Solaris 一般桌上管理系統環境:使用者指南

檔案與資料夾的所有權及安全性

傳統的 UNIX 檔案和資料夾保護系統提供讀取寫入執行許可權給三種類型的使用者:所有者群組其它。 這些稱為基本許可權

存取權控制清單(Access Control List,ACL)對檔案和資料夾許可權提供比基本許可權更大的控制。ACL 能讓您為所有者、所有者的群組、其它及特定使用者和群組定義檔案或資料夾許可權,以及個別為這些類別定義預設許可權。

基本許可權

檔案或資料夾的許可權可以指定檔案或資料夾的存取方式。這些許可權適用於基本使用者類型和 ACL 預設類型,請參閱透過存取權控制清單設定預設許可權 說明。

如果對資料夾沒有寫入權,資料夾的圖示會如此:

Graphic

如果對資料夾沒有讀取或執行許可權,資料夾的圖示會如此:

Graphic

基本使用者類型

對於檔案或資料夾來說,三種基本使用者類型是:

範例

要把資料夾變更為私人資料夾:

要讓每個人使用所建立的物件,但加以保護以免不小心給重寫:

查看檔案或資料夾的許可權

  1. 在「檔案管理員」內,選取要查看其許可權的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift + F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊是預設檢視。

  3. 在「有效」欄為查看檔案或資料夾的基本許可權(r 代表「讀取」許可權,w 代表「寫入」許可權,x 代表「執行」許可權)。

    • 所有者–授予檔案或資料夾所有者的許可權

    • 群組–授予檔案或資料夾群組的許可權

    • 其他–授予所有者和群組以外使用者的許可權


    註解 –

    「許可權」對話方塊的「讀取」、「寫入」和「執行」欄位代表所要求的許可權,可能與實際生效的許可權(顯示於「有效」欄位內)不同。所要求的許可權可能由於遮罩的關係而沒有生效(請參閱許可權遮罩)。


    如果要查看另一個檔案或資料夾的許可權,請選取物件,然後從「選取」功能表選擇「屬性」。如果在指令行鍵入 sdtfprop& 顯示「屬性」對話方塊,可在對話方塊內按一下「瀏覽」,然後選取檔案或資料夾名稱以查看屬性。

修改基本許可權

  1. 在「檔案管理員」內,選取要修改其許可權的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift + F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 按一下勾選方塊設定「所有者」、「群組」和「其它」許可權。

    遮罩限制「群組」許可權,但不影響「所有者」和「其它」許可權。「所有者」、「群組」和「其它」實際的讀取、寫入和執行許可權顯示於「有效的」欄內。

  4. 使用「應用變更於」選項按鈕可選擇變更的範圍。

    對於檔案,選項為「只有這個檔案」(預設)、「上層資料夾中所有的檔案」和「上層資料夾及其子資料夾中所有的檔案」。對於資料夾,選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  5. 在「許可權」對話方塊內按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除「許可權」對話方塊。

    如要修改另一個檔案或資料夾的許可權,請選取物件,然後從「選取」功能表選擇「屬性」。如果在指令行鍵入sdtfprop &顯示「屬性」對話方塊,可在對話方塊內按一下「瀏覽」,然後選取檔案或資料夾名稱修改屬性。

    請參閱許可權遮罩以取得關於遮罩的資料。

變更檔案或資料夾的所有權


註解 –

如果沒有許可權可變更屬性,「許可權」對話方塊的一些控制將不供使用。


  1. 在「檔案管理員」內,選取要修改其所有權的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 如果要變更所有者,請在「所有者」文字欄位鍵入新的所有者名稱。如果要變更所有群組,請在「群組」文字欄位鍵入新的群組名稱。

