Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: ✔️ SMB Azure-fájlmegosztások
A cikk megkezdése előtt győződjön meg arról, hogy az Azure szerepköralapú hozzáférés-vezérléssel (RBAC) rendelkező identitáshoz megfelelő megosztási engedélyeket rendel.
A megosztási szintű engedélyek hozzárendelése után konfigurálhatja a Windows hozzáférés-vezérlési listákat (ACL-eket), más néven NTFS-engedélyeket gyökér-, könyvtár- vagy fájlszinten.
Fontos
A Windows ACL-ek konfigurálásához olyan Windows rendszerű ügyfélszámítógépre van szükség, amely nem engedélyezett hálózati kapcsolattal rendelkezik a tartományvezérlővel. Ha az Azure Files-t az Active Directory Domain Services (AD DS) vagy a Microsoft Entra Kerberos használatával hitelesíti hibrid identitások esetében, akadálytalan hálózati kapcsolatra van szüksége a helyszíni AD-hez. A Microsoft Entra Domain Services használata esetén az ügyfélszámítógépnek akadálytalan hálózati kapcsolattal kell rendelkeznie az Azure-ban található Microsoft Entra Domain Services által felügyelt tartomány tartományvezérlőihez.
Az Azure RBAC és a Windows ACL együttes működése
Míg a megosztási szintű engedélyek (RBAC) magas szintű kapuőrként működnek, amely meghatározza, hogy egy felhasználó hozzáfér-e a megosztáshoz, a Windows ACL-ek (NTFS-engedélyek) részletesebben működnek, hogy szabályozni tudják, hogy a felhasználó milyen műveleteket végezhet a címtár vagy a fájl szintjén.
Amikor egy felhasználó megpróbál hozzáférni egy fájlhoz vagy könyvtárhoz, a rendszer a megosztási és a fájl-/címtárszintű engedélyeket is kikényszeríti. Ha van különbség a kettő között, csak a legkorlátozóbb érvényes. Ha például egy felhasználó olvasási/írási hozzáféréssel rendelkezik a fájl szintjén, de csak megosztási szinten, akkor csak a fájlt tudja olvasni. Ugyanez a szabály érvényes az engedélyek megfordítása esetén: ha egy felhasználó olvasási/írási hozzáféréssel rendelkezik a megosztási szinten, de csak a fájl szintjén olvas, akkor is csak a fájlt olvashatja.
Az alábbi táblázat bemutatja, hogyan működik együtt a megosztási szintű engedélyek és a Windows ACL-ek együttes használata egy fájlhoz vagy könyvtárhoz való hozzáférés meghatározásához az Azure Filesban.
| Nincs RBAC-szerepkör | RBAC – SMB-megosztási olvasó | RBAC – SMB-megosztási közreműködő | RBAC – Az SMB-megosztás emelt szintű közreműködője | |
|---|---|---|---|---|
| NTFS – Nincs | Hozzáférés megtagadva | Hozzáférés megtagadva | Hozzáférés megtagadva | Hozzáférés megtagadva |
| NTFS – Olvasás | Hozzáférés megtagadva | Olvasás | Olvasás | Olvasás |
| NTFS – Futtatás és végrehajtás | Hozzáférés megtagadva | Olvasás | Olvasás | Olvasás |
| NTFS – Listamappa | Hozzáférés megtagadva | Olvasás | Olvasás | Olvasás |
| NTFS – Írás | Hozzáférés megtagadva | Olvasás | Olvasás, Végrehajtás, Írás | Olvasás, írás |
| NTFS – Módosítás | Hozzáférés megtagadva | Olvasás | Olvasás, írás, futtatás, törlés | Olvasás, írás, futtatás, törlés, engedélyek alkalmazása saját mappára/fájlokra |
| NTFS – Teljes | Hozzáférés megtagadva | Olvasás | Olvasás, írás, futtatás, törlés | Olvasás, írás, futtatás, törlés, engedélyek alkalmazása bárki mappájára/fájljára |
Feljegyzés
Az ACL-konfiguráció mappáinak vagy fájljainak tulajdonjogához további RBAC-engedély szükséges. Az SMB-rendszergazda Windows-engedélymodelljével ezt a beépített RBAC-szerepkörű Storage File Data SMB-rendszergazda hozzárendelésével teheti meg, amely tartalmazza az takeOwnership engedélyt.
