Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ SMB Azure-Dateifreigaben
Bevor Sie mit diesem Artikel beginnen, stellen Sie sicher, dass Sie einer Identität mit Azure Role-Based Access Control (RBAC) Freigabeebenenberechtigungen zuweisen.
Nachdem Sie Zugriffsrechte auf Freigabeebene zugewiesen haben, können Sie Windows-Zugriffssteuerungslisten (ACLs), auch bekannt als NTFS-Berechtigungen, auf Stamm-, Verzeichnis- oder Dateiebene konfigurieren.
Wichtig
Um Windows ACLs für Hybrididentitäten zu konfigurieren, benötigen Sie einen Clientcomputer, auf dem Windows ausgeführt wird und der uneingeschränkte Netzwerkkonnektivität mit dem Domänencontroller hat. Wenn Sie sich bei Azure Files mit Active Directory Domain Services (AD DS) oder Microsoft Entra Kerberos für Hybrididentitäten authentifizieren, benötigen Sie uneingeschränkte Netzwerkkonnektivität mit dem lokalen Active Directory. Wenn Sie Microsoft Entra Domain Services verwenden, muss der Clientcomputer über eine uneinschränkte Netzwerkkonnektivität mit den Domänencontrollern für die Domäne verfügen, die von Microsoft Entra Domain Services verwaltet wird, die sich in Azure befinden. Bei reinen Cloudidentitäten (Vorschau) gibt es keine Abhängigkeit von Domänencontrollern, das Gerät muss jedoch mit der Microsoft Entra-ID verbunden sein.
Zusammenarbeit von Azure RBAC und Windows ACLs
Während Berechtigungen auf Freigabeebene (RBAC) als übergeordneter Gatekeeper fungieren, der bestimmt, ob ein Benutzer auf die Freigabe zugreifen kann, funktionieren Windows ACLs (NTFS-Berechtigungen) auf einer differenzierteren Ebene, um zu steuern, welche Vorgänge der Benutzer auf Verzeichnis- oder Dateiebene ausführen kann.
Wenn ein Benutzer versucht, auf eine Datei oder ein Verzeichnis zuzugreifen, werden berechtigungen auf Freigabeebene und Datei-/Verzeichnisebene erzwungen. Wenn es einen Unterschied zwischen beiden gibt, gilt nur die restriktivste. Wenn ein Benutzer beispielsweise über Lese- und Schreibzugriff auf Dateiebene, aber nur über Schreibzugriff auf Freigabeebene verfügt, kann er diese Datei nur lesen. Die gleiche Regel gilt, wenn die Berechtigungen umgekehrt werden: Wenn ein Benutzer Lese-/Schreibzugriff auf der Freigabeebene hat, aber nur Lesezugriff auf Dateiebene, kann der Benutzer die Datei dennoch nur lesen.
Die folgende Tabelle zeigt, wie die Kombination aus Berechtigungen auf Freigabeebene und Windows ACLs zusammenarbeiten, um den Zugriff auf eine Datei oder ein Verzeichnis in Azure Files zu bestimmen.
| Keine RBAC-Rolle | RBAC – SMB-Freigabe-Lesezugriff | RBAC – SMB-Freigabemitwirkender | RBAC – SMB-Freigabemitwirkender mit erweiterten Rechten | |
|---|---|---|---|---|
| NTFS – Keine | Zugriff verweigert | Zugriff verweigert | Zugriff verweigert | Zugriff verweigert |
| NTFS – Lesen | Zugriff verweigert | Lesen Sie | Lesen Sie | Lesen Sie |
| Zugriff verweigert | Lesen Sie | Lesen Sie | Lesen Sie | |
| NTFS – Listenordner | Zugriff verweigert | Lesen Sie | Lesen Sie | Lesen Sie |
| NTFS – Schreiben | Zugriff verweigert | Lesen Sie | Lesen, Ausführen, Schreiben | Lesen, Schreiben |
| NTFS – Bearbeiten | Zugriff verweigert | Lesen Sie | Lesen, Schreiben, Ausführen, Löschen | Lesen, Schreiben, Ausführen, Löschen, Anwenden von Berechtigungen auf Ihren eigenen Ordner/Dateien |
| NTFS – Vollständig | Zugriff verweigert | Lesen Sie | Lesen, Schreiben, Ausführen, Löschen | Lesen, Schreiben, Ausführen, Löschen, Berechtigungen auf ordner/Dateien einer beliebigen Person anwenden |
Hinweis
Das Übernehmen des Besitzes von Ordnern oder Dateien für die ACL-Konfiguration erfordert eine zusätzliche RBAC-Berechtigung. Mit dem Windows-Berechtigungsmodell für SMB-Administratoren können Sie dies gewähren, indem Sie die integrierte RBAC-Rolle 'Storage File Data SMB Admin' zuweisen, die die takeOwnership Berechtigung enthält.
