我住在意大利,我的互联网服务提供商是 TIM。我的路由器是“TIM HUB”,这是 Technicolor 的品牌产品(产品名称:AGHP,软件版本:AGTHP_1.0.5)。我将一个外部硬盘插入路由器的 USB 端口。我猜想资源是通过 Samba Filesharing 共享的(但我不是专家)。无论如何,我可以访问 HD,查看文件,可以创建、修改和删除其中的许多文件,但有时我无法删除文件,并且会出现权限错误。如果我查看 Windows 中的权限,我会看到有两个名为“S-1-22-1-0”和“S-1-22-2-0”的用户拥有完全控制权,而我的用户没有完全控制权。我无法更改此权限,如果我尝试更改,则会收到错误“无法枚举容器中的对象。访问被拒绝”。我该怎么办?
答案1
这些 SID 的解释可以在注释中找到 Samba 3 用户和组变更:
现在,未映射的用户被分配了 S-1-22-1 域中的 SID,未映射的组被分配了 S-1-22-2 域中的 SID。
然后解释一下您遇到的问题:
举个例子来说明这种变化:
假设存在一个名为 developers 的组,其 UNIX GID 为 782。在这种情况下,该组不存在于 Samba 的组映射表中。该组出现在 ACL 编辑器中是完全正常的。在 Samba-3.0.23 之前,组 SID 可能显示为
S-1-5-21-647511796-4126122067-3123570092-2565。随着 Samba-3.0.23 的发布,组 SID 将被报告为
S-1-22-2-782。如果用户不是该S-1-5-21-647511796-4126122067-3123570092-2565组的成员,则与存储在 Windows NTFS 磁盘分区上的文件相关联的任何安全描述符都不会允许基于组权限进行访问。由于此组 SID 是 ,S-1-22-2-782而不是在用户令牌中报告,
即使两个 SID 在某种程度上都指向同一个 UNIX 组,Windows 仍会无法通过授权检查。
提出的解决方案如下:
对于 3.0.23 之前的 Samba 版本,解决方法是创建一个手动域组映射条目,供组开发人员指向 SID
S-1-5-21-647511796-4126122067-3123570092-2565。
随着 Samba-3.0.23 的发布,不再需要此解决方法。
因此,我认为您的选择是:
- 获取路由器的 SSH 访问权限并修改 Samba 表,以便为 SID 赋予
S-1-22必要的“所有人”权限。这需要对路由器的 Linux 和 Samba 版本有充分的了解,而且肯定会出错。 - 联系您的互联网服务提供商的支持人员。他们可能会指导您进行这些更改,或者会提供固件更新,以便将 Samba 升级到 3.0.23 以上的版本,据说该问题不再存在。Samba 版本 4.x 应该会更好。