我们为Mac客户端提供了很大的桑巴共享,包括办公室所需的所有项目文件。所有用户帐户(在Samba主机和Mac客户端上)都在所有系统上使用相同的UID和GUID与我们的Active Directory同步。
要定义访问权限,我们通过setfacl
使用了UnixACL。所有需要的同事都是staff
组的成员。
所以我们用:
chown -R root:"staff@domain.com" Folder/
setfacl -dRm g::rwX Folder/
setfacl -dRm u::rwX Folder/
setfacl -dRm o::- Folder/
setfacl -dRm m::rwX Folder/
因此,每个职员都可以写入/读取/删除文件和文件夹。一切都很好。但是现在我们要创建一个见习生或实习生小组。我们不想让他们完全没有权限,因为我们希望学员像每个员工一样使用文件。但是不希望删除文件。 (也不确定这是否是最佳方法)。
我猜不可能只允许追加,因为大多数文件都是数字或Word文档。学员创建的文件应该对其他所有用户都具有读写能力。
如果没有更复杂的工具(例如selinux或grsecurity),这是否有可能?