Unterstützte Windows-ACLs
Azure Files unterstützt alle grundlegenden und erweiterten Windows-ACLs.
| Benutzer | Definition |
|---|---|
BUILTIN\Administrators |
Integrierte Sicherheitsgruppe, die Administratoren des Dateiservers darstellt. Diese Gruppe ist leer, und niemand kann hinzugefügt werden. |
BUILTIN\Users |
Integrierte Sicherheitsgruppe, die Benutzer des Dateiservers darstellt. Es enthält NT AUTHORITY\Authenticated Users standardmäßig. Für einen herkömmlichen Dateiserver können Sie die Mitgliedschaftsdefinition pro Server konfigurieren. Für Azure Files gibt es keinen Hostingserver. Dies umfasst also BUILTIN\Users denselben Satz von Benutzern wie NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Das Dienstkonto des Betriebssystems des Dateiservers. Ein derartiges Dienstkonto ist im Azure Files-Kontext nicht gültig. Es ist im Stammverzeichnis enthalten, um mit der Windows Files Server-Erfahrung für Hybridszenarien konsistent zu sein. |
NT AUTHORITY\Authenticated Users |
Alle Benutzer in AD, die ein gültiges Kerberos-Ticket abrufen können. |
CREATOR OWNER |
Jedes Objekt, entweder Verzeichnis oder Datei, verfügt über einen Besitzer für dieses Objekt. Wenn für dieses Objekt ACLs zugewiesen CREATOR OWNER sind, verfügt der Benutzer, der besitzer dieses Objekts ist, über die Berechtigungen für das von der ACL definierte Objekt. |
Das Stammverzeichnis einer Dateifreigabe umfasst die folgenden Berechtigungen:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Weitere Informationen zu diesen Berechtigungen finden Sie in der Befehlszeilenreferenz für Icacls.
Bereitstellen der Dateifreigabe mit Zugriff auf Administratorebene
Bevor Sie Windows ACLs konfigurieren, stellen Sie die Dateifreigabe mit Zugriff auf Administratorebene bereit. Sie können zwei Ansätze ergreifen:
Verwenden Sie das Windows-Berechtigungsmodell für SMB-Administratoren: Weisen Sie die integrierte RBAC-Rolle Storage File Data SMB Admin zu, die die erforderlichen Berechtigungen für Benutzer enthält, die ACLs konfigurieren. Stellen Sie dann die Dateifreigabe mithilfe der identitätsbasierten Authentifizierung bereit, und konfigurieren Sie ACLs. Dieser Ansatz ist sicherer, weil Ihr Speicherkontoschlüssel nicht zum Einbinden der Dateifreigabe erforderlich ist.
Verwenden Sie den Speicherkontoschlüssel (nicht empfohlen): Verwenden Sie Ihren Speicherkontoschlüssel, um die Dateifreigabe einzugeben und dann ACLs zu konfigurieren. Der Speicherkontoschlüssel ist eine vertrauliche Anmeldeinformation. Verwenden Sie diese Option aus Sicherheitsgründen nur, wenn Sie die identitätsbasierte Authentifizierung nicht verwenden können.
Hinweis
Wenn ein Benutzer über die ACL für Vollzugriff sowie über die Rolle " SMB-Dateidatenfreigabe mit erhöhten Rechten" (oder eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen) verfügt, können sie ACLs konfigurieren, ohne das Windows-Berechtigungsmodell für SMB-Administrator oder den Speicherkontoschlüssel zu verwenden.
