Mengonfigurasi izin direktori dan tingkat file untuk berbagi file Azure
Sebelum memulai artikel ini, pastikan Anda telah membaca Tetapkan izin tingkat berbagi ke identitas untuk memastikan bahwa izin tingkat berbagi Anda di tempat dengan kontrol akses berbasis peran (RBAC) Azure.
Setelah menetapkan izin tingkat berbagi, Anda dapat mengonfigurasi daftar kontrol akses (ACL) Windows, yang juga dikenal sebagai izin NTFS, di tingkat akar, direktori, atau file. Meskipun izin tingkat berbagi bertindak sebagai penjaga gerbang tingkat tinggi yang menentukan apakah pengguna dapat mengakses berbagi, ACL Windows beroperasi pada tingkat yang lebih terperinci untuk mengontrol operasi apa yang dapat dilakukan pengguna di tingkat direktori atau file.
Izin tingkat berbagi dan tingkat file/direktori diberlakukan saat pengguna mencoba mengakses file/direktori. Jika ada perbedaan di antara keduanya, hanya yang paling ketat yang akan diterapkan. Misalnya, jika pengguna memiliki akses baca/tulis di tingkat file, tetapi hanya membaca pada tingkat berbagi, maka mereka hanya dapat membaca file tersebut. Hal yang sama akan berlaku jika dibalik: jika pengguna memiliki akses baca/tulis di tingkat berbagi, tetapi hanya membaca di tingkat file, mereka masih hanya dapat membaca file.
Penting
Untuk mengonfigurasi ACL Windows, Anda memerlukan komputer klien yang menjalankan Windows yang memiliki konektivitas jaringan tak terbatas ke pengendali domain. Jika Anda mengautentikasi dengan Azure Files menggunakan Active Directory Domain Services (AD DS) atau Microsoft Entra Kerberos untuk identitas hibrid, ini berarti Anda memerlukan konektivitas jaringan tak terbatas ke AD lokal. Jika Anda menggunakan Microsoft Entra Domain Services, komputer klien harus memiliki konektivitas jaringan yang tidak tertandingi ke pengontrol domain untuk domain yang dikelola oleh Microsoft Entra Domain Services, yang terletak di Azure.
Berlaku untuk
| Jenis berbagi File | SMB | NFS |
|---|---|---|
| Berbagi file standar (GPv2), LRS/ZRS |  |
 |
| Berbagi file standar (GPv2), GRS/GZRS | |
|
| Berbagi file premium (FileStorage), LRS/ZRS | |
|
Izin Azure RBAC
Tabel berikut berisi izin Azure RBAC yang terkait dengan konfigurasi ini. Jika Anda menggunakan Azure Storage Explorer, Anda juga memerlukan peran Pembaca dan Akses Data untuk membaca/mengakses berbagi file.
| Izin tingkat berbagi (peran bawaan) | Izin NTFS | Akses yang dihasilkan |
|---|---|---|
| Pembaca Berbagi SMB Data File Penyimpanan | Kontrol penuh, Ubah, Baca, Tulis, Eksekusi | Baca & eksekusi |
| Baca | Baca | |
| Kontributor Berbagi SMB Data File Penyimpanan | Kontrol penuh | Ubah, Baca, Tulis, Eksekusi |
| Mengubah | Mengubah | |
| Baca & eksekusi | Baca & eksekusi | |
| Baca | Baca | |
| Tulis | Write | |
| Kontributor Lanjutan Berbagi SMB Data File Penyimpanan | Kontrol penuh | Ubah, Baca, Tulis, Edit (Ubah izin), Eksekusi |
| Mengubah | Mengubah | |
| Baca & eksekusi | Baca & eksekusi | |
| Baca | Baca | |
| Tulis | Write |
ACL Windows yang didukung
Azure Files mendukung serangkaian ACL Windows dasar dan lanjutan.
