Konfigurowanie uprawnień na poziomie katalogu i plików dla udziałów plików platformy Azure
Przed rozpoczęciem tego artykułu upewnij się, że znasz artykuł Przypisywanie uprawnień na poziomie udziału do tożsamości , aby upewnić się, że twoje uprawnienia na poziomie udziału znajdują się w kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Po przypisaniu uprawnień na poziomie udziału można skonfigurować listy kontroli dostępu systemu Windows (ACL), znane również jako uprawnienia NTFS, na poziomie katalogu głównego, katalogu lub pliku. Chociaż uprawnienia na poziomie udziału działają jako strażnik wysokiego poziomu, który określa, czy użytkownik może uzyskać dostęp do udziału, listy ACL systemu Windows działają na bardziej szczegółowym poziomie, aby kontrolować, jakie operacje użytkownik może wykonywać na poziomie katalogu lub pliku.
Zarówno uprawnienia na poziomie udziału, jak i na poziomie pliku/katalogu są wymuszane, gdy użytkownik próbuje uzyskać dostęp do pliku/katalogu. Jeśli istnieje różnica między jednym z nich, zostanie zastosowana tylko najbardziej restrykcyjna. Jeśli na przykład użytkownik ma dostęp do odczytu/zapisu na poziomie pliku, ale tylko do odczytu na poziomie udziału, może tylko odczytać ten plik. To samo byłoby prawdziwe, jeśli zostało odwrócone: jeśli użytkownik miał dostęp do odczytu/zapisu na poziomie udziału, ale tylko odczyt na poziomie pliku, nadal może odczytywać tylko plik.
Ważne
Aby skonfigurować listy ACL systemu Windows, musisz mieć maszynę kliencką z systemem Windows, która ma niezmpedowaną łączność sieciową z kontrolerem domeny. Jeśli uwierzytelniasz się w usłudze Azure Files przy użyciu usług domena usługi Active Directory Services (AD DS) lub Microsoft Entra Kerberos na potrzeby tożsamości hybrydowych, oznacza to, że potrzebujesz niezmpedowanej łączności sieciowej z lokalną usługą AD. Jeśli używasz usług Microsoft Entra Domain Services, maszyna kliencka musi mieć niezampedowaną łączność sieciową z kontrolerami domeny dla domeny zarządzanej przez usługi Microsoft Entra Domain Services, które znajdują się na platformie Azure.
Dotyczy
| Typ udziału plików | SMB | NFS |
|---|---|---|
| Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS |  |
 |
| Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS | |
|
| Udziały plików w warstwie Premium (FileStorage), LRS/ZRS | |
|
Uprawnienia RBAC platformy Azure
Poniższa tabela zawiera uprawnienia RBAC platformy Azure związane z tą konfiguracją. Jeśli używasz Eksplorator usługi Azure Storage, musisz również mieć rolę Czytelnik i Dostęp do danych, aby odczytywać/uzyskiwać dostęp do udziału plików.
| Uprawnienia na poziomie udziału (rola wbudowana) | Uprawnienie NTFS | Wynikowy dostęp |
|---|---|---|
| Czytelnik udziału SMB danych w pliku magazynu | Pełna kontrola, modyfikowanie, odczyt, zapis, wykonywanie | Odczyt i wykonywanie |
| Przeczytaj | Przeczytaj | |
| Współautor udziału SMB danych w pliku magazynu | Pełna kontrola | Modyfikowanie, odczytywanie, zapisywanie, wykonywanie |
| Modyfikowanie | Modyfikowanie | |
| Odczyt i wykonywanie | Odczyt i wykonywanie | |
| Przeczytaj | Przeczytaj | |
| Napisz | Write | |
| Współautor udziału SMB danych w pliku magazynu z podwyższonym poziomem uprawnień | Pełna kontrola | Modyfikowanie, odczyt, zapis, edytowanie (zmienianie uprawnień), wykonywanie |
| Modyfikowanie | Modyfikowanie | |
| Odczyt i wykonywanie | Odczyt i wykonywanie | |
| Przeczytaj | Przeczytaj | |
| Napisz | Write |
Obsługiwane listy ACL systemu Windows
Usługa Azure Files obsługuje pełny zestaw podstawowych i zaawansowanych list ACL systemu Windows.
