简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

支持的动态访问控制功能

12/20/2023 贡献者

如果要在 CIFS 服务器上使用动态访问控制（ DAC ），则需要了解 ONTAP 如何在 Active Directory 环境中支持动态访问控制功能。

支持动态访问控制

在 CIFS 服务器上启用动态访问控制时， ONTAP 支持以下功能：

功能注释

功能	注释
声明到文件系统	声明是简单的名称和值对，用于说明有关用户的一些事实。用户凭据包含声明信息、文件上的安全描述符可以执行包括声明检查在内的访问检查。这样，管理员可以更精细地控制谁可以访问文件。
文件访问检查的条件表达式	修改文件的安全参数时、用户可以将任意复杂的条件表达式添加到文件的安全描述符中。条件表达式可以包括对声明的检查。
通过中央访问策略集中控制文件访问	中央访问策略是存储在 Active Directory 中的一种 ACL ，可以标记为文件。只有在磁盘上的安全描述符和带标记的中央访问策略的访问检查均允许访问时，才会授予对文件的访问权限。这样，管理员便可以从中央位置（ AD ）控制对文件的访问，而无需修改磁盘上的安全描述符。
中央访问策略暂存	增加了在不影响实际文件访问的情况下尝试安全更改的功能，方法是 " `staging` " 对中央访问策略的更改，并在审核报告中查看更改的影响。
支持使用 ONTAP 命令行界面显示有关中央访问策略安全性的信息	扩展 `vserver security file-directory show` 命令以显示有关应用的中央访问策略的信息。
包括中央访问策略的安全跟踪	扩展 `vserver security trace` 命令系列、以显示包含应用的中央访问策略相关信息的结果。

声明到文件系统

声明是简单的名称和值对，用于说明有关用户的一些事实。用户凭据包含声明信息、文件上的安全描述符可以执行包括声明检查在内的访问检查。这样，管理员可以更精细地控制谁可以访问文件。

文件访问检查的条件表达式

修改文件的安全参数时、用户可以将任意复杂的条件表达式添加到文件的安全描述符中。条件表达式可以包括对声明的检查。

通过中央访问策略集中控制文件访问

中央访问策略是存储在 Active Directory 中的一种 ACL ，可以标记为文件。只有在磁盘上的安全描述符和带标记的中央访问策略的访问检查均允许访问时，才会授予对文件的访问权限。这样，管理员便可以从中央位置（ AD ）控制对文件的访问，而无需修改磁盘上的安全描述符。

中央访问策略暂存

增加了在不影响实际文件访问的情况下尝试安全更改的功能，方法是 " staging " 对中央访问策略的更改，并在审核报告中查看更改的影响。

支持使用 ONTAP 命令行界面显示有关中央访问策略安全性的信息

扩展 vserver security file-directory show 命令以显示有关应用的中央访问策略的信息。

包括中央访问策略的安全跟踪

扩展 vserver security trace 命令系列、以显示包含应用的中央访问策略相关信息的结果。

在 CIFS 服务器上启用动态访问控制时， ONTAP 不支持以下功能：

功能	注释
NTFS 文件系统对象的自动分类	这是 ONTAP 不支持的 Windows 文件分类基础架构的扩展。
除中央访问策略暂存之外的高级审核	高级审核仅支持中央访问策略暂存。

功能

注释

NTFS 文件系统对象的自动分类

这是 ONTAP 不支持的 Windows 文件分类基础架构的扩展。

除中央访问策略暂存之外的高级审核

高级审核仅支持中央访问策略暂存。