Gérer les groupes SMB locaux ONTAP
Suggérer des modifications
PDF
Vous pouvez modifier un groupe local en mettant à jour sa description ou en le renommant. Vous pouvez également consulter tous les groupes locaux du cluster ou d'une machine virtuelle de stockage (SVM) spécifique, et voir qui appartient à chaque groupe. Ces informations peuvent vous aider à résoudre les problèmes d'accès aux fichiers et de droits d'utilisateur sur la SVM.
| Les fonctions que vous recherchez… | Utilisez la commande… |
|---|---|
Afficher tous les groupes locaux sur le cluster |
|
Afficher tous les groupes locaux sur la SVM |
|
Afficher les membres de tous les groupes locaux sur le cluster |
|
Afficher les membres de tous les groupes locaux sur la SVM |
|
Modifier la description du groupe local |
Si la description contient un espace, alors elle doit être placée entre guillemets doubles. |
Renommer le groupe local |
|
Exemples de commandes
L'exemple suivant renomme le groupe local « CIFS_SERVER\engineering » en « CIFS_SERVER\engineering_New » :
cluster1::> vserver cifs users-and-groups local-group rename -vserver vs1 -group-name CIFS_SERVER\engineering -new-group-name CIFS_SERVER\engineering_new
L'exemple suivant modifie la description du groupe local « CIFS_SERVER\engineering » :
cluster1::> vserver cifs users-and-groups local-group modify -vserver vs1 -group-name CIFS_SERVER\engineering -description "New Description"
L'exemple suivant affiche les informations sur tous les groupes locaux sur le SVM vs1 :
cluster1::> vserver cifs users-and-groups local-group show -vserver vs1 Vserver Group Name Description -------- --------------------------- ---------------------------- vs1 BUILTIN\Administrators Built-in Administrators group vs1 BUILTIN\Backup Operators Backup Operators group vs1 BUILTIN\Power Users Restricted administrative privileges vs1 BUILTIN\Users All users vs1 CIFS_SERVER\engineering vs1 CIFS_SERVER\sales
L'exemple suivant affiche les informations sur les membres de tous les groupes locaux sur le SVM vs1 :
cluster1::> vserver cifs users-and-groups local-group show-members -vserver vs1
Vserver Group Name Members
--------- ---------------------------- ------------------------
vs1 BUILTIN\Administrators CIFS_SERVER\Administrator
AD_DOMAIN\Domain Admins
AD_DOMAIN\dom_grp1
BUILTIN\Users AD_DOMAIN\Domain Users
AD_DOMAIN\dom_usr1
CIFS_SERVER\engineering CIFS_SERVER\james
Supprimer les groupes SMB ONTAP locaux
Vous pouvez supprimer un groupe local de la machine virtuelle de stockage (SVM) s'il n'est plus nécessaire pour déterminer les droits d'accès aux données associées à ce SVM ou s'il n'est plus nécessaire d'attribuer des droits d'utilisateur de SVM (privilèges) aux membres du groupe.
Lors de la suppression de groupes locaux, tenez compte des points suivants :
-
Le système de fichiers n'est pas modifié.
Les descripteurs de sécurité Windows sur les fichiers et les répertoires faisant référence à ce groupe ne sont pas ajustés.
-
Si le groupe n'existe pas, une erreur est renvoyée.
-
Le groupe Everyone spécial ne peut pas être supprimé.
-
Les groupes intégrés tels que BUILTIN\Administrators BUILTIN\Users ne peuvent pas être supprimés.
-
Déterminez le nom du groupe local que vous souhaitez supprimer en affichant la liste des groupes locaux sur le SVM :
vserver cifs users-and-groups local-group show -vserver <SVM_name> -
Supprimer le groupe local :
vserver cifs users-and-groups local-group delete -vserver <SVM_name> -group-name <group_name> -
Vérifiez que le groupe est supprimé :
vserver cifs users-and-groups local-group show -vserver <SVM_name>
Exemple de commande
L'exemple suivant supprime le groupe local « CIFS_SERVER\sales » associé à la SVM vs1 :
cluster1::> vserver cifs users-and-groups local-group show -vserver vs1 Vserver Group Name Description --------- ---------------------------- ---------------------------- vs1 BUILTIN\Administrators Built-in Administrators group vs1 BUILTIN\Backup Operators Backup Operators group vs1 BUILTIN\Power Users Restricted administrative privileges vs1 BUILTIN\Users All users vs1 CIFS_SERVER\engineering vs1 CIFS_SERVER\sales cluster1::> vserver cifs users-and-groups local-group delete -vserver vs1 -group-name CIFS_SERVER\sales cluster1::> vserver cifs users-and-groups local-group show -vserver vs1 Vserver Group Name Description --------- ---------------------------- ---------------------------- vs1 BUILTIN\Administrators Built-in Administrators group vs1 BUILTIN\Backup Operators Backup Operators group vs1 BUILTIN\Power Users Restricted administrative privileges vs1 BUILTIN\Users All users vs1 CIFS_SERVER\engineering
Ajouter un membre à un groupe local ONTAP SMB
Vous pouvez gérer l'appartenance à un groupe local en ajoutant des utilisateurs locaux, des utilisateurs du domaine ou des groupes du domaine. Ceci est utile si vous souhaitez contrôler l'accès aux données en fonction des contrôles d'accès appliqués au groupe ou si vous souhaitez que les utilisateurs aient les privilèges associés à ce groupe.
-
Vous ne pouvez pas ajouter d'utilisateurs au groupe spécial Everyone.
