哪些是具有相应用户权限的NTFS访问掩码标志?
适用场景
- ONTAP 9 及更高版本
- Windows
- SMB/CIFS
- NTFS卷
问题解答
- access_mask是一组32位标志、用于对用户对对象的权限进行编码。
- 访问掩码用于对分配给主体的对象的权限进行编码、并在打开对象时对请求的访问进行编码。
- 以下是最常用的访问掩码:
-
要获得读取权限、请使用0x1200A9。这对应于以下标志:
file_read_data (file)或file_list_directory (directory)1 (0x1)
file_read_EA8 (0x8)
file_execute (file)或file_traverse (directory)32 (0x20)
file_read_attributes128 (0x80)
read_control131072 (0x20000)
synchronize
1048576 (0x100000) -
要获取更改权限、请使用0x1301BF。这与以下附加标志相对应:
file_write_data (file)或file_Add_file (directory)2 (0x2)
file_apping_data (file)或file_Add_子 目录(directory)4 (0x4)
file_write_EA16 (0x10)
FILEget_attributes256 (0x100)
delete
65536 (0x10000) -
要获得完全控制权限、请使用0x1F01FF。这与以下附加标志相对应:
file_delete_child64 (0x40)
write_dac262144 (0x40000)
write_owner
524288 (0x80000)
-
- 以下是文件的访问掩码位图表:
| 值 | 问题描述 |
|
GR 通用读取
|
在访问请求操作中使用时: 请求对对象的读取访问时、此位将转换为位的组合。这些设置最常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 设置的位取决于实施情况。在此转换期间、将清除GR位。生成的access_mask位是根据附加到对象的安全描述符中的ACE结构检查的实际权限。 用于设置对象的安全描述符时: 在要附加到对象的ACE中设置GR位时、它会注册为多个位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 设置的位取决于实施情况。在此转换期间、将清除GR位。生成的access_mask位是此ACE授予的实际权限。 |
|
网关 generic_write
|
在访问请求操作中使用时: 请求对对象的写入访问时、此位将转换为位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 设置的位取决于实施情况。在此转换期间 |
|
GX generic_execute
|
在访问请求操作中使用时: 请求对对象执行访问时、此位将转换为位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 设置的位取决于实施情况。在此转换期间、GX位将被清除。生成的access_mask位是根据附加到对象的安全描述符中的ACE结构检查的实际权限。 用于设置对象的安全描述符时: 如果在要附加到对象的ACE中设置了GX位、则该位将转换为位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 设置的位取决于实施情况。在此转换期间、GX位将被清除。生成的access_mask位是此ACE授予的实际权限。 |
|
GA 通用全部
|
在访问请求操作中使用时: 请求对对象的所有访问权限时、此位将转换为位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 根据对象语义的要求、对象可以自由地包含该转换中前16位的位。设置的位取决于实施情况。在此转换期间、GA位将被清除。生成的access_mask位是根据附加到对象的安全描述符中的ACE结构检查的实际权限。 用于设置对象的安全描述符时: 如果在要附加到对象的ACE中设置GA位、则该位将转换为位的组合、这些位通常设置在access_mask的下16位中。(单个协议规范可以指定不同的配置。) 如果对象语义需要、则可以在该转换中自由包含来自前16位的位。设置的位取决于实施情况。在此转换期间、GA位将被清除。生成的access_mask位是此ACE授予的实际权限。 |
|
毫安 max_allowed
|
在访问请求操作中使用时: 当请求时、此位会通过访问检查算法为请求程序授予允许的最大对象权限。只能请求此位;不能在ACE中设置此位。 用于设置对象的安全描述符时: 在 security_Descriptor中指定允许的最大位 毫无意义。不应设置此MA位、在作为security_Descrip器 结构的一部分时应忽略此位。 |
|
作为 access_system_security
|
在访问请求操作中使用时: 如果请求、此位会授予请求者更改对象SACL的权限。不能在DACL中的ACE中设置此位。如果在属于SACL的ACE中设置、则此位将控制对SACL本身访问的审核。 |
|
系统 同步
|
指定对对象的访问权限、使其足以同步或等待对象。 |
|
工单 write_owner
|
指定用于更改安全描述符中列出的对象所有者的访问权限。 |
|
WD write_dacl
|
指定用于更改对象安全描述符的任意访问控制列表的访问权限。 |
|
RC read_control
|
指定读取对象安全描述符的访问权限。 |
|
德国 DELETE
|
指定用于删除对象的访问权限。
|
- 以下是目录的访问掩码位图:
| 值 | 问题描述 |
|
file_list_directory 0x00000001 |
此值指示枚举目录内容的权限。 |
|
File_Add_file 0x00000002 |
此值表示有权在目录下创建文件。 |
|
File_Add_子 目录 0x00000004 |
此值表示有权在目录下添加子目录。 |
|
File_read_EA 0x00000008 |
此值表示有权读取目录的扩展属性。 |
|
file_write_EA 0x00000010 |
此值表示有权写入或更改目录的扩展属性。 |
|
file_traverse 0x00000020 |
此值表示如果底层对象存储强制执行遍历检查、则有权遍历此目录。 |
|
file_delete_child 0x00000040 |
此值表示有权删除此目录中的文件和目录。 |
|
file_read_attributes 0x00000080 |
此值表示有权读取目录的属性。 |
|
file_write_attributes 0x00000100 |
此值表示有权更改目录的属性。 |
|
DELETE 0x00010000 |
此值表示有权删除此目录。 |
|
read_control 0x00020000 |
此值表示有权读取 [1]目录的安全描述符。 |
|
write_dac 0x00040000 |
此值表示有权在 [2]目录的安全描述符中更改DACL。有关DACL数据结构的信息、请参见 《MS-DTYP 》第 2.4.5节中的ACL。 |
|
write_owner 0x00080000 |
此值表示有权在目录的安全描述符中更改所有者。 |
|
同步 0x00100000 |
客户端和服务器都必须忽略此标志。 |
|
access_system_security 0x01000000 |
此值表示有权读取或更改 [3]目录安全描述符中的SACL。有关SACL数据结构、请参见《MS-DTYP》第2.4.5节中的ACL。 |
|
max_allowed
|
此值表示客户端请求打开此目录、并且此目录具有客户端对此目录的最高访问级别。如果未为此目录上的客户端授予访问权限、则服务器必须在打开时失败、并显示status_access_denied。 |
|
通用全部 0x10000000 |
此值表示对上面列出的所有访问标志的请求、但max_allowed和access_system_security除外。 |
|
generic_execute 0x20000000 |
此值表示请求以下访问标志:file_read_attributes、file_traverse、synchronize和read_control。 |
|
generic_write 0x40000000 |
此值表示请求以下访问标志:file_Add_file、file_Add_子 目录、file_write_attributes、file_write_EA、synchronize、 和read_control。 |
|
通用读取 0x80000000 |
此值表示请求以下访问标志:file_list_directory、file_read_attributes、file_read_EA、synchronize和read_control。 |
追加信息
有关Access_mask的更多详细信息、请查看以下Microsoft文档:
NTFS访问掩码标志显示在vserver security file-directory show命令输出中。