    唯有在您也是另一群組的成員時,才可指定不同的所有群組,即使並非檔案或資料夾的所有者也可以。

  4. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「套用」以應用設定值,但不消除「許可權」對話方塊。

瀏覽和編輯多個檔案或資料夾的屬性

  1. 在指令行鍵入 sdtfprop& 顯示「屬性」對話方塊。

    唯有從指令行開啟「屬性」對話方塊時,才能編輯「檔案名稱」文字欄位,並按一下「瀏覽」開啟「檔案選擇」對話方塊。

  2. 按一下「瀏覽」或在「檔案名稱」文字欄位鍵入檔案或資料夾的名稱。

  3. 瀏覽或編輯檔案或資料夾的屬性。

  4. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「套用」以套用設定值,並繼續瀏覽和編輯的程序。

存取權控制清單

ACL 能讓您為所有者、所有者的群組、其它及特定使用者和群組定義檔案或資料夾許可權,以及個別為這些類別定義預設許可權。每個檔案或資料夾最多只能設定一個 ACL。一個 ACL 包括 ACL 項目。 每個項目都有一個關聯的使用者類型,跟基本許可權與「所有者」、「群組」或「其它」之間的關聯一樣。

如果要授予某個使用者或群組檔案或資料夾的存取權,請分別使用「所有者」或「群組」類型 ACL 項目。建立 ACL 項目時,必須指定使用者或群組的名稱。 例如,您可使用 ACL 授予朋友讀取履歷表的許可權,但不允許其他人(自己除外)讀取。

如果要建立、修改或查看檔案或資料夾的 ACL,檔案或資料夾必須常駐於 Solaris 2.5 版或以上的伺服器或系統上,而且您必須執行 Solaris 2.5 版或以上的軟體。這類檔案和資料夾稱為具 ACL 能力的檔案和資料夾。要使用「屬性圖形使用者介面」(Graphical User Interface ,GUI)設定、修改和查看基本許可權和 ACL,必須執行 CDE 1.1 版或以上的版本。

Graphic

您必須是檔案或資料夾的所有者才能建立或修改該檔案或資料夾的基本所有權或 ACL。 如非所有者,「屬性」對話方塊內所有欄位都顯示為唯讀。


註解 –

本節的 ACL 術語使用「屬性」GUI內的術語。指令行術語可能稍微不同。


檢視存取權控制清單

  1. 在「檔案管理員」內,選取要查看其「存取權控制清單」(ACL)的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「屬性」對話方塊顯示。

    如檔案或資料夾擁有 ACL,ACL 會顯示在標籤為「存取權控制清單許可權」的捲動清單內。如檔案或資料夾沒有 ACL,則捲動清單會隱藏起來。

    要求欄位會顯示所有者為每個 ACL 項目所要求的許可權。這些許可權受遮罩限制,而實際的 ACL 項目許可權會顯示於「有效」欄位內。請參閱 許可權遮罩 以取得關於遮罩的資料。


    註解 –

    如果要建立、修改或查看檔案或資料夾的 ACL,檔案或資料夾必須常駐於 Solaris 2.5 版或以上的伺服器或系統上,而且您必須執行 Solaris 2.5 版或以上的軟體。


增加存取控制清單項目


註解 –

增加第一個「存取權控制清單」項目會建立「存取權控制清單」。


  1. 在「檔案管理員」內,選取要修改其 ACL 的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 如果「許可權」對話方塊的 ACL 部分未顯示,請按一下「顯示存取權控制清單」。

  4. 按一下「增加」按鈕。

    「新增存取權清單項目」對話方塊顯示。

    Graphic
  5. 從「類型」選項按鈕選取選項。

  6. 在「名稱」欄位內輸入與所選類型關聯的名稱(如果有的話)。

  7. 按一下「許可權」勾選方塊以反應您要的新 ACL 項目值。

    對話方塊底部的狀態行顯示所要求的許可權是否受遮罩限制。

  8. 按一下「增加存取權清單項目」對話方塊內的「增加」。

  9. Use the Apply Changes To option button to choose the scope of the change.

    對於檔案,選項為「只有這個檔案」(預設)、「上層資料夾中所有的檔案」和「上層資料夾及其子資料夾中所有的檔案」。對於資料夾,選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  10. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

變更存取權控制清單項目

  1. 在「檔案管理員」內,選取要變更其 ACL 項目的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 在「存取權控制清單許可權」捲動清單內選取要變更的項目。

