跳到主要内容

配置绕过遍历检查

绕过遍历检查是一项用户权限(也称为权限),可确定用户是否能遍历文件路径中的所有目录,即使该用户无遍历目录的权限。应了解允许或禁止绕过遍历检查将发生什么情况,以及如何配置存储虚拟机(SVM)上的用户绕过遍历检查。

允许或禁止绕过遍历检查将发生的情况

  • 如果允许,用户尝试访问文件时,ONTAP 会在确定是否允许或拒绝访问该文件时不检查中间目录的遍历权限。

  • 如果禁止,ONTAP 会检查文件路径中所有目录的遍历(执行)权限。

    如果任何中间目录没有 X(遍历权限),ONTAP 将拒绝访问该文件。

如何配置绕过遍历检查

可使用 ONTAP CLI 或配置此用户权限的 Active Directory 来配置绕过遍历检查。

SeChangeNotifyPrivilege 权限控制是否允许用户绕过遍历检查。

  • 可通过将其添加到 SVM 上的本地 SMB 用户或组或添加到域用户或组,绕过遍历检查。

  • 可通过将其从 SVM 上的本地 SMB 用户或组或从域用户或组中删除,禁止绕过遍历检查。

在默认情况下,以下 SVM 上的 BUILTIN 组有权绕过遍历检查:

  • BUILTIN\Administrators
  • BUILTIN\Power Users
  • BUILTIN\Backup Operators
  • BUILTIN\Users
  • Everyone

如果不想允许这些组中的某个成员绕过遍历检查,则必须删除此组的该权限。

使用 CLI 配置 SVM 上的本地 SMB 用户和组的绕过遍历权限时,必须牢记以下几点:

  • 如果要允许自定义本地或域组成员绕过遍历检查,则必须向该组添加 SeChangeNotifyPrivilege 权限。

  • 如果要允许某个本地或域用户绕过遍历检查,并且该用户不属于拥有此权限的组的成员,则可添加向该用户帐户添加 SeChangeNotifyPrivilege 权限。

  • 随时可通过删除 SeChangeNotifyPrivilege 权限来对本地或域用户或组禁用绕过遍历检查。

    要禁用指定本地或域用户或组的绕过遍历检查,则必须移除 Everyone 组的 SeChangeNotifyPrivilege 权限。
  • 允许用户或组绕过目录遍历检查
    如果要让用户能够遍历某个文件的路径中的所有目录(即使用户对于所遍历的目录没有权限),可以将 SeChangeNotifyPrivilege 权限添加到存储虚拟机(SVM)上的本地 SMB 用户或组。默认情况下,用户可绕过目录遍历检查。
  • 不允许用户或组绕过目录遍历检查
    如果由于用户没有针对已遍历目录上的权限,而不希望该用户遍历路径中的所有目录找到某个文件,则可从存储虚拟机(SVM)上的本地 SMB 用户或组删除 SeChangeNotifyPrivilege 权限。