Verwenden des Windows-Berechtigungsmodells für SMB-Administratoren
Wir empfehlen die Verwendung des Windows-Berechtigungsmodells für SMB-Administratoren anstelle des Speicherkontoschlüssels. Mit diesem Feature können Sie benutzern den integrierten RBAC-Rollenspeicherdatei-SMB-Administrator zuweisen, sodass sie den Besitz einer Datei oder eines Verzeichnisses übernehmen können, um ACLs zu konfigurieren.
Die RBAC-Rolle "Speicherdateidaten-SMB-Administrator" beinhaltet die folgenden drei Datenaktionen:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Führen Sie die folgenden Schritte aus, um das Windows-Berechtigungsmodell für SMB-Administratoren zu verwenden:
Weisen Sie den Benutzern, die ACLs konfigurieren, die Rolle " SMB-Administrator-RBAC" für Speicherdateidaten zu. Anweisungen zum Zuweisen einer Rolle finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.
Lassen Sie Benutzer und Benutzerinnen die Dateifreigabe mit ihrer Domänenidentität einbinden. Solange die identitätsbasierte Authentifizierung für Ihr Speicherkonto konfiguriert ist, können Sie die Freigabe bereitstellen und Windows-ACLs konfigurieren und bearbeiten, ohne Ihren Speicherkontoschlüssel zu verwenden.
Melden Sie sich bei einem in die Domäne eingebundenen Gerät oder einem Gerät an, das über ungehinderte Netzwerkkonnektivität zu den Domänencontrollern verfügt (als Microsoft Entra-Benutzer, falls Ihre AD-Quelle Microsoft Entra Domain Services ist). Öffnen Sie eine Windows-Eingabeaufforderung, und stellen Sie die Dateifreigabe bereit, indem Sie den folgenden Befehl ausführen. Ersetzen Sie
<YourStorageAccountName>und<FileShareName>durch Ihre eigenen Werte. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben.Verwenden Sie statt PowerShell den Befehl
net use, um die Freigabe in dieser Phase bereitzustellen. Wenn Sie PowerShell zum Bereitstellen der Freigabe verwenden, ist die Freigabe im Datei-Explorer von Windows oder in cmd.exe nicht sichtbar, und Sie bekommen Probleme beim Konfigurieren von Windows-ACLs.net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Bereitstellen der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels (nicht empfohlen)
Warnung
Verwenden Sie nach Möglichkeit das Windows-Berechtigungsmodell für SMB-Administratoren, um die Freigabe bereitzustellen, anstatt den Speicherkontoschlüssel zu verwenden.
Melden Sie sich bei einem in die Domäne eingebundenen Gerät oder einem Gerät an, das über ungehinderte Netzwerkkonnektivität zu den Domänencontrollern verfügt (als Microsoft Entra-Benutzer, falls Ihre AD-Quelle Microsoft Entra Domain Services ist). Öffnen Sie eine Windows-Eingabeaufforderung, und stellen Sie die Dateifreigabe bereit, indem Sie den folgenden Befehl ausführen. Ersetzen Sie <YourStorageAccountName>, <FileShareName> und <YourStorageAccountKey> durch Ihre eigenen Werte. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Zum Ermitteln Ihres Speicherkontoschlüssels können Sie im Azure-Portal zu dem Speicherkonto navigieren und Sicherheit und Netzwerk>Zugriffsschlüssel auswählen oder das PowerShell-Cmdlet Get-AzStorageAccountKey verwenden.
Verwenden Sie statt PowerShell den Befehl net use, um die Freigabe in dieser Phase bereitzustellen. Wenn Sie PowerShell zum Bereitstellen der Freigabe verwenden, ist die Freigabe im Datei-Explorer von Windows oder in cmd.exe nicht sichtbar, und Sie bekommen Probleme beim Konfigurieren von Windows-ACLs.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurieren von Windows-ACLs
Der Prozess zum Konfigurieren von Windows ACLs unterscheidet sich je nachdem, ob Sie hybride oder reine Cloudidentitäten authentifizieren.
