跳到主要内容

将 NTFS SACL 访问控制条目添加到 NTFS 安全描述符

将 SACL(系统访问控制列表)访问控制条目(ACE)添加到 NTFS 安全描述符,是在SVM中为文件或文件夹创建 NTFS 审核策略的第二步。每个条目标识要审核的用户或组。SACL 条目定义要审核成功还是失败的访问尝试。

关于本任务

您可以向安全描述符 SACL 添加一个或多个 ACE。

如果安全描述符包含现在已有 ACE 的 SACL,该命令会将新的 ACE 添加到 SACL。如果安全描述符不包含 SACL,该命令会创建 SACL 并将新的 ACE 添加到其中。

您可以通过要为在 -account 参数中指定的帐户指定要审核哪些权限的成功或失败事件,来配置 SACL 条目。指定权限有三种互斥的方法:

  • 权限

  • 高级权限

  • 原始权限(advanced-privilege)

如果未指定 SACL 条目的权限,默认设置为 Full Control

(可选)可通过 apply to 参数指定如何应用继承来自定义 SACL 条目。如果未指定此参数,默认值是将此 SACL 条目应用到此文件夹、子文件夹和文件。

  1. 添加 SACL 条目到安全描述符:vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SID optional_parameters

    示例

    vserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to this-folder -vserver vs1
  2. 确认该 SACL 条目正确:vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd SD_name -access-type {failure|success} -account name_or_SID

    示例

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe
                                      Vserver: vs1
                            Security Descriptor Name: sd1
             Access type for Specified Access Rights: failure
                                 Account Name or SID: DOMAIN\joe 
                                       Access Rights: full-control
                              Advanced Access Rights: -
                                            Apply To: this-folder
                                       Access Rights: full-control