Támogatott Windows ACL-ek
Az Azure Files támogatja az alapszintű és speciális Windows ACL-ek teljes készletét.
| Felhasználók | Definíció |
|---|---|
BUILTIN\Administrators |
A fájlkiszolgáló rendszergazdáinak beépített biztonsági csoportja. Ez a csoport üres, és senki sem vehető fel hozzá. |
BUILTIN\Users |
A fájlkiszolgáló felhasználóit képviselő beépített biztonsági csoport. Alapértelmezés szerint tartalmazza NT AUTHORITY\Authenticated Users . Hagyományos fájlkiszolgálók esetén kiszolgálónként konfigurálhatja a tagság definícióját. Az Azure Files esetében nincs üzemeltetési kiszolgáló, ezért BUILTIN\Users ugyanazokat a felhasználókat tartalmazza, mint NT AUTHORITY\Authenticated Usersa . |
NT AUTHORITY\SYSTEM |
A fájlkiszolgáló operációs rendszerének szolgáltatásfiókja. Az ilyen szolgáltatásfiók nem érvényes az Azure Files-környezetben. A gyökérkönyvtárban található, hogy összhangban legyen a Windows File Server élménnyel hibrid forgatókönyvek esetén. |
NT AUTHORITY\Authenticated Users |
Az Active Directory minden olyan felhasználója, aki érvényes Kerberos-jegyet kaphat. |
CREATOR OWNER |
Minden objektumnak ( könyvtárnak vagy fájlnak) tulajdonosa van az objektumhoz. Ha az objektumhoz CREATOR OWNER ACL-ek vannak hozzárendelve, az objektum tulajdonosának felhasználója rendelkezik az ACL által meghatározott objektum engedélyével. |
A fájlmegosztás gyökérkönyvtára a következő engedélyeket tartalmazza:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Ezekről az engedélyekről további információt az icacls parancssori hivatkozásában talál.
A fájltároló csatlakoztatása rendszergazdai szintű hozzáféréssel
A Windows ACL-ek konfigurálása előtt csatlakoztassa a fájlmegosztást rendszergazdai szintű hozzáféréssel. Kétféleképpen lehet megközelíteni:
Használja a Windows-engedélymodellt az SMB-rendszergazda számára: Rendelje hozzá a beépített RBAC szerepkört, a Storage File Data SMB Admin, amely tartalmazza a szükséges engedélyeket az ACL-eket konfiguráló felhasználók számára. Ezután csatlakoztassa a fájlmegosztást identitásalapú hitelesítéssel , és konfigurálja az ACL-eket. Ez a módszer biztonságosabb, mert nincs szükség a tárfiók kulcsára a fájlmegosztás csatlakoztatásához.
Használja a tárfiókkulcsot (nem ajánlott):A tárfiókkulcs használatával csatlakoztathatja a fájlmegosztást, majd konfigurálhatja az ACL-eket. A tárfiókkulcs bizalmas hitelesítő adat. Biztonsági okokból csak akkor használja ezt a lehetőséget, ha nem tud identitásalapú hitelesítést használni.
Feljegyzés
Ha egy felhasználó rendelkezik teljes hozzáférésű ACL-vel, valamint a Storage File Data SMB-megosztási emelt szintű közreműködői szerepkörrel (vagy a szükséges engedélyekkel rendelkező egyéni szerepkörrel), konfigurálhatja az ACL-eket az SMB-rendszergazda Vagy a tárfiókkulcs Windows-engedélymodelljének használata nélkül.
