このディレクトリへのフルアクセス権を user1 と user2 に付与する必要があります。
drwxr-xr-- 3 oracle dba 4096 feb 9 23:16 scripts
ディレクトリ グループを変更することはできません。おそらく、そのグループは他のユーザーがディレクトリにアクセスするために必要であり、この場合、これらのユーザーに付与する権限が多すぎるため、user1 と user2 を dba グループに追加することはできません。
ACLを使用できることは知っていますが、ACL は良い習慣でしょうか?ACL を使用すると混乱が生じ、制御が失われると思います。
もう一つのことは、新しいグループを作成してdbaグループ内のすべてのユーザーをこの新しいグループに追加しますそしてディレクトリグループをこの新しいグループに変更します。これにより、このディレクトリへのアクセス権を持つすべてのユーザーが引き続きアクセスできるようになることが保証されますか?
既存の他のユーザーから権限を削除せずに、これら 2 人のユーザーにこのディレクトリへの完全なアクセス権を付与するためのベスト プラクティスは何でしょうか?
答え1
ACL を使用すると混乱が生じ、制御が失われると思います。
そうは思いません。(私も自分の主張を、あなたと同じくらいの証拠で裏付けています。)
ACL を必要とする問題がある場合は、ACL を使用します。
ここで重要な質問は、新しいユーザーがグループに追加されたら、そのユーザーはディレクトリdbaにアクセスする必要があるかどうかです。scripts
- 答えが「はい」の場合、 へのアクセス権を持つべきユーザーのセットは、参照によってグループ
scriptsを記述する必要があります。したがって、ディレクトリには、ユーザー および だけでなく、グループdbaへのアクセスを許可する ACL が必要です。 および を含む 2 番目の「DB スクリプター」グループを定義し、に ACL を設定して「DB スクリプター」グループへのアクセスを許可する方がおそらくわかりやすいでしょう。dbauser1user2user1user2scripts - 答えが「いいえ」の場合、アクセス権を持つべきユーザーのセットはグループ
scriptsに関連していませんdba。この場合、現在のすべての DBA を含む「DB スクリプト作成者」グループを作成する必要がありますuser1(user2ただし、そのファイルにアクセスすべきではない将来の DBA は含みません)。
このシナリオでは、答えはおそらく「はい」であり、したがって ACL はまさにこの作業に最適なツールです。
ファイルの ACL の変更は、従来の権限と同様に、すぐに有効になります。ユーザーをグループに追加すると、次回ログインしたときに有効になります。