跳到主要内容

支持的动态访问控制功能

如果您希望在 CIFS 服务器上使用动态访问控制(DAC),您需要了解 ONTAP 如何在 Active Directory 环境中支持动态访问控制功能。

支持动态访问控制

当 CIFS 服务器上启用动态访问控制后,ONTAP 支持以下功能:

功能
加入文件系统的声明声明是说明用户某些相关事实的简单名称和值对。用户凭证现在包含声明信息,并且文件上的安全描述符可执行包括声明检查在内的访问检查。这样便使得管理员能够更加精细地控制可访问文件的人员。
用于文件访问检查的条件表达式在修改文件的安全性参数时,用户现在可向文件的安全描述符任意添加复杂的条件表达式。条件表达式可包括声明检查。
通过中心访问策略对文件访问进行集中控制中心访问策略是一种可标记到文件的 Active Directory 中存储的 ACL。只有磁盘及标记的中心访问策略上的安全描述符的访问检查都允许访问,才会授予文件访问权限。

这样便赋予管理员从中心位置(AD)控制文件访问权限的能力,而无需修改磁盘上的安全描述符。

中心访问策略暂存通过将更改暂存到中心访问策略并监控审核报告中更改产生的影响,在不影响实际文件访问的情况下添加尝试更改安全性的功能。
支持使用 ONTAP CLI 显示中心访问策略安全性相关信息扩展 vserver security file-directory show 命令,以显示有关已应用的中心访问策略的信息。
包括中心访问策略在内的安全跟踪扩展 vserver security trace 命令系列,以显示结果(包括有关已应用的中心访问策略的信息在内)。

不支持动态访问控制

当 CIFS 服务器上已启用动态访问控制时,ONTAP 不支持以下功能:

功能
NTFS 文件系统对象自动分类此功能是 Windows File Classification Infrastructure 的扩展功能,ONTAP 不支持此功能。
除中心访问策略暂存以外的高级审核高级审核仅支持中心访问策略暂存。