将NTFS DACL访问控制条目添加到NTFS安全描述符中
建议更改
PDF
向 NTFS 安全描述符添加 DACL (随机访问控制列表)访问控制条目( ACE )是配置 NTFS ACL 并将其应用于文件或文件夹的第二步。每个条目都标识允许或拒绝访问的对象,并定义对象可以或不能对 ACE 中定义的文件或文件夹执行的操作。
您可以将一个或多个ACL添加到安全描述符的DACL中。
如果安全描述符包含具有现有 ACE 的 DACL ,则该命令会将新 ACE 添加到 DACL 中。如果安全描述符不包含 DACL ,则该命令将创建 DACL 并向其中添加新 ACE 。
您可以选择通过指定要为中指定的帐户允许或拒绝的权限来自定义DACL条目 -account 参数。指定权限的方法有三种,这三种方法是互斥的:
-
权限
-
高级权限
-
原始权限(高级权限)
|
如果未指定DACL条目的权限、则默认为将权限设置为 |
您可以选择通过指定如何应用继承来自定义 DACL 条目。
存储级别访问防护将忽略任何可选参数的值。有关详细信息,请参见手册页。
-
将DACL条目添加到安全描述符:
vserver security file-directory ntfs dacl add -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDoptional_parametersvserver security file-directory ntfs dacl add -ntfs-sd sd1 -access-type deny -account domain\joe -rights full-control -apply-to this-folder -vserver vs1 -
验证DACL条目是否正确:
vserver security file-directory ntfs dacl show -vserver vserver_name -ntfs-sd SD_name -access-type {allow|deny} -account name_or_SIDvserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1 -access-type deny -account domain\joeVserver: vs1 Security Descriptor Name: sd1 Allow or Deny: deny Account Name or SID: DOMAIN\joe Access Rights: full-control Advanced Access Rights: - Apply To: this-folder Access Rights: full-control