创建 SMB 共享访问控制列表

通过为 SMB 共享创建访问控制列表 (ACL) 来配置共享权限,从而能够控制用户和组对共享的访问级别。

开始之前

您必须确定将为哪些用户或组授予对共享的访问权限。

关于本任务

您可以使用本地或域 Windows 用户或组名称配置共享级 ACL。

在创建新 ACL 之前,您应删除默认共享 ACL Everyone / Full Control,它将带来安全风险。

在工作组模式下,本地域名是 SMB 服务器名称。

步骤

  1. 删除默认共享 ACL:vserver cifs share access-control delete -vserver vserver_name -share share_name -user-or-group everyone
  2. 配置新 ACL:
    用于配置 ACL 的方法 命令
    Windows 用户 vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_domain_name\user_name -permission access_right
    Windows 组 vserver cifs share access-control create -vserver vserver_name -share share_name -user-group-type windows -user-or-group Windows_group_name -permission access_right
  3. 使用 vserver cifs share access-control show 命令验证应用于共享的 ACL 是否正确。

示例

以下命令针对“vs1.example.com”SVM 上的“sales”共享为“Sales Team”Windows 组提供 Change 权限:
cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "Sales Team" -permission Change

cluster1::> vserver cifs share access-control show
                 Share       User/Group              User/Group  Access
Vserver          Name        Name                    Type        Permission
---------------- ----------- --------------------    ---------   -----------
vs1.example.com  c$          BUILTIN\Administrators  windows     Full_Control
vs1.example.com  sales       DOMAIN\"Sales Team"     windows     Change

以下命令针对“vs1”SVM 上的“datavol5”共享为本地 Windows 组“Tiger Team”提供 Change 权限,并为本地 Windows 用户“Sue Chang”提供 Full_Control 权限:

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change

cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control

cluster1::> vserver cifs share access-control show -vserver vs1
               Share       User/Group                  User/Group  Access
Vserver        Name        Name                        Type        Permission
-------------- ----------- --------------------------- ----------- -----------
vs1            c$          BUILTIN\Administrators      windows     Full_Control
vs1            datavol5    DOMAIN\"Tiger Team"         windows     Change
vs1            datavol5    DOMAIN\"Sue Chang"          windows     Full_Control