我需要授予 user1 和 user2 對此目錄的完全存取權:
drwxr-xr-- 3 oracle dba 4096 feb 9 23:16 scripts
我無法更改 directoy 群組,因為其他使用者存取目錄可能需要該群組,而且我無法將 user1 和 user2 新增至 dba 群組,因為在這種情況下,我會給這些使用者太多的權限。
我知道我可以使用 ACL,但是,ACL 是個好的做法嗎?我認為使用 ACL 會帶來很多混亂,而且您會失控。
我要做的另一件事是建立一個新群組將 dba 群組中的所有使用者新增至這個新群組然後將目錄組更改為這個新組,這是否可以保證所有有權存取該目錄的使用者都將繼續擁有存取權限?
為這兩個使用者授予對此目錄的完全存取權限而不刪除其他已存在使用者的權限的最佳實踐是什麼?
答案1
我認為使用 ACL 會帶來很多混亂,而且您會失控。
我不這麼認為。 (我用和你一樣多的證據來支持我的陳述。)
如果您遇到需要 ACL 的問題,請使用 ACL。
這裡的關鍵問題是:如果將新用戶新增到dba群組中,他們是否需要存取該scripts目錄?
- 如果答案是肯定的,則應有權存取的使用者集應透過引用
scripts提及該群組。dba因此,目錄應該有一個 ACL,允許存取dba群組以及使用者user1和user2.定義第二組「DB 腳本編寫者」包含user1和,並設定允許存取「DB 腳本編寫者」群組user2的 ACL可能會更清晰。scripts - 如果答案是否定的,則應有權存取的使用者集
scripts與該群組無關dba。在這種情況下,您應該建立一個「DB 腳本編寫者」群組,其中包含user1和user2所有目前 DBA(但不包括不應存取該檔案的未來 DBA)。
在這種情況下,答案很可能是肯定的,因此 ACL 正是完成這項工作的正確工具。
更改文件上的 ACL 會立即生效,就像傳統權限一樣。將使用者新增至群組會在下次登入時生效。