Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Sdílené soubory Azure SMB
Než začnete s tímto článkem, ujistěte se, že identitě přiřadíte oprávnění na úrovni sdílení pomocí řízení přístupu na základě rolí Azure (RBAC).
Po přiřazení oprávnění na úrovni sdílené složky můžete nakonfigurovat seznamy řízení přístupu systému Windows (ACL), označované také jako oprávnění NTFS, na úrovni kořenového adresáře, adresáře nebo souboru.
Důležité
Pokud chcete nakonfigurovat seznamy ACL systému Windows pro hybridní identity, potřebujete klientský počítač s operačním systémem Windows, který má bez omezení síťové připojení k řadiči domény. Pokud se ověřujete pomocí služby Azure Files pomocí služby Active Directory Domain Services (AD DS) nebo protokolu Microsoft Entra Kerberos pro hybridní identity, potřebujete nešifrované síťové připojení k místní službě AD. Pokud používáte službu Microsoft Entra Domain Services, klientský počítač musí mít neomezené síťové připojení k řadičům domény, které spravuje služba Microsoft Entra Domain Services a kteří se nacházejí v Azure. U cloudových identit (Preview) není žádná závislost na řadičích domény, ale zařízení musí být připojené k Microsoft Entra ID.
Jak Azure RBAC a Windows ACLs spolupracují
Oprávnění na úrovni sdílené složky (RBAC) sice fungují jako vrátný na vysoké úrovni, který určuje, jestli má uživatel přístup ke sdílené složce, a seznamy ACL systému Windows (oprávnění NTFS) fungují na podrobnější úrovni pro řízení operací, které může uživatel provádět na úrovni adresáře nebo souboru.
Když se uživatel pokusí o přístup k souboru nebo adresáři, jsou vynucena oprávnění na úrovni sdílení i souboru nebo adresáře. Pokud je mezi některou z nich rozdíl, platí pouze ten nejvíce omezující. Pokud má uživatel například přístup pro čtení a zápis na úrovni souboru, ale jen pro čtení na úrovni sdílené složky, může tento soubor jen číst. Stejné pravidlo platí, pokud jsou oprávnění obrácená: pokud má uživatel přístup pro čtení a zápis na úrovni sdílené složky, ale jen pro čtení na úrovni souboru, může soubor číst pouze.
Následující tabulka ukazuje, jak kombinace oprávnění na úrovni sdílené složky a seznamů ACL systému Windows spolupracují a určují přístup k souboru nebo adresáři ve službě Azure Files.
| RBAC: Žádná role | RBAC – Čtečka sdílených složek SMB | RBAC – Přispěvatel sdílení SMB | RBAC – Přispěvatel se zvýšenými oprávněními sdílené složky SMB | |
|---|---|---|---|---|
| NTFS – Žádný | Přístup odepřen | Přístup odepřen | Přístup odepřen | Přístup odepřen |
| NTFS – čtení | Přístup odepřen | Čti | Čti | Čti |
| NTFS – Spuštění a spuštění | Přístup odepřen | Čti | Čti | Čti |
| NTFS – Složka seznamu | Přístup odepřen | Čti | Čti | Čti |
| NTFS – zápis | Přístup odepřen | Čti | Čtení, spuštění, zápis | Čtení, zápis |
| NTFS – Úprava | Přístup odepřen | Čti | Přečíst, Zapsat, Spustit, Odstranit | Čtení, zápis, spuštění, odstranění, použití oprávnění pro vlastní složku nebo soubory |
| NTFS – úplná | Přístup odepřen | Čti | Přečíst, Zapsat, Spustit, Odstranit | Čtení, zápis, spuštění, odstranění, použití oprávnění u složek a souborů každého uživatele |
Poznámka:
Převzetí vlastnictví složek nebo souborů pro konfiguraci ACL vyžaduje další oprávnění RBAC. S modelem oprávnění systému Windows pro správce SMB to můžete udělit přiřazením integrované role RBAC Správce smb souborů úložiště dat, která zahrnuje takeOwnership oprávnění.
