不允许用户或组绕过目录遍历检查

如果由于用户没有针对已遍历目录上的权限，而不希望该用户遍历路径中的所有目录找到某个文件，则可从存储虚拟机（SVM）上的本地 SMB 用户或组删除 SeChangeNotifyPrivilege 权限。

开始之前

将删除其权限的本地或域用户或组必须已经存在。

关于本任务

在从域用户或组删除权限时，ONTAP 可能通过联系域控制器验证域用户或组。如果 ONTAP 无法联系到域控制器，该命令可能失败。

禁用绕过遍历检查：vserver cifs users-and-groups privilege remove-privilege -vserver vserver_name -user-or-group-name name -privileges SeChangeNotifyPrivilege
此命令可从您使用 -user-or-group-namename 参数的值指定的本地或域用户或组中删除 SeChangeNotifyPrivilege 权限。
验证指定的用户或组已禁用绕过遍历检查：vserver cifs users-and-groups privilege show -vserver vserver_name ‑user-or-group-name name

示例

以下命令将不允许属于EXAMPLE\eng组的用户绕过目录遍历检查：

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- -----------------------
vs1       EXAMPLE\eng           SeChangeNotifyPrivilege                                

cluster1::> vserver cifs users-and-groups privilege remove-privilege -vserver vs1 
-user-or-group-name EXAMPLE\eng -privileges SeChangeNotifyPrivilege

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- -----------------------
vs1       EXAMPLE\eng           -

提供反馈

不允许用户或组绕过目录遍历检查

示例​

示例