简介

在使用群晖(Synology)与 Windows 的 AD 域集成后,必将涉及到文件的权限管理问题,通过群晖的权限挂历界面,能够较为简单的进行权限设置,但是对于初步了解 ACL 权限的人来说,不太能理解。本文将举出部分特殊权限示例策略,以便使用及理解。

更新 2021.10.19

最近有很多朋友,搜进来关键词是:群晖 windows acl 规则数超出系统限制
这个限制记得是有的,是 windows acl 的问题。

当您达到访问控制列表 (ACL) 的最大大小时,会出现此问题。ACL 的大小随其访问控制条目 (ACE) 的数量和大小而变化。ACL 的最大大小为 64 KB (KB),或大约 1,820 个 ACE。但是,出于性能原因,最大尺寸是不切实际的。

原文:docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/error-add-user-to-security-permissions

大部分建议都是采用:将权限赋予权限组,将权限组分配到目录。
这样通常不会出现一个文件会有上百个权限,从而导致 ACL 规则数超出限制问题。

策略示例

不同的权限配置将会产生不同的效果,以下策略并不完全,也不是十分完美,本文将持续更新修正策略。

由于对 Windows ACL 权限还在了解当中,并不了解是否支持以下功能:每个人仅可查看/修改到个人上传的文件,即不能封发现/知晓其他人上传了什么文件。

策略一:上传/查看/禁止替换

使用人员可上传文件/文件夹,上传后可查阅是否正确,但是禁止替换文件/文件夹,禁止修改文件,禁止删除文件/文件夹。

适用范围

数据备份。

实现

权限1:

  • 允许
  • 子文件,所有后代
  • 读取:遍历文件夹/执行文件,列出文件夹/读取数据,读取扩展属性

权限2:

  • 允许
  • 此文件夹,子文件夹,所有后代
  • 读取:遍历文件夹/执行文件,列出文件夹/读取数据,读取属性,读取扩展属性,读取权限
  • 写入:创建文件/写入数据,创建文件夹/附加数据

策略二:仅上传

使用人员仅可上传文件/文件夹,禁止查看、替换、修改、复制。

适用范围

数据归档,资料提交。

实现

权限1:

  • 允许
  • 子文件,所有后代
  • 读取:列出文件夹/读取数据

权限2:

  • 允许
  • 此文件夹,子文件夹,所有后代
  • 读取:遍历文件夹/执行文件,列出文件夹/读取数据,读取属性,读取权限
  • 写入:创建文件/写入数据,创建文件夹/附加数据

权限组合

读取

  • 允许
  • 读取扩展属性
  • 读取权限

当给用户或组分配"子文件"权限时,同时选择了以上权限,则用户或组内的所有成员均可读取该文件。例:当用户 test_01 和 test_02 同时拥有以上权限时,test_01 上传文件 test_01_file_01,则 test_01 和 test_02 均可查看并打开阅读 test_01_file_01。

读取(用户仅可读取属于用户个人的文件)

  • 允许
  • 读取扩展属性

当给用户或组分配"子文件"权限时,同时选择了以上权限,则用户或组的所有成员均可看到所有文件,但是每个用户仅可打开属于自己的文件。例:当用户 test_01 和 test_02 同时拥有以上权限时,test_01 上传文件 test_01_file_01,则 test_01 和 test_02 均可在文件夹内查看到 test_01_file_01,但是 test_01 可打开阅读 test_01_file_01,而 test_02 不行。

最后修改:2021 年 10 月 21 日 11 : 20 AM
© 禁止转载
如果觉得文章帮助了您,您可以随意赞赏。