| Pengguna | Definisi |
|---|---|
BUILTIN\Administrators |
Grup keamanan bawaan yang mewakili administrator server file. Grup ini kosong, dan tidak ada yang dapat ditambahkan ke dalamnya. |
BUILTIN\Users |
Grup keamanan bawaan yang mewakili pengguna server file. Ini termasuk NT AUTHORITY\Authenticated Users secara default. Untuk server file tradisional, Anda dapat mengonfigurasi definisi keanggotaan per server. Untuk Azure Files, tidak ada server hosting, oleh karena itu BUILTIN\Users menyertakan set pengguna yang sama dengan NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Akun layanan sistem operasi server file. Akun layanan tersebut tidak berlaku dalam konteks Azure Files. Ini disertakan dalam direktori root agar konsisten dengan pengalaman Windows Files Server untuk skenario hibrid. |
NT AUTHORITY\Authenticated Users |
Semua pengguna di AD yang bisa mendapatkan token Kerberos yang valid. |
CREATOR OWNER |
Setiap obyek baik direktori atau file memiliki pemilik untuk obyek tersebut. Jika ada ACL yang ditetapkan ke CREATOR OWNER pada objek tersebut, maka pengguna yang merupakan pemilik objek ini memiliki izin ke objek yang ditentukan oleh ACL. |
Izin berikut ini disertakan di direktori root dari berbagi file:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Untuk informasi selengkapnya tentang izin tingkat lanjut ini, lihat referensi baris perintah untuk icacls.
Cara kerjanya
Ada dua pendekatan yang dapat Anda lakukan untuk mengonfigurasi dan mengedit ACL Windows:
Masuk dengan nama pengguna dan kunci akun penyimpanan setiap kali: Kapan saja Anda ingin mengonfigurasi ACL, pasang berbagi file dengan menggunakan kunci akun penyimpanan Anda pada komputer yang memiliki konektivitas jaringan yang tidak tertandingi ke pengontrol domain.
Penyiapan kunci akun pengguna/penyimpanan satu kali:
Catatan
Penyetelan ini berfungsi untuk berbagi file yang baru dibuat karena file/direktori baru akan mewarisi izin root yang dikonfigurasi. Untuk berbagi file yang dimigrasikan bersama dengan ACL yang ada, atau jika Anda memigrasikan file/direktori lokal dengan izin yang ada dalam fileshare baru, pendekatan ini mungkin tidak berfungsi karena file yang dimigrasikan tidak mewarisi ACL akar yang dikonfigurasi.
- Masuk dengan nama pengguna dan kunci akun penyimpanan pada komputer yang memiliki konektivitas jaringan tak terbatas ke pengontrol domain, dan berikan izin kepada beberapa pengguna (atau grup) untuk mengedit izin pada akar berbagi file.
- Tetapkan pengguna tersebut peran Storage File Data SMB Share Elevated Contributor Azure RBAC.
- Di masa mendatang, kapan saja Anda ingin memperbarui ACL, Anda dapat menggunakan salah satu pengguna yang berwenang untuk masuk dari komputer yang memiliki konektivitas jaringan yang tidak tertandingi ke pengontrol domain dan mengedit ACL.
Memasang berbagi file menggunakan kunci akun penyimpanan Anda
Sebelum mengonfigurasi ACL Windows, Anda harus memasang berbagi file terlebih dahulu dengan menggunakan kunci akun penyimpanan Anda. Untuk melakukan ini, masuk ke perangkat yang bergabung dengan domain, buka prompt perintah Windows, dan jalankan perintah berikut. Ingatlah untuk mengganti <YourStorageAccountName>, <FileShareName>, dan <YourStorageAccountKey> dengan nilai Anda sendiri. Jika Z: sudah digunakan, ganti dengan huruf drive yang tersedia. Anda dapat menemukan kunci akun penyimpanan Anda di portal Azure dengan menavigasi ke akun penyimpanan dan memilih Kunci Akses Keamanan + jaringan>, atau Anda dapat menggunakan Get-AzStorageAccountKey cmdlet PowerShell.
