环境：ONTAP 9.6 AD：Windows 2016

　　要求：公司购买一台dm3000h，跑nas存放资料，三个部门，每个部门都需要单独的文件夹，部门之间无法互相访问，并且部门成员只有使用共享文件夹的权限，无共享配置权限。部门内部，不同的成员权限不同。

存储初始化以及创建SVM参考博客内的文章，此次主要以权限配置为主。

CIFS如何加域，参考这里LenovoNetapp ONTAP Select系列教程（四）之配置SMB/CIFS

一，配置基本环境

1，创建部门组织单位，分别是：Finance Department、Sales Department、Technology Department，每个组织单位包含一个组，每个组下有不同人数的成员。各部门的成员加入各自组织单位下的组。

财务部成员

销售部成员

技术部成员

2，创建各部门的共享文件夹，分别是finance、sales、technology

3，打开域控用户管理器，点击Computers，选中CIFS服务器，右键，点击管理。

出现cifs服务器上配置的3个共享文件夹

4，右键单击finance文件夹，点击属性，点击安全标签，单击右下角高级，弹出高级安全设置窗口，

点击左下角添加，单击选择主体，输入组名称：Administrator，单击确定，

在基本权限中，单击完全控制，点击确定。

删除Everyone的权限，点击确定。这样域控的管理员有了对共享文件夹的完全控制权限

5，单击共享权限标签，取消Everyone的完全控制权限

重复上述4-5步，配置其他共享文件夹权限。

二，配置各部门的权限

1，在CIFS服务器管理界面中，打开finance文件夹属性，点击安全标签，单击高级，点击左下角添加，点击选择主体，输入：财务部，单击确定

2，在权限配置栏中，选择相应的权限，此处，我给了除读取权限、更改权限、取得所有权之外的其他权限，正式环境中，根据需求选择即可，如需细分用户权限，看第三部分。

重复上述步骤设置sales、technology的权限

3，测试文件夹权限，由于篇幅关系，我只测试一个组。

登录财务部门的fduser002用户，在浏览器中打开\\cifs，出现三个部门的共享文件夹。

可以正常打开财务部所属的共享文件夹，正常新建，编辑，删除文件，正常新建，删除文件夹。

测试打开销售部门文件夹，提示无权限

测试打开技术部门文件夹，提示无权限

测试用fduser002用户编辑文件夹权限，提示无权限

三，配置独立用户权限

根据上述配置只能统一配置各部门权限，现在要求部门领导可以更改权限，某些用户无法删除文件等等要求。

要求：sduser001是部门领导，需要能更改权限，sduser002是实习生，不能随意删除文件。

1，在sales文件夹的权限中添加sduser001的权限为完全控制

2，在sales文件夹的权限中删除销售组，添加sduser002用户，取消删除权限，因为组的权限级别优先于用户，不删除组，用户权限继承于组，我这里用户就两个，如果用户较多，那么相同的权限放到同一组，不同的权限建立不同的组，这样只加入组即可，不用一个一个的添加用户设置权限

3，在共享权限标签中，添加sduser001，权限为完全控制

4，测试权限

sduser001可以正常编辑权限，赋予user001账号所有权限。

sduser002 无法删除文件和文件夹