| Użytkownicy | Definicja |
|---|---|
BUILTIN\Administrators |
Wbudowana grupa zabezpieczeń reprezentująca administratorów serwera plików. Ta grupa jest pusta i nikt nie może być do niej dodany. |
BUILTIN\Users |
Wbudowana grupa zabezpieczeń reprezentująca użytkowników serwera plików. NT AUTHORITY\Authenticated Users Zawiera on domyślnie. W przypadku tradycyjnego serwera plików można skonfigurować definicję członkostwa dla każdego serwera. W przypadku usługi Azure Files nie ma serwera hostingu, dlatego BUILTIN\Users zawiera ten sam zestaw użytkowników co NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Konto usługi systemu operacyjnego serwera plików. Takie konto usługi nie ma zastosowania w kontekście usługi Azure Files. Znajduje się on w katalogu głównym, aby zapewnić spójność ze środowiskiem systemu Windows Files Server w scenariuszach hybrydowych. |
NT AUTHORITY\Authenticated Users |
Wszyscy użytkownicy w usłudze AD, którzy mogą uzyskać prawidłowy token Kerberos. |
CREATOR OWNER |
Każdy obiekt albo katalog lub plik ma właściciela tego obiektu. Jeśli istnieją listy ACL przypisane do CREATOR OWNER tego obiektu, użytkownik będący właścicielem tego obiektu ma uprawnienia do obiektu zdefiniowanego przez listę ACL. |
Następujące uprawnienia są uwzględniane w katalogu głównym udziału plików:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Aby uzyskać więcej informacji na temat tych zaawansowanych uprawnień, zobacz dokumentację wiersza polecenia dla icacls.
Jak to działa
Istnieją dwie metody konfigurowania i edytowania list ACL systemu Windows:
Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu za każdym razem: za każdym razem, gdy chcesz skonfigurować listy ACL, zainstaluj udział plików przy użyciu klucza konta magazynu na maszynie, która ma niezmpedowaną łączność sieciową z kontrolerem domeny.
Jednorazowa konfiguracja nazwy użytkownika/klucza konta magazynu:
Uwaga
Ta konfiguracja działa w przypadku nowo utworzonych udziałów plików, ponieważ każdy nowy plik/katalog będzie dziedziczyć skonfigurowane uprawnienie głównego. W przypadku udziałów plików migrowanych wraz z istniejącymi listami ACL lub migracji dowolnego lokalnego pliku/katalogu z istniejącymi uprawnieniami w nowym udziałie plików takie podejście może nie działać, ponieważ zmigrowane pliki nie dziedziczą skonfigurowanej głównej listy ACL.
- Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu na maszynie z niezamkniętym połączeniem sieciowym z kontrolerem domeny i przyznaj niektórym użytkownikom (lub grupom) uprawnienia do edytowania uprawnień w katalogu głównym udziału plików.
- Przypisz tych użytkowników rolę RBAC współautora udziału SMB danych plików magazynu.
- W przyszłości za każdym razem, gdy chcesz zaktualizować listy ACL, możesz użyć jednego z tych autoryzowanych użytkowników do logowania się z maszyny, która ma niezmpedowaną łączność sieciową z kontrolerem domeny i edytować listy ACL.
Instalowanie udziału plików przy użyciu klucza konta magazynu
Przed skonfigurowaniem list ACL systemu Windows należy najpierw zainstalować udział plików przy użyciu klucza konta magazynu. W tym celu zaloguj się do urządzenia przyłączonego do domeny, otwórz wiersz polecenia systemu Windows i uruchom następujące polecenie. Pamiętaj, aby zastąpić <YourStorageAccountName>wartości , <FileShareName>i <YourStorageAccountKey> własnymi wartościami. Jeśli Z: jest już używany, zastąp go dostępną literą dysku. Klucz konta magazynu można znaleźć w witrynie Azure Portal, przechodząc do konta magazynu i wybierając pozycję Zabezpieczenia i klucze dostępu do sieci>. Możesz też użyć Get-AzStorageAccountKey polecenia cmdlet programu PowerShell.
