简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将 NTFS SACL 访问控制条目添加到 NTFS 安全描述符

提供者

向 NTFS 安全描述符添加 SACL (系统访问控制列表)访问控制条目( ACE )是为 SVM 中的文件或文件夹创建 NTFS 审核策略的第二步。每个条目都标识要审核的用户或组。SACL 条目用于定义是要审核成功的还是失败的访问尝试。

您可以将一个或多个 ACE 添加到安全描述符的 SACL 中。

如果安全描述符包含具有现有 ACE 的 SACL ,则该命令会将新 ACE 添加到 SACL 。如果安全描述符不包含 SACL ,则该命令将创建 SACL 并将新 ACE 添加到其中。

您可以通过指定要审核在 ` 帐户` 参数中指定的帐户的成功或失败事件的权限来配置 SACL 条目。指定权限的方法有三种,这三种方法是互斥的:

  • 权限

  • 高级权限

  • 原始权限(高级权限)

注

如果未指定 SACL 条目的权限,则默认设置为 Full Control

您也可以选择使用 apply to 参数指定如何应用继承来自定义 SACL 条目。如果未指定此参数,则默认情况下会将此 SACL 条目应用于此文件夹,子文件夹和文件。

步骤
  1. 将 SACL 条目添加到安全描述符: vserver security file-directory ntfs sacl add -vserver vserver_name -ntfs-sd sd_name -access-type { failure_success } -account name_or_SIDoptional_parameters

    vserver security file-directory ntfs sacl add -ntfs-sd sd1 -access-type failure -account domain\joe -rights full-control -apply-to sis-folder -vserver vs1

  2. 验证 SACL 条目是否正确: vserver security file-directory ntfs sacl show -vserver vserver_name -ntfs-sd sd_name -access-type { failure_success } -account name_or_SID

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd1 -access-type deny -account domain\joe

                                      Vserver: vs1
                            Security Descriptor Name: sd1
             Access type for Specified Access Rights: failure
                                 Account Name or SID: DOMAIN\joe
                                       Access Rights: full-control
                              Advanced Access Rights: -
                                            Apply To: this-folder
                                       Access Rights: full-control