Podporované seznamy řízení přístupu (ACL) Windows
Azure Files podporuje úplnou sadu základních a pokročilých seznamů ACL pro Windows.
| Uživatelé | Definice |
|---|---|
BUILTIN\Administrators |
Integrovaná skupina zabezpečení představující správce souborového serveru Tato skupina je prázdná a nikdo do ní nelze přidat. |
BUILTIN\Users |
Integrovaná skupina zabezpečení představující uživatele souborového serveru Ve výchozím nastavení obsahuje NT AUTHORITY\Authenticated Users. U tradičního souborového serveru můžete nakonfigurovat definici členství na server. Pro Azure Files neexistuje hostitelský server, takže BUILTIN\Users zahrnuje stejnou sadu uživatelů jako NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Účet služby operačního systému souborového serveru. Takový účet služby se nevztahuje v kontextu služby Azure Files. Je součástí kořenového adresáře, aby byl konzistentní s prostředím Windows Files Serveru pro hybridní scénáře. |
NT AUTHORITY\Authenticated Users |
Všichni uživatelé ve službě AD, kteří můžou získat platný lístek Kerberos. |
CREATOR OWNER |
Každý objekt, adresář nebo soubor, má pro tento objekt vlastníka. Pokud jsou k CREATOR OWNER tomuto objektu přiřazené seznamy ACL, má uživatel, který je vlastníkem tohoto objektu, oprávnění k objektu definovanému seznamem ACL. |
Kořenový adresář sdílené složky obsahuje následující oprávnění:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Další informace o těchto oprávněních najdete v referenčních informacích příkazového řádku pro icacls.
Připojte sdílenou složku s přístupem na úrovni správce
Před konfigurací ACL systému Windows připojte sdílený soubor s přístupem na úrovni správce. Můžete použít dva přístupy:
Použijte model oprávnění systému Windows pro administrátora SMB (doporučeno):: Přiřaďte předdefinovanou roli Storage File Data SMB Admin, která zahrnuje požadovaná oprávnění pro uživatele, kteří konfigurují seznamy ACL. Pak připojte sdílenou složku pomocí ověřování na základě identity a nakonfigurujte ACL. Tento přístup je bezpečnější, protože k připojení sdílené složky nevyžaduje klíč účtu úložiště.
Použijte klíč účtu úložiště (méně zabezpečený):: Pomocí klíče účtu úložiště připojte sdílenou složku a pak nakonfigurujte seznamy ACL. Klíč účtu úložiště je citlivé přihlašovací údaje. Z bezpečnostních důvodů tuto možnost použijte jenom v případě, že nemůžete použít ověřování založené na identitách.
Poznámka:
Pokud má uživatel ACL Úplné řízení a také roli Vyšší přispěvatel datového souboru sdíleného SMB (nebo vlastní roli s potřebnými oprávněními), může konfigurovat ACL bez použití modelu oprávnění Windows pro správu SMB nebo klíče úložiště.
Použití modelu oprávnění Windows pro správce SMB
Místo použití klíče účtu úložiště doporučujeme použít model oprávnění systému Windows pro správce PROTOKOLU SMB. Tato funkce umožňuje přiřadit uživatelům zabudovanou roli RBAC Správce souboru pro úložiště dat SMB, což jim umožňuje převzít vlastnictví souboru nebo adresáře za účelem konfigurace seznamů ACL.
Role Správce dat SMB souboru úložiště RBAC zahrnuje následující tři akce s daty:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Pokud chcete použít model oprávnění systému Windows pro správce SMB, postupujte takto:
Přiřaďte uživatelům, kteří konfigurují seznamy ACL, roli Storage File Data SMB Admin RBAC. Pokyny k přiřazení role najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Požádejte uživatele, aby sdílenou složku připojili pomocí své identity domény. Pokud je pro účet úložiště nakonfigurované ověřování založené na identitě , můžete připojit sdílenou složku a nakonfigurovat a upravit seznamy ACL systému Windows bez použití klíče účtu úložiště.
Přihlaste se k zařízení připojenému k doméně nebo k zařízení, které má neomezené síťové připojení k řadičům domény (jako uživatel služby Microsoft Entra, pokud je vaším zdrojem služba Microsoft Entra Domain Services). Otevřete příkazový řádek systému Windows a připojte sdílenou složku spuštěním následujícího příkazu. Nahraďte
<YourStorageAccountName>a<FileShareName>nahraďte vlastními hodnotami. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem.Pomocí příkazu
net usepřipojte sdílenou složku v této fázi, nikoli PowerShell. Pokud použijete PowerShell k připojení sdílené složky, tato složka nebude viditelná v Průzkumníku souborů Windows ani v cmd.exe a může být obtížné konfigurovat seznamy ACL systému Windows.net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Připojte sdílenou složku pomocí klíče účtu úložiště (nedoporučuje se)
Výstraha
Pokud je to možné, připojte sdílenou složku místo klíče účtu úložiště pomocí modelu oprávnění windows pro správce PROTOKOLU SMB .