A Windows-engedélymodell használata SMB-rendszergazda számára
Javasoljuk, hogy a tárfiókkulcs használata helyett használja az SMB-rendszergazda Windows-engedélymodelljét. Ezzel a funkcióval hozzárendelheti a beépített RBAC-szerepkörű Storage File Data SMB-rendszergazdát a felhasználókhoz, lehetővé téve számukra egy fájl vagy könyvtár tulajdonjogát az ACL-ek konfigurálása céljából.
A Storage File Data SMB admin RBAC szerepkör a következő három adatműveletet tartalmazza:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Az SMB-rendszergazda Windows-engedélymodelljének használatához kövesse az alábbi lépéseket:
Az ACL-eket konfiguráló felhasználókhoz rendelje hozzá a Storage File Data SMB Admin RBAC szerepkört. A szerepkörök hozzárendelésével kapcsolatos utasításokért lásd: Azure-szerepkörök hozzárendelése az Azure Portal használatával.
A felhasználók csatlakoztathatják a fájlmegosztást a tartományaik identitásával. Mindaddig, amíg az identitásalapú hitelesítés konfigurálva van a tárfiókhoz, csatlakoztathatja a megosztást, és konfigurálhatja és szerkesztheti a Windows ACL-eket a tárfiókkulcs használata nélkül.
Jelentkezzen be egy tartományhoz csatlakoztatott eszközre vagy olyan eszközre, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlőkkel (Microsoft Entra-felhasználóként, ha az AD-forrás a Microsoft Entra Domain Services). Nyisson meg egy Windows-parancssort, és csatlakoztassa a fájlmegosztást az alábbi parancs futtatásával. Cserélje le a
<YourStorageAccountName>és<FileShareName>értékeket a saját értékeire. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre.A
net useparancs használatával csatlakoztassa a megosztást ebben a szakaszban, ne pedig a PowerShell használatával. Ha a PowerShell használatával csatlakoztatja a megosztást, a megosztás nem látható a Windows Fájlkezelőben vagy a cmd.exe-ben, és nehézségekbe ütközik a Windows ACL-ek konfigurálása.net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
A fájlmegosztás csatlakoztatása a tárfiókkulcs használatával (nem ajánlott)
Figyelmeztetés
Ha lehetséges, használja az SMB-rendszergazda Windows-engedélymodelljét a megosztás csatlakoztatásához a tárfiókkulcs használata helyett.
Jelentkezzen be egy tartományhoz csatlakoztatott eszközre vagy olyan eszközre, amely nem engedélyezett hálózati kapcsolatot létesít a tartományvezérlőkkel (Microsoft Entra-felhasználóként, ha az AD-forrás a Microsoft Entra Domain Services). Nyisson meg egy Windows-parancssort, és csatlakoztassa a fájlmegosztást az alábbi parancs futtatásával. A(z) <YourStorageAccountName>, <FileShareName> és <YourStorageAccountKey> helyett írja be a saját értékeit. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A tárfiók kulcsát az Azure Portalon a tárfiókra lépve és a Security + hálózati, vagy a > PowerShell-parancsmag használatával találja meg.
A net use parancs használatával csatlakoztathatja a megosztást ebben a szakaszban, nem pedig a PowerShell-lel. Ha a PowerShell használatával csatlakoztatja a megosztást, a megosztás nem látható a Windows Fájlkezelőben vagy a cmd.exe-ben, és nehézségeket okoz a Windows ACL-ek konfigurálása.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows ACL-ek konfigurálása
A Windows ACL-eket icacls vagy Windows Fájlkezelő használatával konfigurálhatja. A Set-ACL PowerShell parancsot is használhatja.
Ha rendelkezik címtárakkal vagy fájlokkal a helyszíni fájlkiszolgálókon az AD DS-identitások alapján konfigurált Windows ACL-ekkel, átmásolhatja őket az Azure Filesba, miközben az ACL-eket a hagyományos fájlmásolási eszközök, például a Robocopy vagy az Azure AzCopy v 10.4+ használatával őrizheti meg. Ha az Azure File Syncen keresztül rétegezi a címtárakat és a fájlokat az Azure Filesba, az ACL-ek a natív formátumban lesznek átadva és megmaradnak.
