跳到主要内容

SVM 灾难恢复目标上应用使用本地用户或组的文件目录策略的准则

在使用标识丢弃配置的存储虚拟机(SVM)上应用文件目录策略之前,如果文件目录策略配置为在安全描述符或者 DACL 或 SACL 条目中使用本地用户或组,则需要牢记一些特定准则。

您可为 SVM 配置灾难恢复配置,其中源 SVM 位于源集群,将源 SVM 的数据和配置复制到目标集群上的目标 SVM

您可以设置两种 SVM 灾难恢复类型之一:

  • 保留标识

    使用此配置,将保留 SVM 和 CIFS 服务器的标识。

  • 丢弃标识

    使用此配置,将不保留 SVM和 CIFS 服务器的标识。在这种情况下,目标 SVM 上的 SVM 和 CIFS 服务器的名称,不同于源 SVM 上的 SVM 和 CIFS 服务器名称。

丢弃标识配置的准则

在丢弃标识配置中,对于包含本地用户、组和权限配置的 SVM 源,本地域的名称(本地 CIFS 服务器名称)必须更改以匹配 SVM 目标上的 CIFS 服务器名称。例如,如果源 SVM 名称为vs1且 CIFS 服务器名称为CIFS1,目标 SVM 名称为vs1_dst且 CIFS 服务器名称为CIFS1_DST,则名为CIFS1\user1的本地用户的本地域名在目标 SVM 上自动更改为CIFS1_DST\user1

cluster1::> vserver cifs users-and-groups local-user show -vserver vs1_dst
  
Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1          CIFS1\Administrator                     Built-in administrator account
vs1          CIFS1\user1              -              -

cluster1dst::> vserver cifs users-and-groups local-user show -vserver vs1_dst
  
Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1_dst      CIFS1_DST\Administrator                 Built-in administrator account
vs1_dst      CIFS1_DST\user1          -              -

即使在本地用户和组数据库中自动更改了本地用户和组名,本地用户或组名不会在文件目录策略配置(使用 vserver security file-directory 命令系列在 CLI 上配置的策略)中自动更改。

例如,对于vs1,如果配置了将 -account 参数设置为CIFS1\user1的 DACL,则目标 SVM 上的设置不会自动更改以体现目标的 CIFS 服务器名称。

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1
  
Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    CIFS1\user1      allow    full-control      this-folder

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1_dst
  
Vserver: vs1_dst
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    CIFS1\user1          allow    full-control      this-folder


必须使用 vserver security file-directory modify 命令手动将 CIFS 服务器名称更改为目标 CIFS 服务器名称。

包含帐户参数的文件目录策略配置组件

有三个文件目录策略配置组件可以使用包含本地用户或组的参数设置:

  • 安全描述符

    (可选)可指定安全描述符的所有者以及安全描述符所有者的主组。如果安全描述符为所有者和主组条目使用本地用户或组,则必须修改安全描述符以在帐户名称中使用目标 SVM。您可以使用 vserver security file-directory ntfs modify 命令对帐户名称进行任何必要的更改。

  • DACL 条目

    每个 DACL 条目必须与一个帐户相关联。必须修改使用本地用户或组帐户的任何 DACL 条目以使用目标 SVM 名称。由于无法修改现有 DACL 条目的帐户名称,您必须从安全描述符中删除任何具有本地用户或组的 DACL 条目,创建具有正确目标帐户名称的新 DACL 条目,将这些 DACL 条目与相应的安全描述符关联。

  • SACL 条目

    每个 SACL 条目必须与一个帐户相关联。必须修改使用本地用户或组帐户的任何 SACL 条目以使用目标 SVM 名称。由于无法修改现有 SACL 条目的帐户名称,您必须从安全描述符中删除任何具有本地用户或组的 SACL 条目,创建具有正确目标帐户名称的新 SACL 条目,将这些 SACL 条目与相应的安全描述符关联。

在应用文件目录策略之前,必须对策略配置中使用的本地用户或组进行任何必要的更改;否则应用将失败。