向 NTFS 安全描述符添加 NTFS DACL 访问控制条目

将 DACL(随机访问控制列表)访问控制条目 (ACE) 添加到 NTFS 安全描述符,这是配置 NTFS ACL 并将其应用于文件或文件夹的第二步。每个可用于条目识别允许或拒绝访问哪个对象,并定义对象能否对 ACE 中定义的文件或文件夹执行哪些操作。

关于本任务

您可以将一个或多个 ACE 添加到安全描述符的 DACL 中。

如果安全描述符包含具有现有 ACE 的 DACL,则该命令会将新 ACE 添加到 DACL。如果安全描述符不包含 DACL,则该命令将创建 DACL 并将新 ACE 添加到其中。

或者,您可以指定要为 -account 中指定的帐户允许或拒绝的权限来自定义 DACL 条目。可通过三种方法来指定权限,这三种方法不能同时使用:

注:如果未指定 DACL 条目的权限,则默认值会将权限设置为 Full Control

您可以选择通过指定如何应用继承来自定义 DACL 条目。

存储级别访问防护将忽略任何可选参数的值。有关详细信息,请参见手册页。

步骤

  1. 将 DACL 条目添加到安全描述符:vserver security file-directory ntfs dacl add -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SID optional_parameters
    示例
    vserver security file-directory ntfs dacl add -ntfs-sd sd1 -access-type deny -account domain\joe -rights full-control -apply-to this-folder -vserver vs1
  2. 验证 DACL 条目是否正确:vserver security file-directory ntfs dacl show -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SID
    示例
    vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joe
                           Vserver: vs1
                 Security Descriptor Name: sd1
                            Allow or Deny: deny
                      Account Name or SID: DOMAIN\joe
                            Access Rights: full-control
                   Advanced Access Rights: -
                                 Apply To: this-folder
                            Access Rights: full-control