我有一个 Web 服务器设置有一个具有特定权限的用户 'apache'。我已使用 WinRAR 将文件复制到另一台服务器以维护 NTFS 安全流。现在,在新服务器上,我对仅具有 SID 的文件具有权限,因为没有具有该 SID 的用户帐户。
我想要做的是创建一个使用该 SID 的命名用户帐户,这样我就不必重做文件的所有权限。
AskOverflow.Dev
我有一个 Web 服务器设置有一个具有特定权限的用户 'apache'。我已使用 WinRAR 将文件复制到另一台服务器以维护 NTFS 安全流。现在,在新服务器上,我对仅具有 SID 的文件具有权限,因为没有具有该 SID 的用户帐户。
我想要做的是创建一个使用该 SID 的命名用户帐户,这样我就不必重做文件的所有权限。
Windows 中没有创建具有指定 SID 的用户的机制。事实上,SID 的第一部分无论如何都是特定于机器或域的——只有最后一部分,相对 ID (RID) 因机器/域上的每个用户而异。如果不知何故,这两台机器是彼此的磁盘克隆,那么您将有一些机会做您想做的事,但即便如此,它也将是一个黑客攻击。
最好的办法是使用内置的“calcs”命令(或第三方setacl实用程序)编写脚本来应用所需的权限,并在每次需要应用这些权限时在 Web 服务器上执行。
您可以通过使用 setacl 的备份功能“备份”安全性,编辑生成的“备份”文件以包含目标计算机的正确 SID,然后将备份文件恢复到目标来摆脱黑客攻击机器。
我只需编写一个脚本来设置权限并将其与站点的其余部分一起存储在您的源代码控制存储库中。它确实是站点配置的一部分,需要维护。
您还可以使用NTFSBKP.bat (死链接,没有可用的存档)(更多信息在这里)和 SubInAcl 来完成 Evan 提到的黑客攻击。唯一的区别是它生成的备份文件存储的是用户名而不是 SID,所以你所要做的就是在另一个盒子上重新创建相同的帐户并恢复。