配置存储级访问防护
在卷或 Qtree 上配置存储级访问防护需要采用多个步骤。存储级访问防护提供了在存储级别设置的访问安全性。在应用它的存储对象上,它为从所有 NAS 协议进行的所有访问提供安全性。
- 使用 vserver security file-directory ntfs create 命令创建安全描述符。
示例
vserver security file-directory ntfs create -vserver vs1 -ntfs-sd sd1Vserver: vs1
NTFS Security Owner Name
Descriptor Name
------------ --------------
sd1 -使用以下四个默认 DACL 访问控制条目(ACE)创建安全描述符:vserver security file-directory ntfs show -vserver vs1
Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
BUILTIN\Administrators
allow full-control this-folder, sub-folders, files
BUILTIN\Users allow full-control this-folder, sub-folders, files
CREATOR OWNER allow full-control this-folder, sub-folders, files
NT AUTHORITY\SYSTEM
allow full-control this-folder, sub-folders, files如果在配置存储级访问防护时不希望使用默认条目,则可在创建之前删除这些条目并将您自己的 ACE 添加到安全描述符。
- 可选: 从不希望配置存储级访问防护安全性的安全描述符中删除任意默认 DACL ACE:
- 使用 vserver security file-directory ntfs dacl remove 命令删除任何不需要的 DACL ACE。
示例
在本示例中,从安全描述符中删除三个默认 DACL ACE:BUILTIN\Administrators、BUILTIN\Users 和 CREATOR OWNER。
vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\users vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\administrators vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account "creator owner" - 使用 vserver security file-directory ntfs dacl show 命令,验证是否已从安全描述符中删除了不希望用于存储级访问防护的 DACL ACE:
示例
在本示例中,该命令的输出验证是否已从安全描述符中删除了三个默认 DACL ACE,仅保留 NT AUTHORITY\SYSTEM 默认 DACL ACE 条目:
vserver security file-directory ntfs dacl show -vserver vs1Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
NT AUTHORITY\SYSTEM
allow full-control this-folder, sub-folders, files
- 使用 vserver security file-directory ntfs dacl remove 命令删除任何不需要的 DACL ACE。
- 使用 vserver security file-directory ntfs dacl add 命令添加一个或多个 DACL 条目到安全描述符中。
示例
在本示例中,将两个 DACL ACE 添加到安全描述符:
vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files - 可选: 使用 vserver security file-directory ntfs sacl add 命令添加一个或多个 SACL 条目到安全描述符中。
示例
在本示例中,将两个 SACL ACE 添加到安全描述符:
vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type failure -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type success -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files - 分别使用 vserver security file-directory ntfs dacl show 和 vserver security file-directory ntfs sacl show 命令确认正确配置了 DACL 和 SACL ACE。
示例
在本示例中,以下命令显示安全性描述符
vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1sd1
的 DACL 条目信息:Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
EXAMPLE\Domain Users
allow read this-folder, sub-folders, files
EXAMPLE\engineering
allow full-control this-folder, sub-folders, files
NT AUTHORITY\SYSTEM
allow full-control this-folder, sub-folders, files在本示例中,以下命令显示安全性描述符
vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1sd1
的 SACL 条目信息:Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
EXAMPLE\Domain Users
failure read this-folder, sub-folders, files
EXAMPLE\engineering
success full-control this-folder, sub-folders, files - 使用 vserver security file-directory policy create 命令创建安全策略。
示例
以下示例将创建名为
vserver security file-directory policy create -vserver vs1 -policy-name policy1policy1
的策略: - 使用 vserver security file-directory policy show 命令验证是否正确配置了策略。
示例
vserver security file-directory policy showVserver Policy Name
------------ --------------
vs1 policy1 - 使用 vserver security file-directory policy-task add 命令并将 -access-control 参数设置为 slag,将关联的安全描述符添加到安全策略。
即使一个策略可包含多个存储级访问防护任务,您不能配置一个策略来同时包含文件目录和存储级访问防护任务。一个策略必须包含所有存储级访问防护任务或所有文件目录任务。
示例
在本示例中,将一个任务添加到名为
vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /datavol1 -access-control slag -security-type ntfs -ntfs-mode propagate -ntfs-sd sd1policy1
的策略中,该策略分配给安全描述符sd1
。它分配给 /datavol1 路径,访问控制类型设置为slag
。 - 通过使用 vserver security file-directory policy task show 命令验证是否正确配置了任务。
示例
vserver security file-directory policy task show -vserver vs1 -policy-name policy1Vserver: vs1
Policy: policy1
Index File/Folder Access Security NTFS NTFS Security
Path Control Type Mode Descriptor Name
----- ----------- --------------- -------- ---------- ---------------
1 /datavol1 slag ntfs propagate sd1 - 使用 vserver security file-directory policy apply 命令应用存储级访问防护安全策略。
示例
vserver security file-directory apply -vserver vs1 -policy-name policy1已计划应用安全策略的作业。 - 使用 vserver security file-directory show 命令验证应用的存储级访问防护安全设置是否正确无误。
示例
在本示例中,命令的输出显示存储级访问防护安全性已应用于 NTFS 卷 /datavol1。尽管默认 DACL 保留了允许所有人的完全控制,在存储级访问防护设置中定义了对组的存储级访问防护安全限制(和审核)。
vserver security file-directory show -vserver vs1 -path /datavol1Vserver: vs1
File Path: /datavol1
File Inode Number: 77
Security Style: ntfs
Effective Style: ntfs
DOS Attributes: 10
DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
UNIX User Id: 0
Unix Group Id: 0
Unix Mode Bits: 777
Unix Mode Bits in Text: rwxrwxrwx
ACLs: NTFS Security Descriptor
Control:0x8004
Owner:BUILTIN\Administrators
Group:BUILTIN\Administrators
DACL - ACEs
ALLOW-Everyone-0x1f01ff
ALLOW-Everyone-0x10000000-OI|CI|IO
Storage-Level Access Guard security
SACL (Applies to Directories):
AUDIT-EXAMPLE\Domain Users-0x120089-FA
AUDIT-EXAMPLE\engineering-0x1f01ff-SA
DACL (Applies to Directories):
ALLOW-EXAMPLE\Domain Users-0x120089
ALLOW-EXAMPLE\engineering-0x1f01ff
ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
SACL (Applies to Files):
AUDIT-EXAMPLE\Domain Users-0x120089-FA
AUDIT-EXAMPLE\engineering-0x1f01ff-SA
DACL (Applies to Files):
ALLOW-EXAMPLE\Domain Users-0x120089
ALLOW-EXAMPLE\engineering-0x1f01ff
ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
提供反馈