-
Le groupe local doit exister avant de pouvoir y ajouter un utilisateur.
-
L'utilisateur doit exister avant de pouvoir ajouter l'utilisateur à un groupe local.
-
Vous ne pouvez pas ajouter un groupe local à un autre groupe local.
-
Pour ajouter un utilisateur ou un groupe de domaine à un groupe local, Data ONTAP doit pouvoir résoudre le nom en SID.
-
Ajouter un membre à un groupe :
vserver cifs users-and-groups local-group add-members -vserver _vserver_name_ -group-name _group_name_ -member-names name[,...]
Vous pouvez spécifier une liste délimitée par des virgules d'utilisateurs locaux, d'utilisateurs de domaine ou de groupes de domaine à ajouter au groupe local spécifié.
Exemple de commande
L'exemple suivant ajoute un utilisateur local « SMB_SERVER\sue » et un groupe de domaine « AD_DOM\dom_eng »au groupe local « `SMB_SERVER\engineering' » sur la SVM vs1 :
cluster1::> vserver cifs users-and-groups local-group add-members -vserver vs1 -group-name SMB_SERVER\engineering -member-names SMB_SERVER\sue,AD_DOMAIN\dom_eng
Supprimer un membre d'un groupe SMB local ONTAP
Vous pouvez gérer l'appartenance aux groupes locaux en supprimant des utilisateurs locaux, des utilisateurs du domaine ou des groupes du domaine. Ceci est utile si vous souhaitez contrôler l'accès aux données en fonction des contrôles d'accès appliqués au groupe ou si vous souhaitez que les utilisateurs disposent des privilèges associés à ce groupe.
-
Vous ne pouvez pas supprimer des membres du groupe spécial Everyone.
-
Le groupe dont vous souhaitez supprimer un membre doit exister.
-
ONTAP doit pouvoir résoudre les noms des membres que vous souhaitez supprimer du groupe vers un SID correspondant.
-
Retirer un membre d'un groupe :
vserver cifs users-and-groups local-group remove-members -vserver _vserver_name_ -group-name _group_name_ -member-names name[,...]
Vous pouvez spécifier une liste délimitée par des virgules d'utilisateurs locaux, d'utilisateurs de domaine ou de groupes de domaine à supprimer du groupe local spécifié.
Exemple de commande
L'exemple suivant supprime les utilisateurs locaux « SMB_SERVER\sue » et « SMB_SERVER\james du groupe local « `SMB_SERVER\engineering' » sur la SVM vs1 :
cluster1::> vserver cifs users-and-groups local-group remove-members -vserver vs1 -group-name SMB_SERVER\engineering -member-names SMB_SERVER\sue,SMB_SERVER\james
Mettre à jour les noms d'utilisateurs et de groupes du domaine SMB ONTAP dans les bases de données locales
Vous pouvez ajouter des utilisateurs et des groupes de domaine aux groupes locaux d'un serveur CIFS. Ces objets de domaine sont enregistrés dans des bases de données locales sur le cluster. Si un objet domaine est renommé, les bases de données locales doivent être mises à jour manuellement.
On doit préciser le nom de la machine virtuelle de stockage (SVM) sur laquelle vous souhaitez mettre à jour les noms de domaine.
-
Définissez le niveau de privilège sur avancé :
set -privilege advanced -
Mettez à jour les noms des utilisateurs et des groupes du domaine associés à la machine virtuelle de stockage :
vserver cifs users-and-groups update-names -vserver <SVM_name> -
Afficher les utilisateurs et les groupes du domaine qui ont été mis à jour avec succès et ceux qui n'ont pas pu l'être :
vserver cifs users-and-groups update-names -vserver <SVM_name> -display-failed-only false|true -
Si vous souhaitez supprimer toutes les informations d'état concernant les mises à jour, utilisez la commande suivante :
vserver cifs users-and-groups update-names -vserver <SVM_name> -suppress-all-output true -
Retour au niveau de privilège admin :
set -privilege admin
Exemple de commande
L'exemple suivant met à jour les noms des utilisateurs et groupes de domaine associés à la machine virtuelle de stockage (SVM, anciennement Vserver) vs1. Pour la dernière mise à jour, une chaîne de noms dépendante doit être mise à jour :
cluster1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them
only when directed to do so by technical support personnel.
Do you wish to continue? (y or n): y
cluster1::*> vserver cifs users-and-groups update-names -vserver vs1
Vserver: vs1
SID: S-1-5-21-123456789-234565432-987654321-12345
Domain: EXAMPLE1
Out-of-date Name: dom_user1
Updated Name: dom_user2
Status: Successfully updated
Vserver: vs1
SID: S-1-5-21-123456789-234565432-987654322-23456
Domain: EXAMPLE2
Out-of-date Name: dom_user1
Updated Name: dom_user2
Status: Successfully updated
Vserver: vs1
SID: S-1-5-21-123456789-234565432-987654321-123456
Domain: EXAMPLE1
Out-of-date Name: dom_user3
Updated Name: dom_user4
Status: Successfully updated; also updated SID "S-1-5-21-123456789-234565432-987654321-123457"
to name "dom_user5"; also updated SID "S-1-5-21-123456789-234565432-987654321-123458"
to name "dom_user6"; also updated SID "S-1-5-21-123456789-234565432-987654321-123459"
to name "dom_user7"; also updated SID "S-1-5-21-123456789-234565432-987654321-123460"
to name "dom_user8"
The command completed successfully. 7 Active Directory objects have been updated.
cluster1::*> set -privilege admin
Pour en savoir plus, vserver cifs consultez le "Référence de commande ONTAP".