将 NTFS DACL 访问控制条目添加到 NTFS 安全描述符...

将 DACL（酌情访问控制列表）访问控制条目（ACE）添加至 NTFS 安全描述符是创建并应用 NTFS ACL 到文件或文件夹的第二步。每个条目均标识出已允许或拒绝访问的对象，并定义对象可对 ACE 中定义的文件或文件夹执行的操作或不可执行的操作。

关于本任务

可向安全描述符 DACL 添加一个或多个 ACE。

如果安全描述符包含现在已有 ACE 的 DACL，该命令会将新的 ACE 添加到 DACL。如果安全描述符不包含 DACL，该命令会创建 DACL 并将新的 ACE 添加到其中。

可选择通过为 -account 参数中指定的帐户指定要允许或拒绝哪些权限，来自定义 DACL 条目。指定权限有三种互斥的方法：

权限
高级权限
原始权限（advanced-privilege）

注

如果未指定 DACL 条目的权限，默认设置权限为 Full Control。

可选择通过指定如何应用继承来自定义 DACL 条目。

对于存储级访问防护，任何可选参数的值都将被忽略。有关更多信息，请参阅手册页。

添加 DACL 条目到安全描述符：vserver security file-directory ntfs dacl add -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SID optional_parameters
示例
vserver security file-directory ntfs dacl add -ntfs-sd sd1 -access-type deny -account domain\joe -rights full-control -apply-to this-folder -vserver vs1

确认该 DACL 条目正确：vserver security file-directory ntfs dacl show -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SID

示例

vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe

                       Vserver: vs1
             Security Descriptor Name: sd1
                        Allow or Deny: deny
                  Account Name or SID: DOMAIN\joe
                        Access Rights: full-control
               Advanced Access Rights: -
                             Apply To: this-folder
                        Access Rights: full-control

提供反馈