Přihlaste se k zařízení připojenému k doméně nebo k zařízení, které má neomezené síťové připojení k řadičům domény (jako uživatel služby Microsoft Entra, pokud je vaším zdrojem služba Microsoft Entra Domain Services). Otevřete příkazový řádek systému Windows a připojte sdílenou složku spuštěním následujícího příkazu. Nahraďte <YourStorageAccountName>, <FileShareName> a <YourStorageAccountKey> svými vlastními hodnotami. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem. Klíč účtu úložiště najdete na webu Azure Portal tak, že přejdete na účet úložiště a vyberete >, nebo můžete použít rutinu PowerShellu.
Pomocí příkazu net use připojte sdílenou složku v této fázi, nikoli PowerShell. Pokud použijete PowerShell k připojení sdílené složky, tato složka nebude viditelná v Průzkumníku souborů Windows ani v cmd.exe a může být obtížné konfigurovat seznamy ACL systému Windows.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurace přístupových seznamů (ACL) systému Windows
Proces konfigurace seznamů ACL pro Windows se liší v závislosti na tom, jestli ověřujete hybridní nebo cloudové identity.
Pro cloudové identity (Preview) musíte použít Azure Portal nebo PowerShell. Průzkumník souborů Windows a icacls nejsou v současné době podporovány pro identity pouze v cloudu.
Pro hybridní identity můžete nakonfigurovat seznamy ACL systému Windows pomocí icacls nebo můžete použít Průzkumníka souborů Systému Windows. Můžete také použít příkaz PowerShellu Set-ACL . Pokud máte adresáře nebo soubory na místních souborových serverech s seznamy ACL systému Windows nakonfigurovanými pro identity služby AD DS, můžete je zkopírovat do služby Azure Files a zachovat seznamy ACL pomocí tradičních nástrojů pro kopírování souborů, jako je Robocopy nebo nejnovější verze Azure AzCopy. Pokud vrstvíte adresáře a soubory do služby Azure Files prostřednictvím Synchronizace souborů Azure, přenesou se seznamy ACL a zachovají se v nativním formátu.
Důležité
Pokud k ověřování hybridních identit používáte protokol Microsoft Entra Kerberos, musí se hybridní identity synchronizovat s MICROSOFT Entra ID, aby bylo možné vynutit seznamy ACL. Seznamy ACL na úrovni souborů a adresářů můžete nastavit pro identity, které se nesynchronizují s ID Microsoft Entra. Tyto seznamy ACL se ale nevynucují, protože ticket Kerberos používaný k ověřování a autorizaci neobsahuje identity, které nejsou synchronizovány. Pokud jako zdroj služby AD používáte místní službu AD DS, můžete do seznamů přístupových oprávnění (ACL) zahrnout nesynchronizované identity. Služba AD DS vloží tyto identifikátory SID do lístku Kerberos a seznamy ACL jsou vynucovány.
Konfigurace seznamů ACL pro Windows pomocí webu Azure Portal
Pokud máte jako zdroj identity nakonfigurovaný protokol Microsoft Entra Kerberos, můžete nakonfigurovat seznamy ACL systému Windows na uživatele nebo skupinu Entra pomocí webu Azure Portal. Tato metoda funguje pro hybridní i cloudové identity pouze v případě, že se jako zdroj identity používá Protokol Kerberos Microsoft Entra.
Přihlaste se k webu Azure Portal pomocí této konkrétní adresy URL: https://aka.ms/portal/fileperms
Přejděte do sdíleného souboru, pro který chcete konfigurovat ACL systému Windows.
V nabídce služby vyberte Procházet. Pokud chcete nastavit seznam ACL v kořenové složce, v horní nabídce vyberte Spravovat přístup .
Chcete-li nastavit seznam ACL pro soubor nebo adresář, klikněte pravým tlačítkem myši na soubor nebo adresář a pak vyberte Spravovat přístup.
