Megosztás a következőn keresztül:

Címtár- és fájlszintű engedélyek konfigurálása Azure-fájlmegosztásokhoz

  • Cikk

A cikk megkezdése előtt győződjön meg arról, hogy elolvasta a Megosztási szintű engedélyek hozzárendelése identitáshoz című cikket, hogy meggyőződjön arról, hogy a megosztási szintű engedélyek az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) vannak-e érvényben.

A megosztási szintű engedélyek hozzárendelése után konfigurálhatja a Windows hozzáférés-vezérlési listákat (ACL-eket), más néven NTFS-engedélyeket gyökér-, könyvtár- vagy fájlszinten. Míg a megosztási szintű engedélyek magas szintű kapuőrként működnek, amely meghatározza, hogy a felhasználó hozzáfér-e a megosztáshoz, a Windows ACL-ek részletesebben működnek, hogy szabályozni tudják, hogy a felhasználó milyen műveleteket végezhet a címtár vagy a fájl szintjén.

A share-level és a file/directory szintű engedélyek is érvénybe lépnek, amikor egy felhasználó megpróbál hozzáférni egy fájlhoz/könyvtárhoz. Ha van különbség a kettő között, a rendszer csak a legkorlátozóbbat alkalmazza. Ha például egy felhasználó olvasási/írási hozzáféréssel rendelkezik a fájl szintjén, de csak megosztási szinten, akkor csak a fájlt tudja olvasni. Ugyanez igaz, ha fordított: ha egy felhasználó olvasási/írási hozzáféréssel rendelkezik a megosztási szinten, de csak a fájl szintjén olvas, akkor is csak a fájlt tudja olvasni.

Fontos

A Windows ACL-ek konfigurálásához olyan Windows rendszerű ügyfélszámítógépre lesz szüksége, amely nem engedélyezett hálózati kapcsolattal rendelkezik a tartományvezérlővel. Ha Active Directory tartományi szolgáltatások (AD DS) vagy Microsoft Entra Kerberos használatával hitelesíti az Azure Filest a hibrid identitásokhoz, ez azt jelenti, hogy a helyszíni AD-hez akadálytalan hálózati kapcsolatra lesz szüksége. Ha Microsoft Entra Domain Services szolgáltatást használ, akkor az ügyfélszámítógépnek akadálytalan hálózati kapcsolattal kell rendelkeznie az Azure-ban található Microsoft Entra Domain Services által felügyelt tartomány tartományvezérlőihez.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Igen Nem
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Igen Nem
Prémium fájlmegosztások (FileStorage), LRS/ZRS Igen Nem

Azure RBAC-engedélyek

Az alábbi táblázat a konfigurációhoz kapcsolódó Azure RBAC-engedélyeket tartalmazza. Ha az Azure Storage Explorert használja, az Olvasó és az Adatelérés szerepkörre is szüksége lesz a fájlmegosztás olvasásához/eléréséhez.

Megosztási szintű engedély (beépített szerepkör) NTFS-engedély Eredményként kapott hozzáférés
Storage-fájladatok SMB-megosztásának olvasója Teljes vezérlés, Módosítás, Olvasás, Írás, Végrehajtás Olvasás és végrehajtás
Olvasás Olvasás
Storage-fájladatok SMB-megosztásának közreműködője Teljes hozzáférés Módosítás, olvasás, írás, végrehajtás
Módosítás Módosítás
Olvasás és végrehajtás Olvasás és végrehajtás
Olvasás Olvasás
Írás Írás
Storage-fájladatok SMB-megosztásának emelt szintű közreműködője Teljes hozzáférés Módosítás, olvasás, írás, szerkesztés (Engedélyek módosítása), Végrehajtás
Módosítás Módosítás
Olvasás és végrehajtás Olvasás és végrehajtás
Olvasás Olvasás
Írás Írás

Támogatott Windows ACL-ek

Az Azure Files támogatja az alapszintű és speciális Windows ACL-ek teljes készletét.

