跳到主要内容

创建 SMB 共享访问控制列表

为 SMB 共享创建访问控制列表 (ACL),从而配置共享权限,可控制用户和组对共享的访问级别。

开始之前

您必须已决定哪些用户或组将有权访问共享。

关于本任务

可使用本地或域的 Windows 用户名或组名配置共享级 ACL。

在创建新的 ACL 之前,应删除默认共享 ACL Everyone / Full Control,因为它会构成安全隐患。

工作组模式下的本地域名称是 SMB 服务器名称。

  1. 删除默认共享 ACL:vserver cifs share access-control delete -vserver vserver_name -share share_name -user-or-group everyone
  2. 配置新 ACL:
    如果配置 ACL 时要使用...请输入命令...
    Windows 用户vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_domain_name\user_name -permission access_right
    Windows 组vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_group_name -permission access_right
  3. 使用 vserver cifs share access-control show 命令验证应用于共享的 ACL 是否正确。
示例

以下命令为 Sales Team Windows 组提供对 vs1.example.com SVM 上的 sales 共享的 Change 权限:

cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "Sales Team" -permission Change

cluster1::> vserver cifs share access-control show
                 Share       User/Group              User/Group  Access
Vserver          Name        Name                    Type        Permission
---------------- ----------- --------------------    ---------   -----------
vs1.example.com  c$          BUILTIN\Administrators  windows     Full_Control
vs1.example.com  sales       DOMAIN\"Sales Team"     windows     Change

对于 vs1 SVM 上的 datavol5 共享,以下命令为名为 Tiger Team 的本地 Windows 组提供 Change 权限;为名为 Sue Chang 的本地 Windows 用户提供 Full_Control 权限:

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control

cluster1::> vserver cifs share access-control show -vserver vs1
               Share       User/Group                  User/Group  Access
Vserver        Name        Name                        Type        Permission
-------------- ----------- --------------------------- ----------- -----------
vs1            c$          BUILTIN\Administrators      windows     Full_Control
vs1            datavol5    DOMAIN\"Tiger Team"         windows     Change
vs1            datavol5    DOMAIN\"Sue Chang"          windows     Full_Control