  4. 按一下「變更」。

    「變更存取權控制清單項目」對話方塊顯示。

    Graphic
  5. 按一下「許可權」勾選方塊以反應您想要的新 ACL 項目值。

    對話方塊底部的狀態行顯示所要求的許可權是否受遮罩限制。

  6. 在「存取控制清單項目」對話方塊中按一下「變更」按鈕。

  7. 使用「應用變更至」按鈕可選擇變更的範圍。

    對於檔案,選項為「只有這個檔案」(預設)、「上層資料夾中所有的檔案」和「上層資料夾及其子資料夾中所有的檔案」。對於資料夾,選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  8. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

刪除存取權控制清單項目

  1. 在「檔案管理員」內,選取要刪除其 ACL 項目的檔案或資料夾的圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 在「存取權控制清單許可權」捲動清單內選取要移除的項目。

  4. 按一下「刪除」按鈕。

    對話方塊會顯示,要求您確認移除。如果移除四個必要的 ACL 預設項目的任何一個,所有的 ACL 預設項目都會被移除。請參閱透過存取權控制清單設定預設許可權以取得關於必要和選擇性預設 ACL 項目的說明。


    註解 –

    移除所有項目(遮罩除外),會移除整個「存取權控制清單」。


  5. 使用「應用變更至」按鈕可選擇變更的範圍。

    對於檔案,選項為「只有這個檔案」(預設)、「上層資料夾中所有的檔案」和「上層資料夾及其子資料夾中所有的檔案」。對於資料夾,選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  6. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

透過存取權控制清單設定預設許可權

在資料夾內建立檔案或資料夾時,檔案或資料夾會繼承系統管理員所設定的基本許可權。(若要決定目前的預設值,請新建一個檔案或資料夾,然後從「選取」功能表選擇「屬性」,來查看許可權)

您可使用「存取權控制清單」,為建立於資料夾內的任何檔案或資料夾設定預設的基本許可權。資料夾的 ACL 必須包含以下四種必要預設項目類型的項目:「預設所有使用者」、「預設所有群組」、「預設其它」和「預設遮罩」。 一個 ACL 只可包含每種必要類型的一個項目。

檔案或資料夾會繼承建立者對「所有者」、「群組」和「其它」所作的設定,並繼承所在資料夾必要 ACL 預設項目類型的基本許可權。這些類型的 ACL 項目並沒有關聯的名稱。

您也可設定選擇性預設項目類型—預設使用者和預設群組—給在資料夾內建立的任何檔案或資料夾。您可建立任何數目的預設使用者或預設群組 ACL 項目。建立 ACL 項目時,必須指定使用者或群組的名稱。

要放入「預設使用者」或「預設群組」項目的 ACL,必須也包含每種必要項目類型的一個項目。

範例

假如名為 Carla 的使用者的「使用者」和「群組」值分別為 ottootto_staff。 「其它」的值(稱為 otto_other)指 Carla 和 otto_staff 成員以外 Carla 公司的每個人。 Carla 對稱為 Project1 的資料夾建立這些必要的「預設 ACL」:

任何其後放入 Project1 資料夾的檔案或資料夾,都會繼承 Project1 的這些基本許可權:

同時,該檔案或資料夾在「存取權控制清單許可權」捲動清單內,有一項 rw (讀取、寫入)的「遮罩」項目。

如果 Carla 同時給 Project1 資料夾增加一項類型為「預設使用者」(預設群組)的選擇性 ACL,任何其後放入Project1的檔案或資料夾,都會繼承類型為「使用者」(群組)的 ACL。

設定必要的預設項目類型

  1. 在「檔案管理員」內,選取要設定其必要 ACL 預設項目類型的資料夾圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift + F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 如果資料夾沒有定義 ACL,請按一下「顯示存取權控制清單」按鈕。

