Isilon:管理 Isilon SMB 共用權限。

Summary: 本文說明管理 Isilon SMB 共用權限的不同方式。 Isilon OneFS。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

建立和管理 PowerScale 有不同的方法:Isilon SMB 共用與權限。

我們需要首先瞭解SMB使用者或組訪問在Windows環境中的工作原理的基礎知識。
處理 SMB 共用時,有 2 種類型的權限 - 

  • 共用層級權限。
  • NTFS 或資料夾層級權限。


使用者應滿足以下條件才能存取共用 -

  • 嘗試訪問共用的使用者應是NTFS級別ACL的一部分,並且還應是共用許可權清單的成員。
  • 用戶可以是 ACL 和共用中的直接條目,也可以是 ACL 和共用中的組的成員。
  • 對使用者的訪問是通過組合NTFS和共享許可權來確定的。它始終是應用於使用者的最嚴格的許可權。

讓我們考慮一個示例,其中使用者 John 也是域組的成員 app_team 正在嘗試存取 SMB 共用。
下表列出了有關決定共用訪問許可權的一些常見方案 - 

NTFS 共用 最後 
完全控制 - 約翰  閱讀 - 所有人 閱讀 - 約翰
完全控制 - 約翰 完全控制 - 約翰 完全控制 - 約翰
完全控制 - 約翰 閱讀 - app_team 閱讀 - 約翰
ACL 中沒有 John 或 app_team 完全控制 - 約翰 存取遭拒
完全控制 - 約翰  完全控制 - John,讀取 - app_team 閱讀 - 約翰

首先考慮共享許可權作為訪問許可權。
上述示例表明,在每種情況下,通過組合共用和NTFS級別許可權來應用最嚴格的訪問。
但是有一個例外,就是我們在共用層級將「以根身分執行」權限套用至任何使用者或群組時。此設定基本上會將使用者或群組轉換為 Isilon 的根使用者,藉此給予該使用者或群組根權限。

現在我們將瞭解管理 Isilon

上 SMB 共用的不同方式為使用者定義的存取區域使用 Windows 檔案總管 -
本節說明如何透過 Windows 檔案總管管理 SMB 共用和權限。
管理SMB共用的第一步是在訪問區域的區域基目錄中創建管理員共用。

*這些是供客戶考慮的設計秘訣,而非由 TSE 實作*


建立區域基目錄 
 

           我們可以透過下列任一方式建立區域基目錄:  

  1. 將預設 /ifs 共用與管理員憑據對應,並創建訪問區域所需的區域基目錄。
    • 若為 -
    • 如果 abc-ex.com\\john 是域管理員,我們需要使用區域基目錄創建一個訪問區域 HR /ifs/isi_prod/HR 然後 
    • 對應預設值 /ifs 透過系統存取區域中的 IP 使用 abc-ex.com\\john 's 憑據。
    • 建立 /ifs/isi_prod/HR 目錄。
    • 網域管理員現在將成為 /ifs/isi_prod/HR 目錄樹狀結構,並將具有修改或分配新許可權給其他使用者或組的完全控制權。
  2.  如果我們使用 OneFS WebUI 或 CLI 建立區域基目錄,則登入使用者會取得目錄結構的權限。通常,管理員會使用 root 使用者登入,因此 root 會取得 NTFS 權限。
    • 但是,如果我們已將 RBAC 設定為 SecurityAdmin 和 SystemAdmin 角色的管理員,則管理員使用者可以使用其網域認證登入 WebUI,並使用預設的 選項 "Create zone base directory if it does not exist" 或從檔案系統 -> 檔案系統總管建立目錄結構。
    • 如果使用 CLI,請執行 mkdir 命令以建立目錄結構,或在執行存取區域建立命令時使用 --create-path。
    • 注意:如果我們使用此方法創建目錄,它將獲得 POSIX 許可權。我們需要執行以下命令,將管理員使用者或群組繼承到子目錄chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

 

建立管理員共用。
  •  建立區域基目錄後,請透過 OneFS WebUI 或 CLI 為相同目錄建立隱藏的管理員共用

 

創建資料共用。
 
我們將考慮一個示例來解釋如何創建數據共用。
以下是創建新數據共用的要求。
  • 管理員共用 - app$
  • 要預配的共用 - app-p1 (/ifs/isi-prod/apps/app-p1)
  • 群組存取 - xyz-ex\fe-apps
  • 存取區域 - Apps 
  • 基目錄 - /ifs/isi-prod/apps
  • Admin - xyz-ex.com\adm_john91
    • 對應 app$ 通過adm_john91管理員帳戶和應用訪問區域中的IP或SC區域名稱共用。
    • 建立共用資料夾 /ifs/isi-prod/apps/app-p1. 
    • 以滑鼠右鍵按下該資料夾 app-p1性質 --> 安全性 --> 編輯 --> 將 具有所需存取權限的 fe-apps 新增至清單。
  • 現在可以建立共用 app-p1xyz-ex.com\fe-apps 在權限清單與資料夾上 /ifs/isi-prod/apps/app-p1 透過 Isilon WebUI 或 CLI。


使用適用於系統區域的 Windows 檔案總管 -
 

修改區域基目錄 /ifs
  • 區域基目錄 /ifs 因為系統存取區域已存在。
  • NTFS 權限 /ifs 目錄預設讓每個人讀取、寫入和執行。
  • 您可以刪除此項目,並透過執行下列命令,只為管理員指派權限: 
    • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
    • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs
修改預設的 ifs 共用
  • 我們可以隱藏預設的「ifs」共用,並僅將所需的網域管理員指派至共用權限清單。
建立資料共用

