跳到主要内容

SVM 上使用 CLI 管理 NTFS 文件安全性、NTFS 审核策略和存储级访问防护

可在存储虚拟机(SVM)上使用 CLI 管理 NTFS 文件安全性、NTFS 审核策略和存储级访问防护。

可从 SMB 客户端或使用 CLI 管理 NTFS 文件安全性和审核策略。但是,使用 CLI 配置文件安全性和审核策略将不再需要使用远程客户端来管理文件安全性。使用 CLI 可大幅减少使用单个命令在多个文件和文件夹上应用安全性所需的时间。

可配置存储级访问防护,它是 ONTAP 应用至 SVM 卷的另一层安全保护。存储级访问防护适用于从所有 NAS 协议对应用存储级访问防护的存储对象进行的访问。

仅可通过 ONTAP CLI 配置并管理存储级访问防护。无法从 SMB 客户端管理存储级访问防护设置。此外,如果从 NFS 或 SMB 客户端查看文件或目录的安全设置,将无法查看存储级访问防护安全性。即使系统管理员(Windows 或 Linux)也无法撤销客户端的存储级访问防护安全性。因此,存储级访问防护可为数据提供独立设置并由存储管理员管理的额外安全保护。

虽然存储级访问防护仅支持 NTFS 访问权限,但如果在拥有该卷的 SVM 上,Linux 用户映射到 Windows 用户,则 ONTAP 也能针对通过 NFS 对已应用存储级访问防护的卷上的数据进行的访问进行安全性检查。

NTFS 安全模式卷

所有包含在 NTFS 安全模式卷和 Qtree 中的文件和文件夹均具有 NTFS 有效安全性。可使用 vserver security file-directory 命令系列在 NTFS 安全模式卷上实现以下安全类型:

  • 对卷中所含文件和文件夹的文件权限和审核策略

  • 卷的存储级访问防护安全性

混合安全模式卷

混合安全模式卷和 Qtree 可能包含部分具有 UNIX 有效安全性并使用 Linux 文件权限(可能为模式位或 NFSv4.x ACL 以及 NFSv4.x 审核策略)的文件和文件夹,以及部分具有 NTFS 有效安全性并使用 NTFS 文件权限和审核策略的文件和文件夹。可使用 vserver security file-directory 命令系列将以下安全类型应用至混合安全模式数据:

  • 混合卷或 Qtree 中具有 NTFS 有效安全性的文件和文件夹的文件权限和审核策略

  • 具有 NTFS 或 UNIX 有效安全模式的卷的存储级访问防护

UNIX 安全模式卷

UNIX 安全模式卷和 Qtree 可能包含具有 UNIX 有效安全性的文件和文件夹(即模式位或 NFSv4.x ACL)。如果要使用 vserver security file-directory 命令系列实现 UNIX 安全模式卷上的安全性,则须牢记以下内容:

  • vserver security file-directory 命令系列不能用于管理 UNIX 安全模式卷和 Qtree 上的 UNIX 文件安全性和审核策略。

  • 可使用 vserver security file-directory 命令系列来配置 UNIX 安全模式卷上的存储级访问防护,前提是具有目标卷的 SVM 包含 CIFS 服务器。