Für reine Cloudidentitäten (Vorschau) müssen Sie das Azure-Portal oder PowerShell verwenden. Windows-Datei-Explorer und Icacls werden derzeit nicht für reine Cloudidentitäten unterstützt.
Bei Hybrididentitäten können Sie Windows ACLs mithilfe von Icacls konfigurieren oder den Windows-Datei-Explorer verwenden. Sie können auch das PowerShell-Cmdlet Set-ACL verwenden. Wenn Sie Über Verzeichnisse oder Dateien auf lokalen Dateiservern mit Windows ACLs verfügen, die mit den AD DS-Identitäten konfiguriert sind, können Sie sie in Azure-Dateien kopieren und gleichzeitig die ACLs beibehalten, indem Sie herkömmliche Dateikopietools wie Robocopy oder die neueste Version von Azure AzCopy verwenden. Wenn Sie Verzeichnisse und Dateien über azure File Sync in Azure Files stufen, werden Ihre ACLs in ihrem systemeigenen Format übertragen und beibehalten.
Wichtig
Wenn Sie Microsoft Entra Kerberos zum Authentifizieren von Hybrididentitäten verwenden, müssen die Hybrididentitäten mit Microsoft Entra-ID synchronisiert werden, damit ACLs erzwungen werden können. Sie können ACLs auf Datei- und Verzeichnisebene für Identitäten festlegen, die nicht mit Microsoft Entra ID synchronisiert werden. Diese ACLs werden jedoch nicht erzwungen, da das kerberos-Ticket, das für die Authentifizierung und Autorisierung verwendet wird, nicht die nicht synchronisierten Identitäten enthält. Wenn Sie lokale AD DS als AD-Quelle verwenden, können Sie nicht synchronisierte Identitäten in die ACLs einschließen. AD DS fügt diese SIDs in das Kerberos-Ticket ein, und ACLs werden erzwungen.
Konfigurieren von Windows ACLs mithilfe des Azure-Portals
Wenn Sie Microsoft Entra Kerberos als Identitätsquelle konfiguriert haben, können Sie Windows ACLs pro Entra-Benutzer oder -Gruppe mithilfe des Azure-Portals konfigurieren. Diese Methode funktioniert nur für Hybrid- und Cloudidentitäten, wenn Microsoft Entra Kerberos als Identitätsquelle verwendet wird.
Melden Sie sich mit dieser spezifischen URL beim Azure-Portal an: https://aka.ms/portal/fileperms
Navigieren Sie zu der Dateifreigabe, für die Sie Windows ACLs konfigurieren möchten.
Wählen Sie im Menü "Dienst" die Option "Durchsuchen" aus. Wenn Sie eine ACL im Stammordner festlegen möchten, wählen Sie im oberen Menü " Zugriff verwalten" aus.
Wenn Sie eine ACL für eine Datei oder ein Verzeichnis festlegen möchten, klicken Sie mit der rechten Maustaste auf die Datei oder das Verzeichnis, und wählen Sie dann "Zugriff verwalten" aus.
Nun sollten die verfügbaren Benutzer und Gruppen angezeigt werden. Sie können optional einen neuen Benutzer oder eine neue Gruppe hinzufügen. Wählen Sie ganz rechts neben einem beliebigen Benutzer oder einer Gruppe das Bleistiftsymbol aus, um Berechtigungen für den Benutzer/die Gruppe hinzuzufügen oder zu bearbeiten, um auf die angegebene Datei/das angegebene Verzeichnis zuzugreifen.
Bearbeiten Sie die Berechtigungen. "Verweigern " hat immer Vorrang vor "Zulassen" , wenn beide festgelegt sind. Wenn keines festgelegt ist, werden Standardberechtigungen geerbt.
Wählen Sie "Speichern" aus, um die ACL festzulegen.
Konfigurieren von Windows ACLs für reine Cloudidentitäten mithilfe von PowerShell
Wenn Sie ACLs massenweise cloudbasierten Benutzern zuweisen müssen, können Sie das PowerShell-Modul RestSetAcls verwenden, um den Prozess mithilfe der Azure Files REST-API zu automatisieren.
