Configuración de los permisos de nivel de archivo o directorio para recursos compartidos de archivos de Azure
Antes de comenzar este artículo, asegúrese de que ha leído, Asignación de permisos de nivel de recurso compartido a una identidad, para garantizar la vigencia de los permisos en el nivel de recurso compartido con el control de acceso basado en rol (RBAC) de Azure.
Después de asignar los permisos de los recursos compartidos, puede configurar listas de control de acceso (ACL) de Windows, también conocidas como permisos NTFS, en las raíces, los directorios o los archivos. Si bien los permisos de nivel de recurso compartido actúan como un equipo selector de alto nivel que determina si un usuario puede acceder al recurso compartido, las listas de control de acceso de Windows operan en un nivel más pormenorizado para controlar qué operaciones puede hacer un usuario en el nivel de directorio o archivo.
Los permisos de nivel de recurso compartido y de archivo o directorio se aplican cuando un usuario intenta acceder a un archivo o directorio. Si hubiera alguna diferencia entre cualquiera de ellos, solo se aplicará el más restrictivo. Por ejemplo, si un usuario tiene acceso de lectura y escritura en el nivel de archivo, pero solo de lectura en un nivel de recurso compartido, solo podrá leer ese archivo. Y lo mismo sucede a la inversa: si un usuario tuviera acceso de lectura y escritura en el nivel de recurso compartido, pero solo de lectura en el nivel de archivo, solo podría leer el archivo.
Importante
Para configurar las ACL de Windows, necesitará una máquina cliente que ejecute Windows que tenga conectividad de red sin obstáculos al controlador de dominio. Si va a autenticarse con Azure Files mediante Active Directory Domain Services (AD DS) o Microsoft Entra Kerberos para identidades híbridas, esto significa que necesitará conectividad de red sin obstáculos de AD local. Si usa Microsoft Entra Domain Services, la máquina cliente debe tener conectividad de red sin obstáculos a los controladores de dominio del dominio administrado por Microsoft Entra Domain Services, que se encuentran en Azure.
Se aplica a
Tipo de recurso compartido de archivos | SMB | NFS |
---|---|---|
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS | ||
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS | ||
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS |
ACL de Windows admitidas
Azure Files admite el conjunto completo de ACL de Windows básicas y avanzadas.
Usuarios | Definición |
---|---|
BUILTIN\Administrators |
Grupo de seguridad integrado que representa a los administradores del servidor de archivos. Este grupo está vacío y no se puede agregar a nadie. |
BUILTIN\Users |
Grupo de seguridad integrado que representa a los usuarios del servidor de archivos. Incluye NT AUTHORITY\Authenticated Users de manera predeterminada. En el caso de un servidor de archivos tradicional, puede configurar la definición de pertenencia por servidor. Para Azure Files, no hay un servidor de hospedaje, por lo que BUILTIN\Users incluye el mismo conjunto de usuarios que NT AUTHORITY\Authenticated Users . |
NT AUTHORITY\SYSTEM |
La cuenta de servicio del sistema operativo del servidor de archivos. Esta cuenta de servicio no se aplica en el contexto de Azure Files. Se incluye en el directorio raíz para ser coherente con la experiencia del servidor de archivos de Windows para escenarios híbridos. |
NT AUTHORITY\Authenticated Users |
Todos los usuarios de AD que pueden obtener un token de Kerberos válido. |
CREATOR OWNER |
Cada objeto del directorio o archivo tiene un propietario para ese objeto. Si hay ACL asignadas a CREATOR OWNER en ese objeto, el usuario que es propietario de este objeto tiene los permisos para el objeto definido por la ACL. |
Los siguientes permisos están incluidos en el directorio raíz de un recurso compartido de archivos:
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Para más información sobre estos permisos avanzados, consulte la referencia de la línea de comandos para icacls.
Cómo funciona
Hay dos enfoques que puede adoptar para configurar y editar ACL de Windows:
Inicie sesión con el nombre de usuario y la clave de la cuenta de almacenamiento cada vez: cada vez que quiera configurar las ACL, monte el recurso compartido de archivos mediante la clave de la cuenta de almacenamiento en un equipo que tenga conectividad de red sin obstáculos al controlador de dominio.
Configuración de la clave de cuenta de almacenamiento o nombre de usuario único:
Nota:
Esta configuración funciona para los recursos compartidos de archivos recién creados porque cualquier archivo nuevo o directorio heredará el permiso raíz configurado. En el caso de los recursos compartidos de archivos migrados junto con las ACL existentes, o bien si migra algún archivo o directorio local con permisos existentes en un nuevo recurso compartido de archivos, es posible que este enfoque no funcione porque los archivos migrados no heredan la ACL raíz configurada.
- Inicie sesión con un nombre de usuario y una clave de cuenta de almacenamiento en una máquina que tenga conectividad de red sin obstáculos al controlador de dominio y conceda a algunos usuarios (o grupos) permiso para editar permisos en la raíz del recurso compartido de archivos.
- Asigne a esos usuarios el rol RBAC de recursos compartidos de recursos compartidos de SMB de datos de archivos de almacenamiento con privilegios elevados.
- En el futuro, siempre que quiera actualizar las ACL, puede usar uno de esos usuarios autorizados para iniciar sesión desde una máquina que tenga conectividad de red sin obstáculos al controlador de dominio y editar ACL.