Penting bagi Anda untuk menggunakan net use perintah Windows untuk memasang berbagi pada tahap ini dan bukan PowerShell. Jika Anda menggunakan PowerShell untuk memasang berbagi, berbagi tidak akan terlihat oleh Windows File Explorer atau cmd.exe, dan Anda akan mengalami kesulitan mengonfigurasi ACL Windows.
Catatan
Anda mungkin sudah melihat ACL Kontrol Penuh diterapkan ke peran. Ini biasanya sudah menawarkan kemampuan untuk menetapkan izin. Namun, karena ada pemeriksaan akses pada dua tingkat (tingkat berbagi dan tingkat file/direktori), ini dibatasi. Hanya pengguna yang memiliki peran Storage File Data SMB Share Elevated Contributor dan membuat file atau direktori baru yang dapat menetapkan izin pada file atau direktori baru tersebut tanpa menggunakan kunci akun penyimpanan. Semua penetapan izin file/direktori lainnya memerlukan koneksi ke berbagi menggunakan kunci akun penyimpanan terlebih dahulu.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Mengonfigurasi ACL Windows
Anda dapat mengonfigurasi ACL Windows menggunakan icacls atau Windows File Explorer. Anda juga dapat menggunakan perintah Set-ACL PowerShell.
Penting
Jika lingkungan Anda memiliki beberapa forest AD DS, jangan gunakan Windows Explorer untuk mengonfigurasi ACL. Gunakan icacls sebagai gantinya.
Jika Anda memiliki direktori atau file di server file lokal dengan ACL Windows yang dikonfigurasi terhadap identitas AD DS, Anda dapat menyalinnya ke Azure Files yang mempertahankan ACL dengan alat salinan file tradisional seperti Robocopy atau Azure AzCopy v 10.4+. Jika direktori dan file Anda dijenjangkan ke Azure Files melalui Azure File Sync, ACL Anda akan dipindahkan dan disimpan dalam format aslinya.
Mengonfigurasi ACL Windows dengan icacls
Untuk memberikan izin penuh ke semua direktori dan file pada berbagi file, termasuk direktori akar, jalankan perintah Windows berikut dari komputer yang memiliki garis pandang ke pengontrol domain AD. Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Untuk informasi selengkapnya tentang cara menggunakan icacls untuk mengatur ACL Windows dan pada berbagai jenis izin yang didukung, lihat referensi baris perintah untuk icacls.
Mengonfigurasi ACL Windows dengan Windows File Explorer
Jika Anda masuk ke klien Windows yang bergabung dengan domain, Anda dapat menggunakan Windows File Explorer untuk memberikan izin penuh ke semua direktori dan file di bawah berbagi file, termasuk direktori akar. Jika klien Anda tidak bergabung dengan domain, gunakan icacls untuk mengonfigurasi ACL Windows.
- Buka Windows File Explorer dan klik kanan pada file/direktori dan pilih Properti.
- Pilih tab Keamanan.
- Pilih Edit.. untuk mengubah izin.
- Anda bisa mengubah izin pengguna yang sudah ada atau pilih Tambah... untuk memberikan izin kepada pengguna baru.
- Di jendela perintah untuk menambahkan pengguna baru, masukkan nama pengguna target yang ingin Anda beri izin dalam kotak Masukkan nama objek untuk dipilih, dan pilih Periksa Nama untuk menemukan nama UPN lengkap pengguna target.
- PilihOK.
- Di tab Keamanan, pilih semua izin yang ingin Anda berikan kepada pengguna baru Anda.
- Pilih Terapkan.
Langkah selanjutnya
Setelah mengaktifkan dan mengonfigurasi autentikasi berbasis identitas dengan AD DS, Anda dapat memasang berbagi file.