用户访问令牌的构建方式

用户映射共享时，将建立经认证的 SMB 会话，并构建用户访问令牌，其中包含关于用户、用户组成员资格和累积权限，以及映射的 Linux 用户的信息。

除非功能已禁用，否则本地用户和组信息也将添加到用户访问令牌。访问令牌的构建方法取决于登录是本地用户还是 Active Directory 域用户：

• 本地用户登录

  虽然本地用户可以是不同本地组的成员，但本地组不能是其他本地组的成员。本地用户访问令牌包括分配给该组的所有权限的并集，特定本地用户为该组成员。

• 域用户登录

  当域用户登录时，ONTAP 会获取用户访问令牌，其中包含用户 SID 和所有域组 SID，其中，该用户为成员之一。ONTAP 通过用户域组（如有）的本地成员资格提供的访问令牌，以及分配至域用户或其任何域组成员资格的直接权限，来使用域用户访问令牌的并集。

对于本地和域用户登录，用户访问令牌也设置了主组 RID。默认 RID 为 Domain Users （RID 513）。不能更改默认设置。

Windows 到 Linux 和 Linux 到 Windows 名称映射程序遵循本地和域帐户的相同规则。