我需要授予 user1 和 user2 对此目录的完全访问权限:
drwxr-xr-- 3 oracle dba 4096 feb 9 23:16 scripts
我无法更改 directoy 组,因为其他用户访问目录可能需要该组,并且我无法将 user1 和 user2 添加到 dba 组,因为在这种情况下,我会给这些用户提供太多权限。
我知道我可以使用 ACL,但是,ACL 是一个好的做法吗?我认为使用 ACL 会带来很多混乱,并且您会失去控制。
我要做的另一件事是创建一个新组将 dba 组中的所有用户添加到这个新组然后将目录组更改为这个新组,这是否可以保证所有有权访问该目录的用户都将继续拥有访问权限?
为这两个用户授予对此目录的完全访问权限而不删除其他已存在用户的权限的最佳实践是什么?
答案1
我认为使用 ACL 会带来很多混乱,并且您会失去控制。
我不这么认为。 (我用和你一样多的证据来支持我的陈述。)
如果您遇到需要 ACL 的问题,请使用 ACL。
这里的关键问题是:如果将新用户添加到dba组中,他们是否需要访问该scripts目录?
- 如果答案是肯定的,则应有权访问的用户集应通过引用
scripts提及该组。dba因此,目录应该有一个 ACL,允许访问dba组以及用户user1和user2.定义第二组“DB 脚本编写者”包含user1和,并设置允许访问“DB 脚本编写者”组user2的 ACL可能会更清晰。scripts - 如果答案是否定的,则应有权访问的用户集
scripts与该组无关dba。在这种情况下,您应该创建一个“DB 脚本编写者”组,其中包含user1所有user2当前 DBA(但不包括不应访问该文件的未来 DBA)。
在这种情况下,答案很可能是肯定的,因此 ACL 正是完成这项工作的正确工具。
更改文件上的 ACL 会立即生效,就像传统权限一样。将用户添加到组会在下次登录时生效。