "Modify", $inherit, $propagation, "Allow") $acl.AddAccessRule($accessrule) set-acl -aclobject $acl $directory } 但是,当我运行它,我得到这样的错误: Set-Acl:此工作站与主域之间的信任关系失败。 我认为这是因为IIS APPPOOL不是一个真正的域,而是一个假的帐户上的一个奇怪的前缀。 有没有正确的方法来引用该帐户,以便我可以做这个工作?
我有两个AD组被错误创build,而应该只有一个组, 他们包含完全相同的用户。 但是,这些组已经被赋予了variuos资源(如文件共享)的各种权限,我无法跟踪所有这些资源,并重置它们只能引用一个组。 如果我删除其中的一个,并将其SID放在另一个的SID历史logging中,我可以“合并”这两个组吗? 这是否允许其余组的成员访问那些已被授予权限的资源? 更新: 看起来没有简单的方法来将SID添加到用户或组的SID历史logging; 至less,ADUC和ADSIEdit都无法做到这一点。 如果上述的技巧是有效的,那么如何实现呢?
我需要允许组“ftpusers”的成员能够更改某个目录内所有对象的权限。 我正在研究如何做到这一点,但我所发现的是如何在BSD上做到这一点: chmod + a“ftpgroup allow writesecurity”/ some / dir 我需要完全一样的东西,但Debian / GNU。 谢谢
我已经build立了一个具有AD集成function的Samba 3主机和一个支持ACL的文件系统。 使用Windows客户端,我可以设置用户和组的权限。 到目前为止,Samba只是映射到POSIX ACL的rwx权限,这阻止了我在Windows上使用“修改”或“完全控制”权限。 我还读了一些关于xattrs和ZFS ACL支持的内容。 有人可以提供什么是最好的方式超越POSIX ACLs完全类似于Windows ACE?
文件服务器是IT生活中的事实,我很好奇,如果有任何普遍接受的做法(我不愿意在这里使用“最好”一词)如何创build组和申请权限来pipe理客户端访问共享文件夹一个文件服务器。 在我目前的工作中,我最终inheritance了很多不同的方式,从ACL上的几十个组到将各个用户直接放在文件系统上。 我的任务是清理混乱,并在整个公司(大型环境,15万人员,90万台客户端计算机,100多台文件服务器)中提出某种标准化的方法。 从我对这个问题的理解来看,您至less需要每个安全资源所需访问级别为一个组。 这种模式似乎给了最大的灵活性,除非需要支持不同的访问级别,否则不需要再次访问文件系统权限。 缺点是您将创build更多的组,而不是跨多个共享资源重复使用相同的组。 这里是一个例子,显示我的意思: 在名为FILE01的文件服务器上有一个称为“testing结果”的共享,您需要只读访问,读写访问和完全控制的人员。 1个安全资源* 3个访问级别= 3个安全组。 在我们的AD环境中,我们将它们创build为通用组,以便我们可以轻松地添加林中任何域的用户/组。 由于每个组唯一地指向共享文件夹和访问级别,因此组名称包含这些“关键”数据片段,因此权限为: "FILE01-Test Results-FC" — Full Control "FILE01-Test Results-RW" — Read & Write "FILE01-Test Results-RO" — Read Only 通常,我们还将包含内置的SYSTEM帐户和内置的具有完全控制权限的pipe理员。 现在可以使用组成员身份来处理谁实际获得访问此共享的任何更改,而不必访问ACL(通过添加代表特定业务angular色(如经理,技术人员,质量保证分析师等)的“angular色”用户一次性访问)。 两个问题: 1)这实际上是一个处理权限的build议或有效的方法,或者我错过了一些更简单,更优雅的解决scheme? 我会特别感兴趣的是使用inheritance的任何解决scheme,但仍然保持灵活性,在事情发生变化时不必重新ACL大部分文件系统。 2)你如何处理你的环境中的文件服务器权限和组结构? 对于那些也在大型环境中工作的人员的奖励积分。
我做了什么,做了什么: > getfacl x.txt # file: x.txt # owner: cwhii # group: cwhii user::rw- group::r– other::r– > groups cwhii adm dialout cdrom plugdev lpadmin admin sambashare > setfacl –modify=g:adm:rw x.txt setfacl: x.txt: Operation not supported > uname -a Linux road 2.6.31-19-generic #56-Ubuntu SMP Thu Jan 28 01:26:53 UTC 2010 i686 GNU/Linux 我所期望的是一个额外的访问控制条目x.txt没有错误消息。
我想了解这个Unix行为(我正好在Ubuntu 11.10上testing): $ touch foo $ setfacl -mu:nobody:rwx foo $ getfacl foo # file: foo # owner: michael # group: michael user::rw- user:nobody:rwx group::rw- mask::rwx other::r– $ chmod g-rw foo $ getfacl foo # file: foo # owner: michael # group: michael user::rw- user:nobody:rwx #effective:–x group::rw- #effective:— mask::–x other::r– 请注意,chmod(1)命令更新了ACL掩码。 为什么会发生? SunOS的manpage有如下的说法: 如果使用chmod(1)命令更改具有ACL条目的文件的文件组所有者权限,则文件组所有者权限和ACL掩码都将更改为新的权限。 请注意,新的ACL掩码权限可能会更改文件上具有ACL条目的其他用户和组的有效权限。 我问,因为如果chmod(1)没有这种行为对我来说很方便。 […]
设置组内文件共享目录的常用方法是: $ mkdir foo $ chgrp felles foo $ chmod g+ws foo $ setfacl -m group:felles:rwx foo $ setfacl -dm group:felles:rwx foo 这可以确保在foo创build的任何文件都可以被组felles : $ umask 0022 $ echo hi > foo/bar $ ls -l foo total 4 -rw-rw-r–+ 1 bhm felles 3 2010-09-23 00:18 bar 但是,如果将文件复制到foo ,则不应用默认ACL: $ echo you > baz $ cp […]
我有一个包含以下默认ACL的目录: default:user:phptutor:rwx 但是,该目录中的文件/目录都没有该默认权限(因为它是在创build之后添加的)。 如何将父目录的默认ACL复制到每个文件夹和文件中?