配置绕过遍历检查概述
建议更改
PDF
绕过遍历检查是一种用户权限(也称为 _privilege _ ),用于确定用户是否可以遍历路径中的所有目录以访问某个文件,即使用户对遍历的目录没有权限也是如此。您应了解允许或禁止绕过遍历检查时会发生什么情况,以及如何为 Storage Virtual Machine ( SVM )上的用户配置绕过遍历检查。
允许或禁止绕过遍历检查时会发生什么情况
-
如果允许,当用户尝试访问某个文件时, ONTAP 在确定是授予还是拒绝访问该文件时不会检查中间目录的遍历权限。
-
如果不允许, ONTAP 将检查文件路径中所有目录的遍历(执行)权限。
如果任何中间目录不具有 "`X` " (遍历权限),则 ONTAP 将拒绝访问此文件。
配置绕过遍历检查
您可以使用 ONTAP 命令行界面或使用此用户权限配置 Active Directory 组策略来配置绕过遍历检查。
。 SeChangeNotifyPrivilege 权限控制是否允许用户绕过遍历检查。
-
通过将其添加到 SVM 上的本地 SMB 用户或组或域用户或组,可以绕过遍历检查。
-
从 SVM 上的本地 SMB 用户或组或域用户或组中删除该文件将禁止绕过遍历检查。
默认情况下, SVM 上的以下 BUILTIN 组有权绕过遍历检查:
-
BUILTIN\Administrators -
BUILTIN\Power Users -
BUILTIN\Backup Operators -
BUILTIN\Users -
Everyone
如果您不希望允许其中一个组的成员绕过遍历检查,则必须从该组中删除此权限。
在使用命令行界面为 SVM 上的本地 SMB 用户和组配置绕过遍历检查时,必须牢记以下几点:
-
如果要允许自定义本地或域组的成员绕过遍历检查、则必须添加
SeChangeNotifyPrivilege权限。 -
如果要允许单个本地或域用户绕过遍历检查、而该用户不是具有该权限的组的成员、则可以添加
SeChangeNotifyPrivilege权限。 -
您可以通过删除来禁用本地或域用户或组绕过遍历检查
SeChangeNotifyPrivilege随时享受特权。
要为指定的本地或域用户或组禁用绕过访问程序检查、还必须删除
SeChangeNotifyPrivilege特权Everyone组。