Montaje del recurso compartido de archivos mediante la clave de la cuenta de almacenamiento
Antes de configurar las ACL de Windows, primero debe montar el recurso compartido de archivos mediante la clave de la cuenta de almacenamiento. Para ello, inicie sesión en un dispositivo unido a un dominio (como usuario de Microsoft Entra si el origen de AD es Microsoft Entra Domain Services), abra un símbolo del sistema de Windows y ejecute el siguiente comando. Recuerde reemplazar <YourStorageAccountName>
, <FileShareName>
y <YourStorageAccountKey>
por sus valores propios. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. Para encontrar la clave de la cuenta de almacenamiento en Azure Portal, vaya a la cuenta de almacenamiento y seleccione Seguridad y redes>Claves de acceso, o bien puede usar el cmdlet Get-AzStorageAccountKey
de PowerShell.
Es importante que use el comando net use
de Windows para montar el recurso compartido en esta fase, no PowerShell. Si usa PowerShell para montar el recurso compartido, este no será visible para el Explorador de archivos de Windows o cmd.exe, y tendrá dificultades a la hora de configurar las ACL de Windows.
Nota
Es posible que vea la ACL de control total ya aplicada a un rol. Normalmente, esto ya ofrece la posibilidad de asignar permisos. Sin embargo, dado que hay comprobaciones de acceso en dos niveles (el nivel de recurso compartido y el nivel de archivo o directorio), esto está restringido. Solo los usuarios que tengan el rol Colaborador con privilegios elevados de recursos compartidos de SMB de datos de archivos de almacenamiento y creen un archivo o directorio pueden asignar permisos en esos archivos o directorios nuevos sin utilizar la clave de cuenta de almacenamiento. El resto de la asignación de permisos de archivo o directorio requiere primero conectarse al recurso compartido con la clave de cuenta de almacenamiento.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Configuración de ACL de Windows
Las ACL de Windows se pueden configurar con icacls o con el Explorador de archivos de Windows. También puede usar el comando Set-ACL de PowerShell.
Si tiene directorios o archivos en servidores de archivos locales con ACL de Windows configuradas con identidades de AD DS, puede copiarlos en Azure Files, conservando las ACL con herramientas tradicionales de copia de archivos como Robocopy o Azure AzCopy versión 10.4+. Si los directorios y archivos están organizados en niveles en Azure Files a través de Azure File Sync, las ACL se trasladan y conservan en su formato nativo.
Importante
Si usa Microsoft Entra Kerberos como origen de AD, las identidades deben sincronizarse con Microsoft Entra ID para que se apliquen las ACL. Puede establecer ACL de nivel de archivo o directorio para las identidades que no están sincronizadas con Microsoft Entra ID. Sin embargo, estas ACL no se aplicarán porque el vale de Kerberos usado para la autenticación o autorización no contendrá las identidades no sincronizadas. Si usa AD DS local como origen de AD, puede tener identidades no sincronizadas en las ACL. AD DS colocará esos SID en el vale de Kerberos y se aplicarán las ACL.
Configuración de ACL de Windows con icacls
Para conceder permisos completos a todos los directorios y archivos del recurso compartido de archivos, incluido el directorio raíz, ejecute el siguiente comando de Windows desde una máquina que tenga conectividad de red no impedida al controlador de dominio de AD. No olvide reemplazar los valores del marcador de posición en el ejemplo por los suyos propios. Si el origen de AD es Microsoft Entra Domain Services, <user-upn>
será <user-email>
.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Para más información sobre cómo usar icacls para establecer ACL de Windows, así como sobre los distintos tipos de permisos admitidos, vea la referencia de línea de comandos de icacls.
Configuración de ACL de Windows con el Explorador de archivos de Windows
Si ha iniciado sesión en un cliente Windows unido a un dominio, puede usar el Explorador de archivos de Windows para conceder permiso completo a todos los directorios y archivos del recurso compartido de archivos, incluido el directorio raíz.
Importante
Si el cliente no está unido a un dominio o si el entorno tiene varios bosques de AD, no use el Explorador de Windows para configurar las ACL. En su lugar, use icacls. Esto se debe a que la configuración de ACL de Explorador de archivos de Windows requiere que el cliente esté unido al dominio de AD al que está unida la cuenta de almacenamiento.
Siga estos pasos para configurar las ACL mediante el Explorador de archivos de Windows.
- Abra el Explorador de archivos de Windows, haga clic con el botón derecho en el archivo o directorio, y seleccione Propiedades.
- Seleccione la pestaña Seguridad .
- Para cambiar los permisos, seleccione Editar.
- Puede cambiar el permiso de los usuarios existentes o seleccionar Agregar... para conceder permisos a los nuevos usuarios.
- En la ventana del símbolo del sistema para agregar nuevos usuarios, escriba el nombre de usuario de destino al que quiera conceder permisos en el cuadro Escriba los nombres de objeto que desea seleccionar y seleccione Comprobar nombres para buscar el nombre UPN completo del usuario de destino. Es posible que tenga que especificar el nombre de dominio y el GUID de dominio para AD local. Esta información la pueden proporcionar un administrador de dominio o de cliente unido a una instancia local de AD.
- Seleccione Aceptar.
- En la pestaña Seguridad, seleccione todos los permisos que desea conceder al nuevo usuario.
- Seleccione Aplicar.
Paso siguiente
Ahora que ha configurado permisos de directorio y de nivel de archivo, puede montar el recurso compartido.