我們將考慮一個有關如何創建數據共用的範例。
以下是創建數據共用的要求。
  • 管理員共用 - ifs$
  • 要預配的共用 - app-p1 (/ifs/isi-prod/apps/app-p1)
  • 群組存取 - xyz-ex\fe-apps 
  • 管理員 - xyz-ex.com\adm_john91
    • 對應 ifs$ 透過 adm_john91 帳戶並建立資料夾 /ifs/isi-prod/apps/app-p1.
    • 右鍵按下 app-p1, 屬性 --> 安全性 --> 編輯 --> 將 具有所需訪問許可權的 fe-apps 添加到清單中。
  • 現在可以建立共用 app-p1 xyz-ex.com\fe-apps 在權限清單與資料夾上 /ifs/isi-prod/apps/app-p1 透過 Isilon WebUI 或 CLI。
 

使用 "Run as Root" SMB 共用權限

如果我們要設定新的 PowerScale,上述各節相當實用:Isilon 叢集,但若我們已經有 PowerScale:Isilon 其中的管理員無法控制目錄樹狀結構,那麼修改權限的唯一方法就是透過 CLI,以根身分登入或指派以根身分執行共用權限。

PowerScale 中有一個選項:要指派的 Isilon SMB 共用 "run-as-root" 許可權,當此許可權分配給使用者或組時,該實體將與 Isilon 的根使用者對應,授予該使用者根許可權。

我們將考慮相同的範例來創建具有以下要求的數據共用 - 

  • 要預配的共用 - app-p1 (/ifs/isi-prod/apps/app-p1)
  • 群組存取 - xyz-ex\fe-apps 
  • 管理員 - xyz-ex.com\adm_john91
    • 透過 Isilon WebUI 建立共用並指派系統管理員 xyz-ex\adm_john91 run-as-root 許可權,然後選擇 Create SMB share directory if it does not exist".
    • 創建的共用現在將具有管理員帳戶的根許可權。
    • 管理員現在可以透過 Windows 檔案總管對應共用,並指派網域群組 xyz-ex.com 所需的許可權。
    • 我們也可以指派群組 xyz-ex.com\fe-apps run-as-root 權限 但不建議使用,因為群組將擁有共用目錄及其所有子目錄的 root 權限。


使用 Windows 電腦管理

可以通過計算機管理 MMC 創建和管理共用。

如果管理員需要通過計算機管理 MMC 管理 SMB 共用,則該使用者應該是訪問區域的本地管理員組的成員。
我們需要按照以下步驟將域管理員使用者或組添加到本地管理員組。

  • 開啟 Isilon WebUI,按一下 存取 -> 成員資格和角色。
  • 從目前存取區域清單中選取存取區域。
  • 按一下 群組 ,然後為供應商選取 「本機:系統 」。 
  • 按一下系統管理員群組、編輯群組 -> 新增成員的檢視/編輯

現在,我們可以通過計算機管理 MMC 控制台使用管理員使用者憑據進行連接。

  • 透過在上一個步驟中新增至本機系統管理員群組的帳戶登入系統。
  • 從 Windows 搜尋列搜尋並開啟電腦管理。
  • 按一下 「動作 」 -> 連線至另一部電腦
  • 展開共享資料夾。
  • 在共用資料夾上按一下滑鼠右鍵,然後按一下新 共用。
  • 執行 共用建立 精靈,以建立新共用。

我們還可以通過同一控制台管理現有共用的共用和NTFS許可權。

分配共享權限的一般注意事項 

  • 通常,最好在共用和NTFS級別分配組許可權,並通過修改組成員身份來控制用戶的訪問。
  • 若為 - 
  • 假設叢集上有 2 個應用程式工作流程,這些工作流程位於其各自的存取區域 App1 和 App2 中。
  • App1 的區域基目錄: /ifs/isi-prod/app1
  • App2 的區域基目錄: /ifs/isi-prod/app2
  • App1 的管理員共用: app1$
  • App2 的管理員共用: app2$
  • 我們可以建立網域群組,例如 app1-rw、app1-ro、app2-rw、app2-ro,代表讀寫和唯讀群組。
  • 管理員可以對應共用 app1$, app2$ 並將上述群組新增到 NTFS 權限,以便 app1-rw/app2-rw 群組具有完全控制或讀寫權限,並且 app1-ro/app2-ro 具有唯讀許可權。 
  • 此外,將這些組添加到共享許可權,以便 app1-rw/app2-rw 具有完全控制或變更權限,並且 app1-ro/app2-ro 具有唯讀許可權。
  • 管理員現在可以根據所需的訪問級別將所需的使用者添加到這些域組。
  • 注意:如果我們有一組使用者或團隊訪問共用,則此方法有效。這對個人共用管理沒有説明。共用層級權限 
 
  • 我們已經在上一節中看到,通過組合共用和NTFS級別許可權,它始終是授予使用者的最嚴格的訪問許可權。
  • 考慮到這一點,我們可以將共用許可權設置為“所有人 - 完全控制”,並僅在NTFS級別管理許可權,儘管這是一種更簡單的管理許可權的方法,但不建議對敏感數據使用,因為它跳過了共用級別的第二個身份驗證因素。

Affected Products

PowerScale OneFS

Products

PowerScale OneFS
Article Properties
Article Number: 000020893
Article Type: How To
Last Modified: 19 Jan 2026
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.