Felhasználók Definíció
BUILTIN\Administrators A fájlkiszolgáló rendszergazdáinak beépített biztonsági csoportja. Ez a csoport üres, és senki sem vehető fel hozzá.
BUILTIN\Users A fájlkiszolgáló felhasználóit képviselő beépített biztonsági csoport. Alapértelmezés szerint tartalmazza NT AUTHORITY\Authenticated Users . Hagyományos fájlkiszolgálók esetén kiszolgálónként konfigurálhatja a tagság definícióját. Az Azure Files esetében nincs üzemeltetési kiszolgáló, ezért BUILTIN\Users ugyanazokat a felhasználókat tartalmazza, mint NT AUTHORITY\Authenticated Usersa .
NT AUTHORITY\SYSTEM A fájlkiszolgáló operációs rendszerének szolgáltatásfiókja. Az ilyen szolgáltatásfiók nem érvényes az Azure Files-környezetben. A gyökérkönyvtár tartalmazza, hogy konzisztens legyen a Windows Files Server felületével hibrid forgatókönyvek esetén.
NT AUTHORITY\Authenticated Users Az AD minden olyan felhasználója, aki érvényes Kerberos-jogkivonatot tud lekérni.
CREATOR OWNER Minden objektumnak vagy könyvtárnak vagy fájlnak van tulajdonosa az objektumhoz. Ha az objektumhoz CREATOR OWNER ACL-ek vannak hozzárendelve, akkor az objektum tulajdonosának engedélyei vannak az ACL által meghatározott objektumra.

A fájlmegosztás gyökérkönyvtárában a következő engedélyek szerepelnek:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Ezekről a speciális engedélyekről további információt az icacls parancssori hivatkozásában talál.

Hogyan működik?

A Windows ACL-ek konfigurálásának és szerkesztésének két módszere van:

  • Minden alkalommal jelentkezzen be felhasználónévvel és tárfiók kulccsal: Amikor konfigurálni szeretné az ACL-eket, csatlakoztassa a fájlmegosztást a tárfiókkulcsával egy olyan gépre, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlővel.

  • Egyszeri felhasználónév/tárfiókkulcs beállítása:

Feljegyzés

Ez a beállítás az újonnan létrehozott fájlmegosztások esetében működik, mert minden új fájl/könyvtár örökli a konfigurált gyökérengedélyt. A meglévő ACL-ekkel együtt áttelepített fájlmegosztások esetében, vagy ha egy új fájlhasznú meglévő engedélyekkel rendelkező helyszíni fájlt vagy könyvtárat migrál, ez a módszer nem működik, mert az áttelepített fájlok nem öröklik a konfigurált legfelső szintű ACL-t.

  1. Jelentkezzen be felhasználónévvel és tárfiók kulccsal egy olyan gépen, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlővel, és engedélyt ad néhány felhasználónak (vagy csoportnak) a fájlmegosztás gyökerének szerkesztésére.
  2. Rendelje hozzá ezeket a felhasználókat a Storage File Data SMB Share Emelt szintű Közreműködő Azure RBAC-szerepkörhöz.
  3. A jövőben bármikor, amikor frissíteni szeretné az ACL-eket, az egyik jogosult felhasználóval bejelentkezhet egy olyan gépről, amely nem engedélyezett hálózati kapcsolattal rendelkezik a tartományvezérlővel, és szerkesztheti az ACL-eket.

A fájlmegosztás csatlakoztatása a tárfiókkulcs használatával

A Windows ACL-ek konfigurálása előtt először csatlakoztatnia kell a fájlmegosztást a tárfiókkulcs használatával. Ehhez jelentkezzen be egy tartományhoz csatlakoztatott eszközre, nyisson meg egy Windows parancssort, és futtassa a következő parancsot. Ne felejtse el lecserélni <YourStorageAccountName>a , <FileShareName>és <YourStorageAccountKey> a saját értékeit. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A tárfiók kulcsát az Azure Portalon a tárfiókra lépve és a Security + hálózati>hozzáférési kulcsok kiválasztásával, vagy a Get-AzStorageAccountKey PowerShell-parancsmag használatával találja meg.

Fontos, hogy ennél a pontnál a net use Windows parancsot használva csatlakoztassa a megosztást, és ne a PowerShell segítségével. Ha a PowerShell használatával csatlakoztatja a megosztást, akkor a megosztás nem lesz látható a Windows Fájlkezelő vagy cmd.exe, és nehézségekbe ütközik a Windows ACL-ek konfigurálása.

Feljegyzés

Előfordulhat, hogy a teljes hozzáférésű ACL már alkalmazva van egy szerepkörre. Ez az esetek többségében már lehetővé teszi az engedélyek hozzárendelését. Ez azonban korlátozott, mert két szinten (a megosztás és a fájl/könyvtár szintjén) vannak hozzáférés-ellenőrzések. A tárfiókkulcs használata nélkül csak azok a felhasználók rendelhetnek engedélyeket az új fájlokhoz vagy könyvtárakhoz, akik rendelkeznek a Storage-fájladatok SMB-jének emelt szintű közreműködői szerepkörrel, és új fájlt vagy könyvtárat hoznak létre. Minden más fájl-/könyvtárengedély-hozzárendeléshez először a tárfiókkulcs használatával kell csatlakoznia a megosztáshoz.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Windows ACL-ek konfigurálása

A Windows ACL-eket icacls vagy Windows Fájlkezelő használatával konfigurálhatja. A Set-ACL PowerShell parancsot is használhatja.

Fontos

Ha a környezet több AD DS-erdővel rendelkezik, ne használja a Windows Intézőt az ACL-ek konfigurálásához. Használjon inkább icacls-eket.

Ha olyan címtárakkal vagy fájlokkal rendelkezik a helyszíni fájlkiszolgálókon, amelyeken az AD DS-identitásokhoz konfigurált Windows ACL-ek vannak konfigurálva, átmásolhatja őket az Azure Filesba, és a hagyományos fájlmásolási eszközökkel, például a Robocopyval vagy az Azure AzCopy 10.4+-os verziójával őrizheti meg az ACL-eket. Ha a címtárakat és fájlokat az Azure File Syncen keresztül rétegezi az Azure Filesba, az ACL-eket a rendszer a natív formátumban cipeli át és tartja meg.

Windows ACL-ek konfigurálása icacls használatával

Ha teljes körű engedélyeket szeretne biztosítani a fájlmegosztás összes könyvtárának és fájljának eléréséhez, beleértve a gyökérkönyvtárat is, futtassa a következő Windows-parancsot egy olyan gépről, amely rálát az AD tartományvezérlőjére. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire.

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

A Windows ACL-ek icacls használatával történő beállításáról és a különböző támogatott engedélyekről az icacls parancssori útmutatójában tudhat meg többet.

Windows ACL-ek konfigurálása Windows Fájlkezelő

Ha tartományhoz csatlakoztatott Windows-ügyfélre van bejelentkezve, a Windows Fájlkezelő használatával teljes engedélyt adhat a fájlmegosztás alatt lévő összes könyvtárnak és fájlnak, beleértve a gyökérkönyvtárat is. Ha az ügyfél nem csatlakozik tartományhoz, használja az ICACL-eket a Windows ACL-ek konfigurálásához.

  1. Nyissa meg a Windows Fájlkezelő, és kattintson a jobb gombbal a fájlra/könyvtárra, és válassza a Tulajdonságok lehetőséget.
  2. Válassza a Biztonság lapot.
  3. Az engedélyek módosításához válassza a Szerkesztés.. lehetőséget.
  4. Módosíthatja a meglévő felhasználók engedélyeit, vagy a Hozzáadás... lehetőséget választva engedélyeket adhat az új felhasználóknak.
  5. Az új felhasználók hozzáadására szolgáló parancssori ablakban adja meg azt a célnevet, amelyhez engedélyeket szeretne adni az Enter the object names to select box (Az objektumnevek megadása) mezőben, majd a Nevek ellenőrzése gombra kattintva keresse meg a célfelhasználó teljes UPN-nevét.
  6. Kattintson az OK gombra.
  7. A Biztonság lapon válassza ki az összes engedélyt, amelyet meg szeretne adni az új felhasználónak.
  8. Válassza az Alkalmazás lehetőséget.

Következő lépés

Most, hogy engedélyezte és konfigurálta az identitásalapú hitelesítést az AD DS-vel, csatlakoztathat egy fájlmegosztást.