Isilon OneFS:OneFS 中的遍历检查及其实施方法
Summary: 什么是遍历检查,它是如何工作的,以及如何在 OneFS 中强制执行它?
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
遍历检查
默认情况下,在 OneFS 中,路径遍历为以下情况:
在 Microsoft Windows 环境中,有一个名为“绕过遍历检查”的 GPO,它允许用户访问目录路径(\\server\root\folder\path),其中中间路径被“绕过”以进行“遍历检查”(验证已授予遍历/执行权限)。
OneFS 不强制执行 Active Directory 中规定的 Microsoft GPO,而是通过存在 NTFS ACL 来实施“绕过遍历检查”。
如何禁用“绕过遍历检查”/如何强制执行遍历检查
某些用户可能希望禁用“绕过遍历检查”,以便强制检查每个中间目录的遍历权限,从而在未明确授予权限时强制执行“拒绝访问”。
尽管 Isilon OneFS 能够通过 WebUI 或 CLI 构建自定义 ACL 策略(仅在 8.x+ 中),但在 8.2 之前,遍历检查的控制显然无法作为可配置的参数或选项提供,尽管确实存在内核级 ACL 策略来更改上述行为(当存在 ACL 时需要显式遍历权限)。
添加了通过 UI/CLI 界面更改行为的功能,从 8.2 代码开始及之后。
默认情况下,在 OneFS 中,路径遍历为以下情况:
- 如果目录上存在 ACL,则授予遍历权限(绕过遍历检查),
- “遍历”权限允许路径遍历。这允许用户在不需要执行权限的情况下进行导航。
- “遍历”权限与“执行”权限不同,仅存在于 ACL 中
- 如果不存在 ACL(合成/POSIX),则需要显式执行权限。
- 这意味着导航到特定路径的能力至少需要对父目录具有“执行”权限,因此可以允许遍历。
在 Microsoft Windows 环境中,有一个名为“绕过遍历检查”的 GPO,它允许用户访问目录路径(\\server\root\folder\path),其中中间路径被“绕过”以进行“遍历检查”(验证已授予遍历/执行权限)。
OneFS 不强制执行 Active Directory 中规定的 Microsoft GPO,而是通过存在 NTFS ACL 来实施“绕过遍历检查”。
* Bypass Traverse Checking 默认处于启用状态,并假定存在“遍历”而不检查这些遍历
如何禁用“绕过遍历检查”/如何强制执行遍历检查
某些用户可能希望禁用“绕过遍历检查”,以便强制检查每个中间目录的遍历权限,从而在未明确授予权限时强制执行“拒绝访问”。
尽管 Isilon OneFS 能够通过 WebUI 或 CLI 构建自定义 ACL 策略(仅在 8.x+ 中),但在 8.2 之前,遍历检查的控制显然无法作为可配置的参数或选项提供,尽管确实存在内核级 ACL 策略来更改上述行为(当存在 ACL 时需要显式遍历权限)。
添加了通过 UI/CLI 界面更改行为的功能,从 8.2 代码开始及之后。
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000020696
Article Type: How To
Last Modified: 28 أبريل 2026
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.