Condividi tramite

Configurare le autorizzazioni a livello di directory e file per le condivisioni file di Azure

  • Articolo

Prima di iniziare questo articolo, assicurarsi di aver letto Assegnare autorizzazioni a livello di condivisione a un'identità per assicurarsi che le autorizzazioni a livello di condivisione siano applicate con il controllo degli accessi in base al ruolo di Azure.

Dopo aver assegnato le autorizzazioni a livello di condivisione, è possibile configurare elenchi di controllo di accesso di Windows (ACL), noti anche come autorizzazioni NTFS, a livello di radice, directory o file. Mentre le autorizzazioni a livello di condivisione fungono da gatekeeper di alto livello che determina se un utente può accedere alla condivisione, gli ACL di Windows operano a un livello più granulare per controllare le operazioni che l'utente può eseguire a livello di directory o file.

Le autorizzazioni a livello di condivisione e file/a livello di directory vengono applicate quando un utente tenta di accedere a un file o a una directory. Se esiste una differenza tra di esse, verrà applicata solo quella più restrittiva. Ad esempio, se un utente ha accesso in lettura/scrittura a livello di file, ma legge solo a livello di condivisione, può leggere solo tale file. Lo stesso vale se fosse stato invertito: se un utente aveva accesso in lettura/scrittura a livello di condivisione, ma legge solo a livello di file, può comunque leggere solo il file.

Importante

Per configurare gli ACL di Windows, è necessario un computer client che esegue Windows con connettività di rete non implementata al controller di dominio. Se si esegue l'autenticazione con File di Azure usando Servizi di Dominio di Active Directory (AD DS) o Microsoft Entra Kerberos per le identità ibride, sarà necessaria la connettività di rete non implementata ad AD locale. Se si usa Microsoft Entra Domain Services, il computer client deve avere connettività di rete non implementata ai controller di dominio per il dominio gestito da Microsoft Entra Domain Services, che si trovano in Azure.

Si applica a

Tipo di condivisione file SMB NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Sì No
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona Sì No
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Sì No

ACL di Windows supportati

File di Azure supporta il set completo di ACL di Windows di base e avanzati.

Utenti Definizione
BUILTIN\Administrators Gruppo di sicurezza predefinito che rappresenta gli amministratori del file server. Questo gruppo è vuoto e non è possibile aggiungerlo.
BUILTIN\Users Gruppo di sicurezza predefinito che rappresenta gli utenti del file server. NT AUTHORITY\Authenticated Users Include per impostazione predefinita. Per un file server tradizionale, è possibile configurare la definizione di appartenenza per server. Per File di Azure, non esiste un server di hosting, quindi BUILTIN\Users include lo stesso set di utenti NT AUTHORITY\Authenticated Usersdi .
NT AUTHORITY\SYSTEM Account del servizio del sistema operativo del file server. Questo account di servizio non si applica nel contesto di File di Azure. È incluso nella directory radice per essere coerente con l'esperienza di Windows Files Server per gli scenari ibridi.
NT AUTHORITY\Authenticated Users Tutti gli utenti di ACTIVE Directory che possono ottenere un token Kerberos valido.
CREATOR OWNER Ogni oggetto o directory o file ha un proprietario per tale oggetto. Se sono presenti elenchi di controllo di accesso assegnati a CREATOR OWNER su tale oggetto, l'utente proprietario di questo oggetto dispone delle autorizzazioni per l'oggetto definito dall'ACL.

Nella directory radice di una condivisione file sono incluse le autorizzazioni seguenti:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Per altre informazioni su queste autorizzazioni avanzate, vedere le informazioni di riferimento sulla riga di comando per icacls.

Funzionamento

Esistono due approcci che è possibile adottare per configurare e modificare gli ACL di Windows:

  • Accedere con nome utente e chiave dell'account di archiviazione ogni volta: ogni volta che si vuole configurare gli elenchi di controllo di accesso, montare la condivisione file usando la chiave dell'account di archiviazione in un computer con connettività di rete non implementata al controller di dominio.

  • Configurazione della chiave dell'account di archiviazione/nome utente monouso:

Nota

Questa configurazione funziona per le nuove condivisioni file create perché qualsiasi nuovo file/directory erediterà l'autorizzazione radice configurata. Per le condivisioni file migrate insieme agli ACL esistenti o se si esegue la migrazione di file/directory locali con autorizzazioni esistenti in una nuova condivisione file, questo approccio potrebbe non funzionare perché i file migrati non ereditano l'ACL radice configurato.

  1. Accedere con un nome utente e una chiave dell'account di archiviazione in un computer con connettività di rete non implementata al controller di dominio e concedere ad alcuni utenti (o gruppi) l'autorizzazione per modificare le autorizzazioni per la radice della condivisione file.
  2. Assegnare agli utenti il ruolo Collaboratore controllo degli accessi in base al ruolo di Controllo degli accessi in base al ruolo di Azure per la condivisione file di archiviazione SMB con privilegi elevati.
  3. In futuro, ogni volta che si desidera aggiornare gli elenchi di controllo di accesso, è possibile usare uno di questi utenti autorizzati per accedere da un computer con connettività di rete non implementata al controller di dominio e modificare gli elenchi di controllo di accesso.

