如何在没有所有权权限下夺权-创新互联
环境
我们提供的服务有:成都网站建设、成都做网站、微信公众号开发、网站优化、网站认证、尼开远ssl等。为1000+企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的尼开远网站制作公司产品型号:FAS2650
操作系统:集群模式:ONTAP 9.3 P12
目的
7MTT迁移至CDOT系统,会导致CIFS共享仅显示默认Unix权限。本环境中由于客户被收购,新老域切换。国外IT不愿提供domain admins账户权限,只能在存储底层更改ACL权限策略。
vserver security file-directory show -vserver vservername -path path
使用命令查看ACLs是否与当前分配的权限一致;
FAS2650::> vserver security file-directory show -vserver CN-FILER3 -path /data/Manufacturing.cn
Vserver: CN-FILER3
File Path: path
File Inode Number: 891912
Security Style: ntfs
Effective Style: ntfs
DOS Attributes: 10
DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
UNIX User Id: 0
UNIX Group Id: 1
UNIX Mode Bits: 777
UNIX Mode Bits in Text: rwxrwxrwx
ACLs: NTFS Security Descriptor
Control:0x8504
Owner:BUILTIN\Administrators
Group:cotoso\Domain Users
DACL - ACEs
ALLOW-cotoso\Domain CN Manufacture Access-0x1200a9
ALLOW-cotoso\Domain CN Manufacture Full Control-0x1301bf-OI|CI
ALLOW-cotoso\Domain CN Manufacture Read Only-0x1200a9-OI|CI
ALLOW-cotoso\Domain IT Office Direction-0x1301bf-OI|CI
ALLOW-cotoso\Domain Admins-0x1f01ff-OI|CI (Inherited)
ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff-OI|CI (Inherited)
只有对应的红色部分是权限访问的。
通过如下的步骤验证Login Windows account 是否属于如上提到的group
Windows command :
Whoami
Filer command:
Set diag
diag secd authentication show-creds -node FAS2650-01 -vserver vservername -win-name
创建SVM安全文件目录策略:
vserver security file-directory policy create -vserver CN-FILER3 -policy-name fixACL
创建针对安全文件目录的安全描述:
vserver security file-directory ntfs create -ntfs-sd sdACL --vserver CN-FILER3 –owner administrator
创建需要应用的DACL:
vserver security file-directory ntfs dacl add -vserver CN-FILER3 -ntfs-sd sdACL -access-type allow –account domainuser –apply-to sub-folders
应用策略到各个路径;
vserver security file-directory policy task add -vserver CN-FILER3 –policy fixACL–path path -ntfs-sd sdACL
运行应用策略任务;
vserver security file-directory apply –vserver CN-FILER3 –policy-name fixACL
应用后可以运行job show或- id查看进度;
7703 Fsecurity Apply FAS2650 FAS2650-01 Success
Description: File Directory Security Apply Job
参考 https://kb.netapp.com/app/answers/answer_view/a_id/1051747
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网站栏目:如何在没有所有权权限下夺权-创新互联
网页地址:http://scyanting.com/article/didjjg.html