about NetApp

Новая полезная команда для администратора CIFS NAS появилась в версии 7.3 (и новее). Любому win-админу известно, какая катавасия начинается с доступом, когда становится много пользователей и групп безопасности. Юзеру “Петя” позволено то, но не позволено это, но когда он входит в группу “Менеджеры”, то ему позволяется еще вот это и это, но зато запрещается вон то, что раньше было разрешено индивидуальному пользователю (как известно, в системе безопасности NT DENY всегда перекрывает ALLOW). И такое спагетти из прав работает до тех пор, пока однажды не запутается намертво, заставляя админа лезть на стену. И вот тут пригодится инструмент, который покажет что не так, не просто access denied, а почему, и отчего.

Например
sectrace add -a -path /vol/software

выведет в лог что-то наподобие:

Sun Feb 1 13:10:52 IST [jim: sectrace.filter.allowed:info]: [sectrace index: 2] Access allowed because ‘Synchronize, Read Attributes’ permission (0×100080) is granted on file or directory (Access allowed by an explicit access control entry) - Status: 1:58720452:0:0 - 10.1.20.107 - NT user name: support\administrator - UNIX user name: root(0) - Qtree security style is NTFS and NT ACL is set on file/directory - Path: /vol/software/

Возможные опции: sectrace add, sectrace remove, sectrace show, sectrace print-status

Подсмотрено у http://filers.blogspot.com/