Ważne jest, aby użyć net usepolecenia systemu Windows do instalowania udziału na tym etapie, a nie programu PowerShell. Jeśli używasz programu PowerShell do instalowania udziału, udział nie będzie widoczny dla systemu Windows Eksplorator plików lub cmd.exe i będziesz mieć trudności z konfigurowaniem list ACL systemu Windows.
Uwaga
Może zostać wyświetlona lista ACL pełna kontrola zastosowana do roli. Zazwyczaj oferuje to już możliwość przypisywania uprawnień. Jednak ze względu na to, że istnieją kontrole dostępu na dwóch poziomach (poziom udziału i poziom pliku/katalogu), jest to ograniczone. Tylko użytkownicy, którzy mają rolę Współautor udziału SMB danych plików magazynu i tworzą nowy plik lub katalog, mogą przypisywać uprawnienia do tych nowych plików lub katalogów bez użycia klucza konta magazynu. Wszystkie inne przypisanie uprawnień do pliku/katalogu wymaga najpierw nawiązania połączenia z udziałem przy użyciu klucza konta magazynu.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurowanie list ACL systemu Windows
Listy ACL systemu Windows można skonfigurować przy użyciu list icacls lub Windows Eksplorator plików. Możesz również użyć polecenia Set-ACL programu PowerShell.
Ważne
Jeśli środowisko ma wiele lasów usług AD DS, nie używaj Eksploratora Windows do konfigurowania list ACL. Zamiast tego użyj icacls.
Jeśli masz katalogi lub pliki na lokalnych serwerach plików z listami ACL systemu Windows skonfigurowanymi dla tożsamości usług AD DS, możesz skopiować je do usługi Azure Files utrwalając listy ACL przy użyciu tradycyjnych narzędzi do kopiowania plików, takich jak Robocopy lub Azure AzCopy w wersji 10.4 lub nowszej. Jeśli katalogi i pliki są warstwowe do usługi Azure Files za pośrednictwem usługi Azure File Sync, listy ACL są przenoszone i utrwalane w ich natywnym formacie.
Konfigurowanie list ACL systemu Windows przy użyciu list icacls
Aby udzielić pełnych uprawnień do wszystkich katalogów i plików w ramach udziału plików, w tym do katalogu głównego, uruchom następujące polecenie systemu Windows na komputerze, który ma bezpośredni dostęp do kontrolera domeny usługi AD. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Aby uzyskać więcej informacji na temat ustawiania list ACL systemu Windows przy użyciu narzędzia icacls oraz na temat różnych typów obsługiwanych uprawnień, zobacz dokumentację wiersza polecenia dla narzędzia icacls.
Konfigurowanie list ACL systemu Windows przy użyciu Eksplorator plików systemu Windows
Jeśli zalogowano się do klienta systemu Windows przyłączonego do domeny, możesz użyć systemu Windows Eksplorator plików, aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym. Jeśli klient nie jest przyłączony do domeny, użyj list Icacls do konfigurowania list ACL systemu Windows.
- Otwórz Eksplorator plików systemu Windows i kliknij prawym przyciskiem myszy plik/katalog i wybierz polecenie Właściwości.
- Wybierz kartę Zabezpieczenia.
- Wybierz pozycję Edytuj., aby zmienić uprawnienia.
- Możesz zmienić uprawnienia istniejących użytkowników lub wybrać pozycję Dodaj... w celu udzielenia uprawnień nowym użytkownikom.
- W oknie monitu o dodanie nowych użytkowników wprowadź docelową nazwę użytkownika, do której chcesz udzielić uprawnień w polu Wprowadź nazwy obiektów do wybrania , a następnie wybierz pozycję Sprawdź nazwy , aby znaleźć pełną nazwę UPN użytkownika docelowego.
- Wybierz przycisk OK.
- Na karcie Zabezpieczenia wybierz wszystkie uprawnienia, które chcesz przyznać nowemu użytkownikowi.
- Wybierz Zastosuj.
Następny krok
Po włączeniu i skonfigurowaniu uwierzytelniania opartego na tożsamościach w usługach AD DS możesz zainstalować udział plików.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla