Címtár- és fájlszintű engedélyek konfigurálása Azure-fájlmegosztásokhoz
A cikk megkezdése előtt győződjön meg arról, hogy elolvasta a Megosztási szintű engedélyek hozzárendelése identitáshoz című cikket, hogy meggyőződjön arról, hogy a megosztási szintű engedélyek az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) vannak-e érvényben.
A megosztási szintű engedélyek hozzárendelése után konfigurálhatja a Windows hozzáférés-vezérlési listákat (ACL-eket), más néven NTFS-engedélyeket gyökér-, könyvtár- vagy fájlszinten. Míg a megosztási szintű engedélyek magas szintű kapuőrként működnek, amely meghatározza, hogy a felhasználó hozzáfér-e a megosztáshoz, a Windows ACL-ek részletesebben működnek, hogy szabályozni tudják, hogy a felhasználó milyen műveleteket végezhet a címtár vagy a fájl szintjén.
A share-level és a file/directory szintű engedélyek is érvénybe lépnek, amikor egy felhasználó megpróbál hozzáférni egy fájlhoz/könyvtárhoz. Ha van különbség a kettő között, a rendszer csak a legkorlátozóbbat alkalmazza. Ha például egy felhasználó olvasási/írási hozzáféréssel rendelkezik a fájl szintjén, de csak megosztási szinten, akkor csak a fájlt tudja olvasni. Ugyanez igaz, ha fordított: ha egy felhasználó olvasási/írási hozzáféréssel rendelkezik a megosztási szinten, de csak a fájl szintjén olvas, akkor is csak a fájlt tudja olvasni.
Fontos
A Windows ACL-ek konfigurálásához olyan Windows rendszerű ügyfélszámítógépre lesz szüksége, amely nem engedélyezett hálózati kapcsolattal rendelkezik a tartományvezérlővel. Ha Active Directory tartományi szolgáltatások (AD DS) vagy Microsoft Entra Kerberos használatával hitelesíti az Azure Filest a hibrid identitásokhoz, ez azt jelenti, hogy a helyszíni AD-hez akadálytalan hálózati kapcsolatra lesz szüksége. Ha Microsoft Entra Domain Services szolgáltatást használ, akkor az ügyfélszámítógépnek akadálytalan hálózati kapcsolattal kell rendelkeznie az Azure-ban található Microsoft Entra Domain Services által felügyelt tartomány tartományvezérlőihez.
A következőre érvényes:
Fájlmegosztás típusa | SMB | NFS |
---|---|---|
Standard szintű fájlmegosztások (GPv2), LRS/ZRS | ![]() |
![]() |
Standard szintű fájlmegosztások (GPv2), GRS/GZRS | ![]() |
![]() |
Prémium fájlmegosztások (FileStorage), LRS/ZRS | ![]() |
![]() |
Azure RBAC-engedélyek
Az alábbi táblázat a konfigurációhoz kapcsolódó Azure RBAC-engedélyeket tartalmazza. Ha az Azure Storage Explorert használja, az Olvasó és az Adatelérés szerepkörre is szüksége lesz a fájlmegosztás olvasásához/eléréséhez.
Megosztási szintű engedély (beépített szerepkör) | NTFS-engedély | Eredményként kapott hozzáférés |
---|---|---|
Storage-fájladatok SMB-megosztásának olvasója | Teljes vezérlés, Módosítás, Olvasás, Írás, Végrehajtás | Olvasás és végrehajtás |
Olvasás | Olvasás | |
Storage-fájladatok SMB-megosztásának közreműködője | Teljes hozzáférés | Módosítás, olvasás, írás, végrehajtás |
Módosítás | Módosítás | |
Olvasás és végrehajtás | Olvasás és végrehajtás | |
Olvasás | Olvasás | |
Írás | Írás | |
Storage-fájladatok SMB-megosztásának emelt szintű közreműködője | Teljes hozzáférés | Módosítás, olvasás, írás, szerkesztés (Engedélyek módosítása), Végrehajtás |
Módosítás | Módosítás | |
Olvasás és végrehajtás | Olvasás és végrehajtás | |
Olvasás | Olvasás | |
Írás | Írás |
Támogatott Windows ACL-ek
Az Azure Files támogatja az alapszintű és speciális Windows ACL-ek teljes készletét.
Felhasználók | Definíció |
---|---|
BUILTIN\Administrators |
A fájlkiszolgáló rendszergazdáinak beépített biztonsági csoportja. Ez a csoport üres, és senki sem vehető fel hozzá. |
BUILTIN\Users |
A fájlkiszolgáló felhasználóit képviselő beépített biztonsági csoport. Alapértelmezés szerint tartalmazza NT AUTHORITY\Authenticated Users . Hagyományos fájlkiszolgálók esetén kiszolgálónként konfigurálhatja a tagság definícióját. Az Azure Files esetében nincs üzemeltetési kiszolgáló, ezért BUILTIN\Users ugyanazokat a felhasználókat tartalmazza, mint NT AUTHORITY\Authenticated Users a . |
NT AUTHORITY\SYSTEM |
A fájlkiszolgáló operációs rendszerének szolgáltatásfiókja. Az ilyen szolgáltatásfiók nem érvényes az Azure Files-környezetben. A gyökérkönyvtár tartalmazza, hogy konzisztens legyen a Windows Files Server felületével hibrid forgatókönyvek esetén. |
NT AUTHORITY\Authenticated Users |
Az AD minden olyan felhasználója, aki érvényes Kerberos-jogkivonatot tud lekérni. |
CREATOR OWNER |
Minden objektumnak vagy könyvtárnak vagy fájlnak van tulajdonosa az objektumhoz. Ha az objektumhoz CREATOR OWNER ACL-ek vannak hozzárendelve, akkor az objektum tulajdonosának engedélyei vannak az ACL által meghatározott objektumra. |
A fájlmegosztás gyökérkönyvtárában a következő engedélyek szerepelnek:
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Ezekről a speciális engedélyekről további információt az icacls parancssori hivatkozásában talál.
Hogyan működik?
A Windows ACL-ek konfigurálásának és szerkesztésének két módszere van:
Minden alkalommal jelentkezzen be felhasználónévvel és tárfiók kulccsal: Amikor konfigurálni szeretné az ACL-eket, csatlakoztassa a fájlmegosztást a tárfiókkulcsával egy olyan gépre, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlővel.
Egyszeri felhasználónév/tárfiókkulcs beállítása:
Feljegyzés
Ez a beállítás az újonnan létrehozott fájlmegosztások esetében működik, mert minden új fájl/könyvtár örökli a konfigurált gyökérengedélyt. A meglévő ACL-ekkel együtt áttelepített fájlmegosztások esetében, vagy ha egy új fájlhasznú meglévő engedélyekkel rendelkező helyszíni fájlt vagy könyvtárat migrál, ez a módszer nem működik, mert az áttelepített fájlok nem öröklik a konfigurált legfelső szintű ACL-t.
- Jelentkezzen be felhasználónévvel és tárfiók kulccsal egy olyan gépen, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlővel, és engedélyt ad néhány felhasználónak (vagy csoportnak) a fájlmegosztás gyökerének szerkesztésére.
- Rendelje hozzá ezeket a felhasználókat a Storage File Data SMB Share Emelt szintű Közreműködő Azure RBAC-szerepkörhöz.
- A jövőben bármikor, amikor frissíteni szeretné az ACL-eket, az egyik jogosult felhasználóval bejelentkezhet egy olyan gépről, amely nem engedélyezett hálózati kapcsolattal rendelkezik a tartományvezérlővel, és szerkesztheti az ACL-eket.
A fájlmegosztás csatlakoztatása a tárfiókkulcs használatával
A Windows ACL-ek konfigurálása előtt először csatlakoztatnia kell a fájlmegosztást a tárfiókkulcs használatával. Ehhez jelentkezzen be egy tartományhoz csatlakoztatott eszközre, nyisson meg egy Windows parancssort, és futtassa a következő parancsot. Ne felejtse el lecserélni <YourStorageAccountName>
a , <FileShareName>
és <YourStorageAccountKey>
a saját értékeit. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A tárfiók kulcsát az Azure Portalon a tárfiókra lépve és a Security + hálózati>hozzáférési kulcsok kiválasztásával, vagy a Get-AzStorageAccountKey
PowerShell-parancsmag használatával találja meg.
Fontos, hogy ennél a pontnál a net use
Windows parancsot használva csatlakoztassa a megosztást, és ne a PowerShell segítségével. Ha a PowerShell használatával csatlakoztatja a megosztást, akkor a megosztás nem lesz látható a Windows Fájlkezelő vagy cmd.exe, és nehézségekbe ütközik a Windows ACL-ek konfigurálása.
Feljegyzés
Előfordulhat, hogy a teljes hozzáférésű ACL már alkalmazva van egy szerepkörre. Ez az esetek többségében már lehetővé teszi az engedélyek hozzárendelését. Ez azonban korlátozott, mert két szinten (a megosztás és a fájl/könyvtár szintjén) vannak hozzáférés-ellenőrzések. A tárfiókkulcs használata nélkül csak azok a felhasználók rendelhetnek engedélyeket az új fájlokhoz vagy könyvtárakhoz, akik rendelkeznek a Storage-fájladatok SMB-jének emelt szintű közreműködői szerepkörrel, és új fájlt vagy könyvtárat hoznak létre. Minden más fájl-/könyvtárengedély-hozzárendeléshez először a tárfiókkulcs használatával kell csatlakoznia a megosztáshoz.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows ACL-ek konfigurálása
A Windows ACL-eket icacls vagy Windows Fájlkezelő használatával konfigurálhatja. A Set-ACL PowerShell parancsot is használhatja.
Fontos
Ha a környezet több AD DS-erdővel rendelkezik, ne használja a Windows Intézőt az ACL-ek konfigurálásához. Használjon inkább icacls-eket.
Ha olyan címtárakkal vagy fájlokkal rendelkezik a helyszíni fájlkiszolgálókon, amelyeken az AD DS-identitásokhoz konfigurált Windows ACL-ek vannak konfigurálva, átmásolhatja őket az Azure Filesba, és a hagyományos fájlmásolási eszközökkel, például a Robocopyval vagy az Azure AzCopy 10.4+-os verziójával őrizheti meg az ACL-eket. Ha a címtárakat és fájlokat az Azure File Syncen keresztül rétegezi az Azure Filesba, az ACL-eket a rendszer a natív formátumban cipeli át és tartja meg.
Windows ACL-ek konfigurálása icacls használatával
Ha teljes körű engedélyeket szeretne biztosítani a fájlmegosztás összes könyvtárának és fájljának eléréséhez, beleértve a gyökérkönyvtárat is, futtassa a következő Windows-parancsot egy olyan gépről, amely rálát az AD tartományvezérlőjére. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
A Windows ACL-ek icacls használatával történő beállításáról és a különböző támogatott engedélyekről az icacls parancssori útmutatójában tudhat meg többet.
Windows ACL-ek konfigurálása Windows Fájlkezelő
Ha tartományhoz csatlakoztatott Windows-ügyfélre van bejelentkezve, a Windows Fájlkezelő használatával teljes engedélyt adhat a fájlmegosztás alatt lévő összes könyvtárnak és fájlnak, beleértve a gyökérkönyvtárat is. Ha az ügyfél nem csatlakozik tartományhoz, használja az ICACL-eket a Windows ACL-ek konfigurálásához.
- Nyissa meg a Windows Fájlkezelő, és kattintson a jobb gombbal a fájlra/könyvtárra, és válassza a Tulajdonságok lehetőséget.
- Válassza a Biztonság lapot.
- Az engedélyek módosításához válassza a Szerkesztés.. lehetőséget.
- Módosíthatja a meglévő felhasználók engedélyeit, vagy a Hozzáadás... lehetőséget választva engedélyeket adhat az új felhasználóknak.
- Az új felhasználók hozzáadására szolgáló parancssori ablakban adja meg azt a célnevet, amelyhez engedélyeket szeretne adni az Enter the object names to select box (Az objektumnevek megadása) mezőben, majd a Nevek ellenőrzése gombra kattintva keresse meg a célfelhasználó teljes UPN-nevét.
- Kattintson az OK gombra.
- A Biztonság lapon válassza ki az összes engedélyt, amelyet meg szeretne adni az új felhasználónak.
- Válassza az Alkalmazás lehetőséget.
Következő lépés
Most, hogy engedélyezte és konfigurálta az identitásalapú hitelesítést az AD DS-vel, csatlakoztathat egy fájlmegosztást.