Fontos
Ha a Microsoft Entra Kerberost használja AD-forrásként, az identitásokat szinkronizálni kell a Microsoft Entra-azonosítóval az ACL-ek kényszerítéséhez. Beállíthatja a fájl- és könyvtárszintű ACL-eket olyan identitásokhoz, amelyek nincsenek szinkronizálva a Microsoft Entra-azonosítóval. Ezek az ACL-ek azonban nem lesznek kényszerítve, mert a hitelesítéshez és engedélyezéshez használt Kerberos-jegy nem tartalmazza a nem szinkronizált identitásokat. Ha helyszíni AD DS-t használ AD-forrásként, a nem szinkronizált identitásokat is belefoglalhatja az ACL-be. Az AD DS ezeket az SID-ket a Kerberos-jegybe helyezi, és a rendszer kikényszeríti az ACL-eket.
Windows ACL-ek konfigurálása icacls használatával
Ha teljes körű engedélyeket szeretne adni a fájlmegosztásban lévő összes könyvtárnak és fájlnak, beleértve a gyökérkönyvtárat is, futtassa a következő Windows-parancsot egy olyan gépről, amely nem engedélyezett hálózati kapcsolatot létesít az AD-tartományvezérlővel. Ne felejtse el lecserélni a példában szereplő helyőrző értékeket a saját értékeire. Ha az AD-forrás a Microsoft Entra Domain Services, akkor <user-upn><user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
A Windows ACL-ek icacls használatával történő beállításáról és a különböző támogatott engedélyekről az icacls parancssori útmutatójában tudhat meg többet.
Windows ACL-k konfigurálása a Windows fájlkezelővel
Ha tartományhoz csatlakoztatott Windows-ügyfélbe jelentkezett be, a Windows Fájlkezelővel teljes engedélyt adhat a fájlmegosztás alatt lévő összes könyvtárra és fájlra, beleértve a gyökérkönyvtárat is.
Fontos
Ha a kliens nem csatlakozik tartományhoz, vagy ha a környezetében több AD-erdő van, ne használja a Windows Intézőt az ACL-ek konfigurálásához. Használjon inkább icacls-eket . Ez a korlátozás azért létezik, mert a Windows Fájlkezelő ACL-konfigurációja megköveteli, hogy az ügyfél tartományhoz csatlakozzon ahhoz az AD-tartományhoz, amelyhez a tárfiók csatlakozik.
Az alábbi lépéseket követve konfigurálhatja az ACL-eket a Windows Fájlkezelő használatával.
- Nyissa meg a Windows Fájlkezelőt, kattintson a jobb gombbal a fájlra vagy könyvtárra, és válassza a Tulajdonságok lehetőséget.
- Válassza a Biztonság lapot.
- Az engedélyek módosításához válassza a Szerkesztés.. lehetőséget.
- Módosítsa a meglévő felhasználók engedélyeit, vagy válassza a Hozzáadás... lehetőséget az új felhasználók engedélyeinek megadásához.
- Az új felhasználók hozzáadására szolgáló parancssori ablakban adja meg azt a célnevet, amelyhez engedélyeket szeretne adni az Enter the object names to select box (Az objektumnevek megadása) mezőben, majd a Nevek ellenőrzése gombra kattintva keresse meg a célfelhasználó teljes UPN-nevét. Előfordulhat, hogy tartománynevet és tartomány GUID-t kell megadnia a helyszíni AD-hez. Ezeket az információkat a tartományi rendszergazdától vagy egy helyszíni AD-hez csatlakoztatott ügyféltől szerezheti be.
- Kattintson az OK gombra.
- A Biztonság lapon válassza ki az összes engedélyt, amelyet meg szeretne adni az új felhasználónak.
- Válassza az Alkalmazás lehetőséget.
Következő lépés
Miután konfigurálta a címtár- és fájlszintű engedélyeket, csatlakoztathatja a fájlmegosztást.