Teď byste měli vidět dostupné uživatele a skupiny. Volitelně můžete přidat nového uživatele nebo skupinu. Pokud chcete přidat nebo upravit oprávnění pro přístup k zadanému souboru nebo adresáři, vyberte ikonu tužky úplně vpravo od libovolného uživatele nebo skupiny.
Upravte oprávnění. Odepření má vždy přednost před možnostmi Povolit , pokud jsou obě nastavené. Pokud nejsou nastavená žádná, zdědí se výchozí oprávnění.
Chcete-li nastavit seznam ACL, vyberte Uložit .
Konfigurace seznamů řízení přístupu (ACL) v systému Windows pro cloudové identity pouze pomocí PowerShellu
Pokud potřebujete hromadně přiřadit seznamy ACL výhradně cloudovým uživatelům, můžete pomocí modulu PowerShell RestSetAcls automatizovat proces pomocí rozhraní REST API služby Soubory Azure.
Pokud například chcete nastavit kořenový ACL, který umožní pouze cloudovému uživateli testUser@contoso.com přístup pro čtení:
$AccountName = "<storage-account-name>" # replace with the storage account name
$AccountKey = "<storage-account-key>" # replace with the storage account key
$context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey
Add-AzFileAce -Context $context -FileShareName test -FilePath "/" -Type Allow -Principal "testUser@contoso.com" -AccessRights Read,Synchronize -InheritanceFlags ObjectInherit,ContainerInherit
Konfigurace přístupových seznamů ACL ve Windows pomocí příkazu icacls
Důležité
Použití icacls nefunguje u cloudových identit.
Pokud chcete udělit úplná oprávnění všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře, spusťte následující příkaz Windows z počítače, který má bez omezení síťového připojení k řadiči domény AD. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami. Pokud je zdrojem ad služba Microsoft Entra Domain Services, pak <user-upn> je <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Další informace o tom, jak nastavit seznamy ACL systému Windows pomocí icacls, a o různých typech podporovaných oprávnění najdete v referenčních informacích k příkazovému řádku pro icacls.
Konfigurace seznamů ACL systému Windows pomocí Průzkumníka Windows
Pokud jste přihlášení k klientovi Windows připojenému k doméně, můžete pomocí Průzkumníka souborů Systému Windows udělit úplná oprávnění ke všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře. Použití Průzkumníka souborů funguje pouze pro hybridní identity; nefunguje u cloudových identit.
Důležité
Použití Průzkumníka souborů Windows nefunguje u cloudových identit. Pokud váš klient není připojený k doméně nebo pokud má vaše prostředí více doménových struktur AD, nepoužívejte Průzkumníka Windows ke konfiguraci seznamů ACL. Místo toho použijte icacls . Toto omezení existuje, protože konfigurace seznamu ACL Průzkumníka souborů systému Windows vyžaduje, aby byl klient připojený k doméně AD, ke které je účet úložiště připojený.
Chcete-li nakonfigurovat seznamy řízení přístupu pomocí Průzkumníka souborů Windows, postupujte podle těchto kroků.
- Otevřete Průzkumníka souborů Windows, klikněte pravým tlačítkem na soubor nebo adresář a vyberte Vlastnosti.
- Vyberte kartu Zabezpečení.
- Chcete-li změnit oprávnění, vyberte Možnost Upravit..
- Změňte oprávnění stávajících uživatelů nebo vyberte Přidat... a udělte oprávnění novým uživatelům.
- V okně výzvy pro přidání nových uživatelů zadejte cílové uživatelské jméno, ke které chcete udělit oprávnění, do pole Zadejte názvy objektů, které se mají zaškrtnout , a výběrem možnosti Zkontrolovat jména vyhledejte úplný název hlavního názvu uživatele (UPN) cílového uživatele. Možná budete muset zadat název domény a identifikátor GUID domény pro vaši místní službu AD. Tyto informace můžete získat od správce domény nebo od místního klienta připojeného k AD.
- Vyberte OK.
- Na kartě Zabezpečení vyberte všechna oprávnění, která chcete novému uživateli udělit.
- Vyberte Použít.
Další krok
Po konfiguraci oprávnění k adresáři a úrovni souborů můžete připojit sdílenou složku SMB ve Windows nebo Linuxu.