Wenn Sie beispielsweise eine Stamm-ACL festlegen möchten, die dem reinen Cloudbenutzer testUser@contoso.com Lesezugriff ermöglicht:
$AccountName = "<storage-account-name>" # replace with the storage account name
$AccountKey = "<storage-account-key>" # replace with the storage account key
$context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey
Add-AzFileAce -Context $context -FileShareName test -FilePath "/" -Type Allow -Principal "testUser@contoso.com" -AccessRights Read,Synchronize -InheritanceFlags ObjectInherit,ContainerInherit
Konfigurieren von Windows-ACLs mit „icacls“
Wichtig
Die Verwendung von Icacls funktioniert nicht für reine Cloudidentitäten.
Um uneingeschränkte Berechtigungen für sämtliche Verzeichnisse und Dateien unter der Dateifreigabe (einschließlich des Stammverzeichnisses) zu gewähren, führen Sie den folgenden Windows-Befehl von einem Computer aus, der eine unbehinderte Netzwerkverbindung zum AD-Domänencontroller hat. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen. Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, dann ist <user-upn><user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Weitere Informationen zur Verwendung von „icacls“ zum Festlegen von Windows-ACLs und zu den verschiedenen Arten von unterstützten Berechtigungen finden Sie in der Befehlszeilenreferenz für „icacls“.
Konfigurieren von Windows-ACLs mit dem Windows-Datei-Explorer
Wenn Sie bei einem in eine Domäne eingebundenen Windows-Client angemeldet sind, können Sie den Windows-Datei-Explorer verwenden, um allen Verzeichnissen und Dateien unter der Dateifreigabe, einschließlich des Stammverzeichnisses, vollständige Berechtigungen zu erteilen. Die Verwendung des Datei-Explorers funktioniert nur für Hybrididentitäten; es funktioniert nicht für reine Cloudidentitäten.
Wichtig
Die Verwendung des Windows-Datei-Explorers funktioniert nicht für reine Cloudidentitäten. Wenn Ihr Client nicht mit einer Domäne verbunden ist, oder wenn Ihre Umgebung über mehrere AD-Gesamtstrukturen verfügt, verwenden Sie nicht den Windows-Explorer zum Konfigurieren von ACLs. Stattdessen sollten Sie icacls verwenden. Diese Einschränkung ist vorhanden, da die ACL-Konfiguration des Windows-Datei-Explorers erfordert, dass der Client der AD-Domäne beigetreten ist, zu der das Speicherkonto beigetreten ist.
Führen Sie die folgenden Schritte aus, um ACLs mithilfe des Windows-Datei-Explorers zu konfigurieren.
- Öffnen Sie den Windows-Datei-Explorer, klicken Sie mit der rechten Maustaste auf die Datei oder das Verzeichnis, und wählen Sie "Eigenschaften" aus.
- Wählen Sie die Registerkarte Sicherheit .
- Wählen Sie zum Ändern der Berechtigungen Bearbeiten aus.
- Ändern Sie die Berechtigungen vorhandener Benutzer, oder wählen Sie "Hinzufügen" aus, um neuen Benutzern Berechtigungen zu erteilen.
- Geben Sie im Eingabeaufforderungsfenster zum Hinzufügen neuer Benutzer im Feld Geben Sie die Namen der auszuwählenden Objekte ein den Namen des Zielbenutzers ein, dem Sie die Berechtigung gewähren möchten, und klicken Sie auf Namen überprüfen, um den vollständigen UPN-Namen des Zielbenutzers zu ermitteln. Möglicherweise müssen Sie den Domänennamen und die Domänen-GUID für Ihr lokales AD angeben. Sie können diese Informationen von Ihrem Domänenadministrator oder einem lokalen in AD eingebundenen Client abrufen.
- Wählen Sie OK aus.
- Wählen Sie auf der Registerkarte Sicherheit alle Berechtigungen aus, die Sie dem neuen Benutzer gewähren möchten.
- Wählen Sie Anwenden aus.
Nächster Schritt
Nachdem Sie Die Berechtigungen auf Verzeichnis- und Dateiebene konfiguriert haben, können Sie die SMB-Dateifreigabe unter Windows oder Linux bereitstellen.