添加任务至安全策略

创建并添加策略任务至安全策略是对 SVM 中的文件或文件夹配置和应用 ACL 的第四步。创建策略任务时，将任务与安全策略关联。可将一个或多个任务条目添加至安全策略。

关于本任务

安全策略是任务的容器。任务是指安全策略可通过 NTFS 或混合安全性向文件或文件夹进行的一次操作（或配置存储级访问防护时向卷对象进行的操作）。

有两种类型的任务：

文件和目录任务
用于指定向指定文件或文件夹应用描述符的任务。通过文件和目录任务应用的 ACL 可通过 SMB 客户端或 ONTAP CLI 进行管理。
存储级访问防护任务
用于指定向指定卷应用存储级访问防护安全描述符的任务。通过存储级访问防护任务应用的 ACL 仅可通过 ONTAP CLI 进行管理。

任务包含文件（或文件夹）或一组文件（或文件夹）的安全配置定义。策略中的每项任务都通过路径进行唯一标识。一个策略中每个路径只能有一个任务。一个策略中不能有重复的任务条目。

将任务添加到策略的准则：

每个策略的最大任务条目为 10,000 个。
一个策略可包含一个或多个任务。
即使一个策略可包含多个任务，但不能配置一个策略来同时包含文件目录和存储级访问防护任务。一个策略必须包含所有存储级访问防护任务或所有文件目录任务。
存储级访问防护可用于限制权限。
它绝不授予额外的访问权限。

向安全策略添加任务时，必须指定以下四个必需参数：

SVM 名称
策略名称
路径
与路径关联的安全描述符

可使用以下可选参数自定义安全描述符配置：

安全类型
传播模式
索引位置
访问控制类型

对于存储级访问防护，任何可选参数的值都将被忽略。有关更多信息，请参阅手册页。

将具有关联安全描述符的任务添加至安全策略：vserver security file-directory policy task add -vserver vserver_name -policy-name policy_name -path path -ntfs-sd SD_name optional_parameters
-access-control 参数的默认值为 file-directory 。可选择指定配置文件和目录访问任务时的访问控制类型。
示例
vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /home/dir1 -security-type ntfs -ntfs-mode propagate -ntfs-sd sd2 -index-num 1 -access-control file-directory

验证策略任务配置：vserver security file-directory policy task show -vserver vserver_name -policy-name policy_name -path path

示例

vserver security file-directory policy task show

Vserver: vs1
Policy: policy1

Index    File/Folder    Access           Security   NTFS       NTFS Security
         Path           Control          Type       Mode       Descriptor Name
-----    --------       -----------      --------   ------     ----------------
1        /home/dir1     file-directory   ntfs       propagate  sd2

提供反馈