配置绕过遍历检查
绕过遍历检查是一项用户权限(也称为权限),可确定用户是否能遍历文件路径中的所有目录,即使该用户无遍历目录的权限。应了解允许或禁止绕过遍历检查将发生什么情况,以及如何配置存储虚拟机(SVM)上的用户绕过遍历检查。
允许或禁止绕过遍历检查将发生的情况
如果允许,用户尝试访问文件时,ONTAP 会在确定是否允许或拒绝访问该文件时不检查中间目录的遍历权限。
如果禁止,ONTAP 会检查文件路径中所有目录的遍历(执行)权限。
如果任何中间目录没有
X
(遍历权限),ONTAP 将拒绝访问该文件。
如何配置绕过遍历检查
可使用 ONTAP CLI 或配置此用户权限的 Active Directory 来配置绕过遍历检查。
SeChangeNotifyPrivilege 权限控制是否允许用户绕过遍历检查。
可通过将其添加到 SVM 上的本地 SMB 用户或组或添加到域用户或组,绕过遍历检查。
可通过将其从 SVM 上的本地 SMB 用户或组或从域用户或组中删除,禁止绕过遍历检查。
在默认情况下,以下 SVM 上的 BUILTIN 组有权绕过遍历检查:
- BUILTIN\Administrators
- BUILTIN\Power Users
- BUILTIN\Backup Operators
- BUILTIN\Users
- Everyone
如果不想允许这些组中的某个成员绕过遍历检查,则必须删除此组的该权限。
使用 CLI 配置 SVM 上的本地 SMB 用户和组的绕过遍历权限时,必须牢记以下几点:
如果要允许自定义本地或域组成员绕过遍历检查,则必须向该组添加 SeChangeNotifyPrivilege 权限。
如果要允许某个本地或域用户绕过遍历检查,并且该用户不属于拥有此权限的组的成员,则可添加向该用户帐户添加 SeChangeNotifyPrivilege 权限。
随时可通过删除 SeChangeNotifyPrivilege 权限来对本地或域用户或组禁用绕过遍历检查。
注要禁用指定本地或域用户或组的绕过遍历检查,则必须移除Everyone 组的 SeChangeNotifyPrivilege 权限。