Konfigurace oprávnění na úrovni adresáře a souborů pro sdílené složky Azure
Než začnete s tímto článkem, přečtěte si článek Přiřazení oprávnění na úrovni sdílené složky identitě , abyste měli jistotu, že jsou vaše oprávnění na úrovni sdílené složky zavedená pomocí řízení přístupu na základě role v Azure (RBAC).
Po přiřazení oprávnění na úrovni sdílené složky můžete nakonfigurovat seznamy řízení přístupu systému Windows (ACL), označované také jako oprávnění NTFS, na úrovni kořenového adresáře, adresáře nebo souboru. Oprávnění na úrovni sdílené složky sice fungují jako vrátný vysoké úrovně, který určuje, jestli má uživatel přístup ke sdílené složce, ale seznamy ACL systému Windows fungují na podrobnější úrovni a řídí, jaké operace může uživatel provádět na úrovni adresáře nebo souboru.
Oprávnění na úrovni sdílené složky i souboru nebo adresáře se vynucují, když se uživatel pokusí o přístup k souboru nebo adresáři. Pokud je mezi některou z nich rozdíl, použije se pouze ten nejvíce omezující. Pokud má uživatel například přístup pro čtení a zápis na úrovni souboru, ale jen pro čtení na úrovni sdílené složky, může tento soubor jen číst. Totéž platí i v případě, že by byl obrácený: pokud měl uživatel přístup pro čtení a zápis na úrovni sdílené složky, ale jen pro čtení na úrovni souboru, může soubor číst pouze.
Důležité
Ke konfiguraci seznamů ACL systému Windows budete potřebovat klientský počítač s Windows, který má nekompilované síťové připojení k řadiči domény. Pokud se službou Azure Files ověřujete pomocí služby Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Kerberos pro hybridní identity, znamená to, že budete potřebovat nešifrované síťové připojení k místní službě AD. Pokud používáte službu Microsoft Entra Domain Services, klientský počítač musí mít nevýrazné síťové připojení k řadičům domény pro doménu spravovanou službou Microsoft Entra Domain Services, která se nachází v Azure.
Platí pro
| Typ sdílené složky | SMB | NFS |
|---|---|---|
| Sdílené složky úrovně Standard (GPv2), LRS/ZRS |  |
 |
| Sdílené složky úrovně Standard (GPv2), GRS/GZRS | |
|
| Sdílené složky úrovně Premium (FileStorage), LRS/ZRS | |
|
Oprávnění Azure RBAC
Následující tabulka obsahuje oprávnění Azure RBAC související s touto konfigurací. Pokud používáte Průzkumník služby Azure Storage, budete také potřebovat roli Čtenář a Přístup k datům, abyste mohli sdílenou složku číst a přistupovat k němu.
| Oprávnění na úrovni sdílené složky (předdefinovaná role) | Oprávnění NTFS | Výsledný přístup |
|---|---|---|
| Čtenář sdílené složky SMB dat souboru úložiště | Úplné řízení, Úpravy, Čtení, Zápis, Provedení | Čtení a spuštění |
| Přečíst | Přečíst | |
| Přispěvatel sdílené složky SMB dat souboru úložiště | Úplné řízení | Úpravy, čtení, zápis, spuštění |
| Změnit | Změnit | |
| Čtení a spuštění | Čtení a spuštění | |
| Přečíst | Přečíst | |
| Zápis | Write | |
| Přispěvatel sdílené složky SMB dat souboru úložiště s vyššími oprávněními | Úplné řízení | Úpravy, čtení, zápis, úpravy (změna oprávnění), provedení |
| Změnit | Změnit | |
| Čtení a spuštění | Čtení a spuštění | |
| Přečíst | Přečíst | |
| Zápis | Write |
Podporované seznamy ACL windows
Azure Files podporuje úplnou sadu základních a pokročilých seznamů ACL pro Windows.
| Uživatelé | Definice |
|---|---|
BUILTIN\Administrators |
Integrovaná skupina zabezpečení představující správce souborového serveru Tato skupina je prázdná a nikdo do ní nelze přidat. |
BUILTIN\Users |
Integrovaná skupina zabezpečení představující uživatele souborového serveru NT AUTHORITY\Authenticated Users Obsahuje ve výchozím nastavení. U tradičního souborového serveru můžete nakonfigurovat definici členství na server. Pro Azure Files neexistuje hostitelský server, proto BUILTIN\Users zahrnuje stejnou sadu uživatelů jako NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Účet služby operačního systému souborového serveru. Takový účet služby se nevztahuje v kontextu služby Azure Files. Je součástí kořenového adresáře, aby byl konzistentní s prostředím Windows Files Serveru pro hybridní scénáře. |
NT AUTHORITY\Authenticated Users |
Všichni uživatelé ve službě AD, kteří můžou získat platný token Kerberos. |
CREATOR OWNER |
Každý objekt má buď adresář, nebo soubor vlastníka daného objektu. Pokud jsou k CREATOR OWNER tomuto objektu přiřazené seznamy ACL, má uživatel, který je vlastníkem tohoto objektu, oprávnění k objektu definovanému seznamem ACL. |
V kořenovém adresáři sdílené složky jsou zahrnuta následující oprávnění:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Další informace o těchto rozšířených oprávněních najdete v referenčních informacích k příkazovému řádku pro icacls.
Jak to funguje
Ke konfiguraci a úpravám seznamů ACL systému Windows můžete použít dva přístupy:
Přihlaste se pomocí uživatelského jména a klíče účtu úložiště pokaždé: Kdykoli chcete nakonfigurovat seznamy ACL, připojte sdílenou složku pomocí klíče účtu úložiště na počítači, který má bez omezení síťového připojení k řadiči domény.