    如果資料夾有定義 ACL,會在開啟「許可權」對話方塊時顯示。

  4. 按一下「增加」並選取一項類型為「預設所有使用者」、「預設所有群組」、「預設其它」或「預設遮罩」的 ACL 項目。

    訊息會提醒您,其它必要的 ACL 「預設」項目也將增加。

  5. 按一下「許可權」勾選方塊,為「預設」項目設定許可權。

  6. 按一下「增加存取權清單項目」對話方塊內的「增加」。

    其它三項必要的 ACL 「預設」項目會自動建立,同時其許可權設定為不可讀取、不可寫入或不可執行權。

  7. (選擇性的)變更以上自動建立的必要 ACL 預設項目的許可權步驟 6

  8. 使用「應用變更於」選項按鈕可選擇變更的範圍。

    選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  9. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

刪除必要的 ACL 預設項目類型

  1. 在「檔案管理員」內,選取要刪除其 ACL「預設」項目的資料夾圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 選取必要的 ACL 「預設」項目並按一下「刪除」。

    訊息會提醒您,如果刪除其中一項必要的預設 ACL 項目,其它三項也將自動刪除。

  4. 在確認對話方塊內按一下「刪除」。

  5. 使用「應用變更至」按鈕可選擇變更的範圍。

    選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  6. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

設定選擇性的 ACL 預設項目類型

  1. 在「檔案管理員」內,選取要設定選擇性 ACL「預設」項目類型的資料夾圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift + F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 如果資料夾沒有定義 ACL,請按一下「顯示存取權控制清單」按鈕。

    如果資料夾有定義 ACL,會在開啟「許可權」對話方塊時顯示。

  4. 按一下「增加」並選取類型為「預設使用者」或「預設所有群組」的 ACL 項目。

    如果 ACL 不包含必要的預設項目,也會建立必要的預設項目,並設定許可權為不可讀取、不可寫入或不可執行。

  5. 按一下「許可權」勾選方塊,為「預設」項目設定許可權。

  6. 按一下「增加存取權清單項目」對話方塊內的「增加」。

  7. 繼續增加任何數目的類型為「預設使用者」或「預設所有群組」的 ACL 項目。

  8. 使用「應用變更於」選項按鈕可選擇變更的範圍。

    選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  9. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。

許可權遮罩

具 ACL 能力的檔案和資料夾具有遮罩定義,遮罩的預設許可權是檔案或資料夾的群組許可權。遮罩是所有 ACL 項目授予任何使用者的最大可允許許可權,以及「群組」基本許可權。它並不限制所有者或其它基本許可權。 例如,如果檔案遮罩是唯讀的,您必須變更遮罩值才能利用使用者的寫入或執行許可權來建立 ACL。

使用遮罩以迅速限制使用者和群組的許可權。

修改遮罩

  1. 在「檔案管理員」內,選取要修改其遮罩的檔案或資料夾圖示。

  2. 從「檔案管理員」「選取」功能表,或從圖示的即現式功能表(於按 Shift+F10 或滑鼠按鈕 3 時顯示),選擇「屬性」。

    「許可權」對話方塊顯示。

  3. 如果資料夾沒有定義 ACL,請按一下「顯示存取權控制清單」按鈕。

    如果資料夾有定義 ACL,會在開啟「許可權」對話方塊時顯示。

  4. 在「存取權控制清單許可權」捲動清單內選取「遮罩」項目。

    目前的遮罩許可權顯示於「有效」欄位內。

  5. 按一下「變更」按鈕。

  6. 按一下「許可權」勾選方塊以反應您所要的遮罩值。

  7. 在「存取控制清單項目」對話方塊中按一下「變更」按鈕。

  8. 使用「應用變更至」選項按鈕可選擇許可權變更的範圍。

    對於檔案,選項為「只有這個檔案」(預設)、「上層資料夾中所有的檔案」和「上層資料夾及其子資料夾中所有的檔案」。對於資料夾,選項為「只有這個資料夾」(預設)和「此資料夾及其子檔案」。

  9. 按一下「確定」以應用目前的設定值,同時消除對話方塊。按一下「應用」以應用設定值,但不消除對話方塊。