PowerScale: OneFS: Zarządzanie uprawnieniami systemu Windows (ACL) z poziomu interfejsu wiersza poleceń OneFS

Summary: Zaleca się zarządzanie uprawnieniami systemu Windows przez łączenie się z folderem za pośrednictwem protokołu SMB i korzystanie z interfejsu Eksploratora Windows. Istnieją jednak przypadki, w których użycie CLI może być pożądane. W tym artykule opisano, jak to zrobić. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Aby wyświetlić istniejące uprawnienia do uruchomionego pliku/folderu: 
ls -led <path to file/folder>
Na przykład: 
# ls -led file
-rwxrwxrwx +  1 root  wheel  0 Jul  2 14:02 file
 OWNER: user:root
 GROUP: group:wheel
 0: group:Users allow file_gen_read,file_gen_write
 1: user:root allow file_gen_read,file_gen_write,std_write_dac
 2: group:wheel allow file_gen_read
 3: everyone allow file_gen_all

Zmiana uprawnień

Aby zmienić uprawnienia w interfejsie wiersza polecenia za pomocą chmod, musisz być zalogowany jako root.

Istnieją dwa sposoby identyfikowania żądanych wpisów uprawnień do umieszczenia na liście kontroli dostępu (ACL). Pierwszy jest zalecany, jeśli to możliwe.

  1. Zlokalizuj lub utwórz plik/folder z żądanymi uprawnieniami przez SMB i uruchom ls -led <file or folder>. Może to być dowolny wpis uprawnień dla dowolnego użytkownika/grupy, dowolnego pliku/folderu na dowolnym systemie Isilon, o ile mają oni odpowiednie uprawnienia. 
  2. Zapoznaj się z opisem każdego wpisu uprawnienia z podręcznika dla chmod (man chmod) i zidentyfikuj, które z nich są potrzebne do przepływu pracy.

Dodawanie nowego wpisu uprawnień dla użytkownika/grupy

W tym przykładzie używam metody pierwszej, ale polecenie ustawiania uprawnień jest takie samo, niezależnie od tego, czy zidentyfikowano typy uprawnień do dodania z podręcznika dla chmod (man chmod) lub przeglądając plik z żądanymi uprawnieniami.

Polecenie dla użytkowników i grup jest takie samo, z wyjątkiem słowa "user" zastępuje się "group" lub odwrotnie:  chmod +a group "<domain name>\<group name>" allow <permissions to add> <file or folder>

Na przykład, jeśli chciałem ustawić wpis uprawnień dla pliku, powyższa grupa użytkowników na file2 W przypadku domeny usługi Active Directory 'AD' grupa 'domain users' Użyłbym następującego polecenia:

# chmod +a group "AD\domain users" allow file_gen_read,file_gen_write file2
# ls -led file2
-rw-rw-r-- +  1 root  wheel  0 Jul  2 14:09 file2
 OWNER: user:root
 GROUP: group:wheel
 0: group:Domain Users allow file_gen_read,file_gen_write
 1: user:root allow file_gen_read,file_gen_write,std_write_dac
 2: group:wheel allow file_gen_read
 3: everyone allow file_gen_read

Aby usunąć wpis kontroli dostępu, można usunąć cały wiersz dla poszukiwanego użytkownika lub grupy lub typów uprawnień, które chcesz usunąć, a następnie dodać nowy wpis z żądanymi uprawnieniami. Polecenie usunięcia wpisu jest identyczne z dodaniem wpisu, z wyjątkiem zmiany '+a' z '-a'. Na przykład, jeśli chciałbym usunąć wpis z powyższego pliku dla użytkownika root, użyłbym następującego polecenia:

# chmod -a user root allow file_gen_read,file_gen_write,std_write_dac file
# ls -led file
-rwxrwxrwx +  1 root  wheel  0 Jul  2 14:02 file
 OWNER: user:root
 GROUP: group:wheel
 0: group:Users allow file_gen_read,file_gen_write
 1: group:wheel allow file_gen_read
 2: everyone allow file_gen_all

W przypadku dobrze znanych grup, takich jak wszyscy, zostaw grupę. Na przykład, jeśli chcę również usunąć dostęp do zapisu dla wszystkich, ale pozostawić inne poziomy dostępu z powyższego pliku, użyję następującego polecenia:

# chmod -a everyone allow file_gen_write file
# ls -led file
-rwxrwxr-x +  1 root  wheel  0 Jul  2 14:02 file
 OWNER: user:root
 GROUP: group:wheel
 0: group:Users allow file_gen_read,file_gen_write
 1: group:wheel allow file_gen_read
 2: everyone allow std_delete,std_write_dac,std_write_owner,file_read,file_read_ext_attr,execute,delete_child,file_read_attr

Aby włączyć dziedziczenie dla nowych plików i folderów, dodaj do wpisu uprawnień 'object_inherit' oraz 'container_inherit" odpowiednio. Na przykład, jeśli chciałem dodać wpis dla użytkowników grupy lokalnej w folderze dir Aby przyznać pełny dostęp i dziedziczyć do nowych plików i folderów, użyłbym następującego polecenia:

# chmod +a group users allow dir_gen_all,object_inherit,container_inherit dir
# ls -led dir
drwxrwxr-x +  2 root  wheel  0 Jul  2 14:22 dir
 OWNER: user:root
 GROUP: group:wheel
 0: group:Users allow dir_gen_all,object_inherit,container_inherit
 1: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 2: group:wheel allow dir_gen_read,dir_gen_execute
 3: everyone allow dir_gen_read,dir_gen_execute


 

Wpisy ACE można również edytować za pomocą identyfikatorów SID, UID lub GID. Aby składnia to zrobiła, oto kilka przykładów:

chmod +a sid <actual SID> <target path>
chmod +a user <actual UID> <target path>
chmod +a group <actual GID> <target path>

 

Additional Information

W tym artykule firmy Microsoft opisano każdy typ uprawnień zgodnie z opisem w systemie Windows, ale szczegółowe informacje na temat każdego typu uprawnień są wyświetlane z ls led na temat PowerScale zob. man chmod.

Uprawnienia do plików i folderów

Referencje:

Dell PowerScale OneFS: Uwierzytelnianie, zarządzanie tożsamością i autoryzacja (delltechnologies.com)
Listy kontroli dostępu w Dell EMC PowerScale OneFS (delltechnologies.com)

Affected Products

PowerScale OneFS

Products

PowerScale OneFS
Article Properties
Article Number: 000010579
Article Type: How To
Last Modified: 07 Nov 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.