Skip to content

用户、组、根路径和权限

go-drive 通过“可见根路径”和“路径权限”两层控制访问:根路径先限制用户能看到的目录范围,路径权限再决定其中哪些路径可读写。

用户和组

在“管理员 → 用户”创建本地用户、修改密码、设置个人根路径并分配组。在“管理员 → 组”创建组、设置组根路径和维护成员。

内置 admin 组拥有管理权限且不受根路径限制。不要把日常用户加入 admin

LDAP 用户会在首次登录时自动创建;配置了 LDAP 组同步后,其成员关系在每次登录时更新,管理界面不会允许手工覆盖这些同步关系。详见LDAP 配置

根路径优先级

根路径填写虚拟目录中的路径,不以 / 开头:

  1. admin 组用户不受限制。
  2. 用户设置了个人根路径时,个人设置优先。
  3. 否则从用户所在组的非空根路径中选择层级最浅的一个。
  4. 都为空时可见全局根目录。
  5. 未登录访问者使用“站点设置 → 匿名用户根路径”。

例如用户属于根路径为 teamteam/design 的两个组,会选择较浅的 team。根路径只改变用户看到的虚拟入口,不会自动授予读写权限。

路径权限

在文件右键菜单(移动端长按)的“权限”中设置某个路径,根路径权限位于“管理员 → 其他”。主体可以是:

  • ANY:所有人,包括未登录用户。
  • 用户。
  • 组。

每条规则包含读、写权限以及接受/拒绝策略。解析原则:

  • 路径越具体优先级越高;没有规则时向父目录查找。
  • 同一匹配层级中,拒绝优先于接受。
  • 用户规则比组规则具体,组规则比 ANY 具体。

权限变更后用匿名窗口和普通测试账号验证,不要只用管理员账号,因为管理员看到的结果不同。

匿名访问

若需要公开只读目录:

  1. 将匿名根路径限制在公开目录。
  2. 在对应路径给 ANY 只授予读取。
  3. 在其他敏感路径显式拒绝。
  4. 验证文件列表、内容、缩略图、搜索和 WebDAV。

web-dav.allow-anonymous 只决定 WebDAV 是否接受匿名请求,路径权限仍会生效。

与挂载的关系

权限绑定虚拟路径。条目挂载到另一个位置后,在挂载位置按新的路径重新匹配权限;原位置权限不会自动跟随。参见路径属性与挂载

基于 MIT 许可证发布。