千家信息网

如何在没有所有权权限下夺权

发表于:2024-11-14 作者:千家信息网编辑
千家信息网最后更新 2024年11月14日,环境产品型号:FAS2650操作系统:集群模式:ONTAP 9.3 P12目的7MTT迁移至CDOT系统,会导致CIFS共享仅显示默认Unix权限。本环境中由于客户被收购,新老域切换。国外IT不愿提供
千家信息网最后更新 2024年11月14日如何在没有所有权权限下夺权

环境

产品型号:FAS2650

操作系统:集群模式:ONTAP 9.3 P12


目的

7MTT迁移至CDOT系统,会导致CIFS共享仅显示默认Unix权限。本环境中由于客户被收购,新老域切换。国外IT不愿提供domain admins账户权限,只能在存储底层更改ACL权限策略。


vserver security file-directory show -vserver vservername -path path

使用命令查看ACLs是否与当前分配的权限一致;

FAS2650::> vserver security file-directory show -vserver CN-FILER3 -path /data/Manufacturing.cn

Vserver: CN-FILER3

File Path: path

File Inode Number: 891912

Security Style: ntfs

Effective Style: ntfs

DOS Attributes: 10

DOS Attributes in Text: ----D---

Expanded Dos Attributes: -

UNIX User Id: 0

UNIX Group Id: 1

UNIX Mode Bits: 777

UNIX Mode Bits in Text: rwxrwxrwx

ACLs: NTFS Security Descriptor

Control:0x8504

Owner:BUILTIN\Administrators

Group:cotoso\Domain Users

DACL - ACEs

ALLOW-cotoso\Domain CN Manufacture Access-0x1200a9

ALLOW-cotoso\Domain CN Manufacture Full Control-0x1301bf-OI|CI

ALLOW-cotoso\Domain CN Manufacture Read Only-0x1200a9-OI|CI

ALLOW-cotoso\Domain IT Office Direction-0x1301bf-OI|CI

ALLOW-cotoso\Domain Admins-0x1f01ff-OI|CI (Inherited)

ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff-OI|CI (Inherited)

只有对应的红色部分是权限访问的。


通过如下的步骤验证Login Windows account 是否属于如上提到的group

Windows command :

Whoami

Filer command:

Set diag

diag secd authentication show-creds -node FAS2650-01 -vserver vservername -win-name

创建SVM安全文件目录策略:

vserver security file-directory policy create -vserver CN-FILER3 -policy-name fixACL

创建针对安全文件目录的安全描述:

vserver security file-directory ntfs create -ntfs-sd sdACL --vserver CN-FILER3 -owner administrator

创建需要应用的DACL:

vserver security file-directory ntfs dacl add -vserver CN-FILER3 -ntfs-sd sdACL -access-type allow -account domainuser -apply-to sub-folders

应用策略到各个路径;

vserver security file-directory policy task add -vserver CN-FILER3 -policy fixACL-path path -ntfs-sd sdACL

运行应用策略任务;

vserver security file-directory apply -vserver CN-FILER3 -policy-name fixACL

应用后可以运行job show或- id查看进度;

7703 Fsecurity Apply FAS2650 FAS2650-01 Success

Description: File Directory Security Apply Job

参考 https://kb.netapp.com/app/answers/answer_view/a_id/1051747

0