Nastavení jednorázového uživatelského jména nebo klíče účtu úložiště:
Poznámka:
Toto nastavení funguje u nově vytvořených sdílených složek, protože každý nový soubor nebo adresář zdědí nakonfigurované kořenové oprávnění. U sdílených složek migrovaných spolu s existujícími seznamy ACL nebo pokud migrujete místní soubor nebo adresář s existujícími oprávněními v nové sdílené složce, nemusí tento přístup fungovat, protože migrované soubory nedědí nakonfigurovaný kořenový seznam ACL.
- Přihlaste se pomocí uživatelského jména a klíče účtu úložiště na počítači, který má nešimnuté síťové připojení k řadiči domény, a udělte některým uživatelům (nebo skupinám) oprávnění k úpravám oprávnění v kořenové složce sdílené složky.
- Těmto uživatelům přiřaďte roli Přispěvatel azure RBAC sdílené složky SMB dat úložiště se zvýšenými oprávněními .
- Kdykoli budete chtít aktualizovat seznamy ACL, můžete v budoucnu použít některý z autorizovaných uživatelů k přihlášení z počítače, který má nešimnuté síťové připojení k řadiči domény a upravovat seznamy ACL.
Připojení sdílené složky pomocí klíče účtu úložiště
Před konfigurací seznamů ACL systému Windows musíte nejprve připojit sdílenou složku pomocí klíče účtu úložiště. Uděláte to tak, že se přihlásíte k zařízení připojenému k doméně, otevřete příkazový řádek Windows a spustíte následující příkaz. Nezapomeňte nahradit <YourStorageAccountName>, <FileShareName>a <YourStorageAccountKey> vlastními hodnotami. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem. Klíč účtu úložiště najdete na webu Azure Portal tak, že přejdete na účet úložiště a vyberete Přístupové klíče zabezpečení a sítě>, nebo můžete použít rutinu PowerShelluGet-AzStorageAccountKey.
Je důležité, abyste pro připojení sdílené složky v této fázi použili příkaz net use systému Windows namísto prostředí PowerShell. Pokud ke sdílené složce připojíte PowerShell, nebude sdílená složka viditelná pro Windows Průzkumník souborů nebo cmd.exe a budete mít potíže s konfigurací seznamů ACL systému Windows.
Poznámka:
Seznam ACL úplného řízení se může zobrazit už u role. V takovém případě by obvykle bylo možné přiřazovat oprávnění. Nicméně vzhledem k tomu, že kontroly přístupu existují na dvou úrovních (úroveň sdílené složky a úroveň souboru nebo adresáře), v této fázi to není možné. Oprávnění k těmto novým souborům nebo adresářům můžou přiřazovat jenom uživatelé, kteří mají roli Přispěvatel se zvýšenými oprávněními pro sdílenou složku SMB se zvýšenými oprávněními k datům úložiště a nemají klíč účtu úložiště. Všechna ostatní přiřazení oprávnění k souborům nebo adresářům vyžadují připojení ke sdílené složce pomocí klíče účtu úložiště.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurace seznamů ACL systému Windows
Seznamy ACL pro Windows můžete nakonfigurovat pomocí icacls nebo Windows Průzkumník souborů. Můžete také použít příkaz PowerShellu Set-ACL .
Důležité
Pokud má vaše prostředí více doménových struktur SLUŽBY AD DS, nepoužívejte Průzkumníka Windows ke konfiguraci seznamů ACL. Místo toho použijte icacls.
Pokud máte adresáře nebo soubory na místních souborových serverech s seznamy ACL windows nakonfigurovanými pro identity služby AD DS, můžete je zkopírovat do služby Azure Files a zachovat seznamy ACL pomocí tradičních nástrojů pro kopírování souborů, jako je Robocopy nebo Azure AzCopy verze 10.4 nebo novější. Pokud jsou adresáře a soubory vrstvené do služby Azure Files prostřednictvím Synchronizace souborů Azure, vaše seznamy ACL se přenesou a zachovají v nativním formátu.
Konfigurace seznamů ACL systému Windows pomocí icacls
Pokud chcete udělit úplná oprávnění všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře, spusťte následující příkaz Windows z počítače, který má řadič domény AD na dohled. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Další informace o tom, jak nastavit seznamy ACL systému Windows pomocí icacls, a o různých typech podporovaných oprávnění najdete v referenčních informacích k příkazovému řádku pro icacls.
Konfigurace seznamů ACL systému Windows s Windows Průzkumník souborů
Pokud jste přihlášeni k klientovi Windows připojenému k doméně, můžete pomocí windows Průzkumník souborů udělit úplná oprávnění všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře. Pokud váš klient není připojený k doméně, pro konfiguraci seznamů ACL systému Windows použijte seznam icacl .
- Otevřete windows Průzkumník souborů a klikněte pravým tlačítkem na soubor nebo adresář a vyberte Vlastnosti.
- Vyberte kartu Zabezpečení.
- Chcete-li změnit oprávnění, vyberte Možnost Upravit..
- Můžete změnit oprávnění stávajících uživatelů nebo vybrat Přidat... a udělit oprávnění novým uživatelům.
- V okně výzvy pro přidání nových uživatelů zadejte cílové uživatelské jméno, ke které chcete udělit oprávnění, do pole Zadejte názvy objektů, které se mají zaškrtnout , a výběrem možnosti Zkontrolovat jména vyhledejte úplný název hlavního názvu uživatele (UPN) cílového uživatele.
- Vyberte OK.
- Na kartě Zabezpečení vyberte všechna oprávnění, která chcete novému uživateli udělit.
- Vyberte Použít.
Další krok
Teď, když jste povolili a nakonfigurovali ověřování na základě identity pomocí služby AD DS, můžete připojit sdílenou složku.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro