Konfigurieren von SMB-Speicherberechtigungen

FSLogix arbeitet mit SMB-Speichersystemen, um Profile- oder ODFC-Container zu speichern. SMB-Speicher wird in Standardkonfigurationen verwendet, bei denen VHDLocations den UNC-Pfad zu den Speicherorten enthält. SMB-Speicheranbieter können auch in Cloudcachekonfigurationen verwendet werden, bei denen CCDLocations anstelle von VHDLocations verwendet wird.

SMB-Speicherberechtigungen basieren auf herkömmlichen NTFS-Access Control Listen (ACL), die auf Datei- oder Ordnerebenen angewendet werden, um die richtige Sicherheit der gespeicherten Daten zu gewährleisten. Bei Verwendung mit Azure Files müssen Sie eine Active Directory-Quelle (AD) aktivieren und der Ressource dann Berechtigungen auf Freigabeebene zuweisen. Es gibt zwei Möglichkeiten, Berechtigungen auf Freigabeebene zu gewähren. Sie können sie bestimmten Azure AD-Benutzer*innen/-Gruppen zuweisen, und Sie können sie allen authentifizierten Identitäten als Standardberechtigung auf Freigabeebene zuweisen.

Vorbereitung

Vor dem Konfigurieren von SMB-Speicherberechtigungen müssen Sie zuerst den SMB-Speicheranbieter erstellt und ordnungsgemäß der richtigen Identitätsstelle für Ihre organization und den Typ des Speicheranbieters zugeordnet haben.

Wichtig

Sie müssen die Prozesse kennen, die erforderlich sind, um Azure Files oder Azure NetApp Files für SMB-Speicher in Ihrer Umgebung zu verwenden.

Azure Files

Die Gliederung enthält die anfänglichen Konzepte, die bei der Verwendung von Azure Files als SMB-Speicheranbieter erforderlich sind. Unabhängig von der ausgewählten Active Directory-Konfiguration empfiehlt es sich, die Standardberechtigung auf Freigabeebene mithilfe des SMB-Freigabemitwirkenden für Speicherdateidaten zu konfigurieren, der allen authentifizierten Identitäten zugewiesen ist. Um die Windows-ACL(s) festlegen zu können, stellen Sie sicher, dass Sie bestimmten Azure AD-Benutzern oder -Gruppen Berechtigungen auf Freigabeebene mit der Rolle SMB-Freigabe mit erhöhten Mitwirkenden für Speicherdateidaten zuweisen, und lesen Sie Konfigurieren von Verzeichnis- und Dateiebenenberechtigungen für SMB.

1. Erstellen Sie eine SMB-Azure-Dateifreigabe.
   • Aktivieren der AD DS-Authentifizierung für Azure-Dateifreigaben
   • Aktivieren der Azure Active Directory Domain Services-Authentifizierung in Azure Files
   • Aktivieren von Azure Active Directory Kerberos-Authentifizierung für hybride Identitäten in Azure Files

Azure NetApp Files

Azure NetApp Files basiert ausschließlich auf Windows-ACL(s).

1. Erstellen Sie ein NetApp-Konto.
2. Grundlegendes zu Richtlinien für Active Directory Domain Services Websiteentwurf und -planung für Azure NetApp Files.
3. Erstellen Sie einen Kapazitätspool für Azure NetApp Files.
4. Erstellen Sie ein SMB-Volume für Azure NetApp Files.

Konfigurieren von Windows-ACL(s)

Windows-ACL(s) sind für die ordnungsgemäße Konfiguration wichtig, sodass nur der Benutzer (CREATOR OWNER) Zugriff auf sein Profilverzeichnis oder seine VHD(x)-Datei hat. Darüber hinaus müssen Sie sicherstellen, dass alle anderen administrativen Gruppen aus betrieblicher Sicht über "Vollzugriff" verfügen. Dieses Konzept wird als benutzerbasierter Zugriff bezeichnet und ist die empfohlene Konfiguration.

Jede SMB-Dateifreigabe verfügt über einen Standardsatz von ACL(s). Diese Beispiele sind die drei (3) häufigsten Typen von SMB-Dateifreigaben und deren Standard-ACL(s).

Dateiserver-ACL(s)	Azure Files Freigabe-ACL(s)	Azure NetApp Files ACL(s)

Wichtig

Das Anwenden von ACL(s) auf Azure-Dateifreigaben erfordert möglicherweise eine (1) von zwei (2) Methoden:

1. Stellen Sie einem Benutzer oder einer Gruppe die Rolle "SMB Share Elevated Contributor" (Speicherdateidaten- SMB-Freigabe mit erhöhten Rechten) unter Speicherkonto oder Dateifreigabe Access Control (IAM) zur Verfügung.
2. Binden Sie die Dateifreigabe mithilfe des Speicherkontoschlüssels ein.

Da Zugriffsprüfungen auf zwei Ebenen (freigabe- und Datei-/Verzeichnisebene) durchgeführt werden, ist die Anwendung von Zugriffssteuerungslisten eingeschränkt. Nur Benutzer, die über die Rolle SMB Share Elevated Contributor (Speicherdateidaten SMB-Freigabe mit erhöhten Rechten) verfügen , können Berechtigungen für den Stamm der Dateifreigabe oder für andere Dateien oder Verzeichnisse zuweisen, ohne den Speicherkontoschlüssel zu verwenden. Für alle anderen Zuweisungen von Datei-/Verzeichnisberechtigungen muss zuerst eine Verbindung mit der Freigabe mithilfe des Speicherkontoschlüssels hergestellt werden.

Empfohlene ACL(s)

In der Tabelle werden die empfohlenen ACL(s) beschrieben, die konfiguriert werden sollen.

Prinzipal	Access	Gilt für:	BESCHREIBUNG
CREATOR OWNER	Ändern (Lese-/Schreibzugriff)	Nur Unterordner und Dateien	Stellt sicher, dass das vom Benutzer erstellte Profilverzeichnis nur für diesen Benutzer über die richtigen Berechtigungen verfügt.
CONTOSO\Domänenadministratoren	Vollzugriff	Dieser Ordner, die Unterordner und Dateien	Ersetzen Sie durch ihre Organisationsgruppe, die für administrative Zwecke verwendet wird.
CONTOSO\Domänenbenutzer	Ändern (Lese-/Schreibzugriff)	Nur dieser Ordner	Ermöglicht autorisierten Benutzern das Erstellen ihres Profilverzeichnisses. Ersetzen Sie durch Organisationsbenutzer, die Zugriff benötigen, um Profile zu erstellen.

Anwenden von Windows-ACLs mithilfe von icacls

Verwenden Sie den folgenden Windows-Befehl, um die empfohlenen Berechtigungen für alle Verzeichnisse und Dateien unter der Dateifreigabe einzurichten, einschließlich des Stammverzeichnisses.

Hinweis

Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Weitere Informationen zur Verwendung von icacls zum Festlegen von Windows-ACLs und zu den verschiedenen unterstützten Berechtigungstypen finden Sie in der Befehlszeilenreferenz für icacls.

Anwenden von Windows-ACL(s) mithilfe von Windows Explorer

Verwenden Sie Windows Explorer, um die empfohlenen Berechtigungen auf alle Verzeichnisse und Dateien unter der Dateifreigabe anzuwenden, einschließlich des Stammverzeichnisses.

1. Öffnen Sie Windows Explorer im Stammverzeichnis der Dateifreigabe.

2. Klicken Sie mit der rechten Maustaste in den geöffneten Bereich im rechten Bereich, und wählen Sie Eigenschaften aus.

3. Wählen Sie die Registerkarte Sicherheit aus.

4. Wählen Sie Erweitert aus.

5. Wählen Sie Vererbung deaktivieren aus.

   Hinweis

   Wenn Sie dazu aufgefordert werden, wurden geerbte Berechtigungen entfernt, anstatt sie zu kopieren.

6. Wählen Sie Hinzufügen aus.

7. Wählen Sie "Prinzipal auswählen" aus.

8. Geben Sie "CREATOR OWNER" ein, und wählen Sie Name überprüfen und dann OK aus.

9. Wählen Sie für "Gilt für:" die Option "Nur Unterordner und Dateien" aus.

10. Wählen Sie für "Grundlegende Berechtigungen:" die Option "Ändern" aus.

11. Klicken Sie auf OK.

12. Wiederholen Sie die Schritte 6 bis 11 basierend auf den empfohlenen Zugriffssteuerungslisten.

13. Wählen Sie OK und erneut OK aus, um die Anwendung der Berechtigungen abzuschließen.

    

Anwenden von Windows-ACL(s) mithilfe der SIDDirSDDL-Konfiguration

Alternativ stellt FSLogix eine Konfigurationseinstellung bereit, die die Windows-ACL(n) im Verzeichnis während des Erstellungsprozesses festlegt. Die SIDDirSDDL-Konfigurationseinstellung akzeptiert eine SDDL-Zeichenfolge , die die ACL(s) definiert, die bei der Erstellung auf das Verzeichnis angewendet werden sollen.

Erstellen der SDDL-Zeichenfolge

1. Erstellen Sie einen Ordner "Test" auf der SMB-Dateifreigabe.

   

2. Ändern Sie die Berechtigungen entsprechend Ihrer organization.

   

3. Öffnen Sie ein PowerShell-Terminal.

4. Geben Sie Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddlein.

   

5. Kopieren Sie die Ausgabe in Editor.

6. Ersetzen Sie O:BAG durch O:%sid% (Legt die SID des Benutzers als Ordnerbesitzer fest).

7. Ersetzen Sie (A;OICIIO;0x1301bf;;;CO) durch (A;OICIIO;0x1301bf;;;%sid%) (Gewährt der SID des Benutzers Änderungsrechte für alle Elemente).

8. Wenden Sie in Ihrer FSLogix-Konfiguration die SIDDirSDDL-Einstellung an.

   • Wertname: SIDDirSDDL
   • Werttyp: REG_SZ
   • Wert:O:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)

9. Wenn sich der Benutzer zum ersten Mal anmeldet, wird sein Verzeichnis mit diesen Berechtigungen erstellt.