Montare la condivisione file usando la chiave dell'account di archiviazione

Prima di configurare gli elenchi di controllo di accesso di Windows, è necessario montare la condivisione file usando la chiave dell'account di archiviazione. A tale scopo, accedere a un dispositivo aggiunto a un dominio (come utente di Microsoft Entra se l'origine AD è Microsoft Entra Domain Services), aprire un prompt dei comandi di Windows ed eseguire il comando seguente. Ricordarsi di sostituire <YourStorageAccountName>, <FileShareName> e <YourStorageAccountKey> con i propri valori. Se Z: è già in uso, sostituirlo con una lettera di unità disponibile. È possibile trovare la chiave dell'account di archiviazione nella portale di Azure passando all'account di archiviazione e selezionando Sicurezza e chiavi di accesso di rete>oppure è possibile usare il Get-AzStorageAccountKey cmdlet di PowerShell.

È importante usare il comando Windows net use per montare la condivisione in questa fase e non PowerShell. Se si usa PowerShell per montare la condivisione, la condivisione non sarà visibile a Windows Esplora file o cmd.exe e si avrà difficoltà a configurare gli elenchi di controllo di accesso di Windows.

Nota

È possibile che venga visualizzato l'ACL controllo completo applicato a un ruolo già. Questo in genere offre già la possibilità di assegnare autorizzazioni. Tuttavia, poiché sono presenti controlli di accesso a due livelli (il livello di condivisione e il livello di file/directory), questa operazione è limitata. Solo gli utenti con il ruolo Collaboratore con privilegi elevati di condivisione file di archiviazione SMB e creare un nuovo file o una nuova directory possono assegnare le autorizzazioni per tali nuovi file o directory senza usare la chiave dell'account di archiviazione. Per tutte le altre autorizzazioni di file/directory è necessario connettersi alla condivisione usando prima la chiave dell'account di archiviazione.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Configurare elenchi di controllo di accesso (ACL) Windows

È possibile configurare gli elenchi di controllo di accesso di Windows usando icacls o Windows Esplora file. È anche possibile usare il comando PowerShell Set-ACL .

Se si dispone di directory o file in file server locali con ACL di Windows configurati in base alle identità di Active Directory Domain Services, è possibile copiarli in File di Azure rendere persistenti gli elenchi di controllo di accesso con strumenti di copia file tradizionali come Robocopy o Azure AzCopy v 10.4+. Se le directory e i file sono a livelli per File di Azure tramite Sincronizzazione file di Azure, gli elenchi di controllo di accesso vengono eseguiti e salvati in modo permanente nel formato nativo.

Importante

Se si usa Microsoft Entra Kerberos come origine DI ACTIVE Directory, le identità devono essere sincronizzate con l'ID Microsoft Entra per consentire l'applicazione degli elenchi di controllo di accesso. È possibile impostare elenchi di controllo di accesso a livello di file/directory per le identità non sincronizzate con Microsoft Entra ID. Tuttavia, questi elenchi di controllo di accesso non verranno applicati perché il ticket Kerberos usato per l'autenticazione/autorizzazione non conterrà le identità non sincronizzate. Se si usa Active Directory Domain Services locale come origine di Active Directory, è possibile avere identità non sincronizzate negli elenchi di controllo di accesso. Active Directory Domain Services inserisce tali SID nel ticket Kerberos e gli elenchi di controllo di accesso verranno applicati.

Configurare elenchi di controllo di accesso di Windows con icacl

Per concedere autorizzazioni complete a tutte le directory e a tutti i file nella condivisione file, inclusa la directory radice, eseguire il comando di Windows seguente da un computer con connettività di rete non implementata al controller di dominio di Active Directory. Ricordarsi di sostituire i valori segnaposto nell'esempio con i valori personalizzati. Se l'origine di ACTIVE Directory è Microsoft Entra Domain Services, <user-upn> sarà <user-email>.

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

Per altre informazioni su come usare icacls per impostare ACL di Windows e sui diversi tipi di autorizzazioni supportate, vedere le informazioni di riferimento della riga di comando per icacls.

Configurare elenchi di controllo di accesso di Windows con Windows Esplora file

Se si è connessi a un client Windows aggiunto a un dominio, è possibile usare Windows Esplora file per concedere l'autorizzazione completa a tutte le directory e i file nella condivisione file, inclusa la directory radice.

Importante

Se il client non è aggiunto a un dominio o se l'ambiente ha più foreste di Active Directory, non usare Esplora risorse per configurare gli elenchi di controllo di accesso. Usare icals invece. Ciò è dovuto al fatto che la configurazione dell'elenco di controllo di accesso di Windows Esplora file richiede che il client sia aggiunto al dominio di Active Directory a cui è aggiunto l'account di archiviazione.

Seguire questa procedura per configurare gli elenchi di controllo di accesso tramite Windows Esplora file.

  1. Aprire Windows Esplora file, fare clic con il pulsante destro del mouse sul file o sulla directory e scegliere Proprietà.
  2. Seleziona la scheda Sicurezza.
  3. Selezionare Modifica.. per modificare le autorizzazioni.
  4. È possibile modificare le autorizzazioni degli utenti esistenti o selezionare Aggiungi... per concedere le autorizzazioni ai nuovi utenti.
  5. Nella finestra di richiesta di aggiunta di nuovi utenti immettere il nome utente di destinazione a cui si desidera concedere le autorizzazioni nella casella Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi per trovare il nome UPN completo dell'utente di destinazione. Potrebbe essere necessario specificare il nome di dominio e il GUID di dominio per AD locale. È possibile ottenere queste informazioni dall'amministratore di dominio o da un client aggiunto a AD locale.
  6. Seleziona OK.
  7. Nella scheda Sicurezza selezionare tutte le autorizzazioni da concedere al nuovo utente.
  8. Selezionare Applica.

Passaggio successivo

Dopo aver configurato le autorizzazioni a livello di directory e file, è possibile montare la condivisione file.