Konfigurowanie uprawnień na poziomie katalogu i plików dla udziałów plików platformy Azure
Przed rozpoczęciem tego artykułu upewnij się, że znasz artykuł Przypisywanie uprawnień na poziomie udziału do tożsamości , aby upewnić się, że twoje uprawnienia na poziomie udziału znajdują się w kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Po przypisaniu uprawnień na poziomie udziału można skonfigurować listy kontroli dostępu systemu Windows (ACL), znane również jako uprawnienia NTFS, na poziomie katalogu głównego, katalogu lub pliku. Chociaż uprawnienia na poziomie udziału działają jako strażnik wysokiego poziomu, który określa, czy użytkownik może uzyskać dostęp do udziału, listy ACL systemu Windows działają na bardziej szczegółowym poziomie, aby kontrolować, jakie operacje użytkownik może wykonywać na poziomie katalogu lub pliku.
Zarówno uprawnienia na poziomie udziału, jak i na poziomie pliku/katalogu są wymuszane, gdy użytkownik próbuje uzyskać dostęp do pliku/katalogu. Jeśli istnieje różnica między jednym z nich, zostanie zastosowana tylko najbardziej restrykcyjna. Jeśli na przykład użytkownik ma dostęp do odczytu/zapisu na poziomie pliku, ale tylko do odczytu na poziomie udziału, może tylko odczytać ten plik. To samo byłoby prawdziwe, jeśli zostało odwrócone: jeśli użytkownik miał dostęp do odczytu/zapisu na poziomie udziału, ale tylko odczyt na poziomie pliku, nadal może odczytywać tylko plik.
Ważne
Aby skonfigurować listy ACL systemu Windows, musisz mieć maszynę kliencką z systemem Windows, która ma niezmpedowaną łączność sieciową z kontrolerem domeny. Jeśli uwierzytelniasz się w usłudze Azure Files przy użyciu usług domena usługi Active Directory Services (AD DS) lub Microsoft Entra Kerberos na potrzeby tożsamości hybrydowych, oznacza to, że potrzebujesz niezmpedowanej łączności sieciowej z lokalną usługą AD. Jeśli używasz usług Microsoft Entra Domain Services, maszyna kliencka musi mieć niezampedowaną łączność sieciową z kontrolerami domeny dla domeny zarządzanej przez usługi Microsoft Entra Domain Services, które znajdują się na platformie Azure.
Dotyczy
Typ udziału plików | SMB | NFS |
---|---|---|
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS | ||
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS | ||
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS |
Obsługiwane listy ACL systemu Windows
Usługa Azure Files obsługuje pełny zestaw podstawowych i zaawansowanych list ACL systemu Windows.
Użytkownicy | Definicja |
---|---|
BUILTIN\Administrators |
Wbudowana grupa zabezpieczeń reprezentująca administratorów serwera plików. Ta grupa jest pusta i nikt nie może być do niej dodany. |
BUILTIN\Users |
Wbudowana grupa zabezpieczeń reprezentująca użytkowników serwera plików. NT AUTHORITY\Authenticated Users Zawiera on domyślnie. W przypadku tradycyjnego serwera plików można skonfigurować definicję członkostwa dla każdego serwera. W przypadku usługi Azure Files nie ma serwera hostingu, dlatego BUILTIN\Users zawiera ten sam zestaw użytkowników co NT AUTHORITY\Authenticated Users . |
NT AUTHORITY\SYSTEM |
Konto usługi systemu operacyjnego serwera plików. Takie konto usługi nie ma zastosowania w kontekście usługi Azure Files. Znajduje się on w katalogu głównym, aby zapewnić spójność ze środowiskiem systemu Windows Files Server w scenariuszach hybrydowych. |
NT AUTHORITY\Authenticated Users |
Wszyscy użytkownicy w usłudze AD, którzy mogą uzyskać prawidłowy token Kerberos. |
CREATOR OWNER |
Każdy obiekt albo katalog lub plik ma właściciela tego obiektu. Jeśli istnieją listy ACL przypisane do CREATOR OWNER tego obiektu, użytkownik będący właścicielem tego obiektu ma uprawnienia do obiektu zdefiniowanego przez listę ACL. |
Następujące uprawnienia są uwzględniane w katalogu głównym udziału plików:
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Aby uzyskać więcej informacji na temat tych zaawansowanych uprawnień, zobacz dokumentację wiersza polecenia dla icacls.
Jak to działa
Istnieją dwie metody konfigurowania i edytowania list ACL systemu Windows:
Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu za każdym razem: za każdym razem, gdy chcesz skonfigurować listy ACL, zainstaluj udział plików przy użyciu klucza konta magazynu na maszynie, która ma niezmpedowaną łączność sieciową z kontrolerem domeny.
Jednorazowa konfiguracja nazwy użytkownika/klucza konta magazynu:
Uwaga
Ta konfiguracja działa w przypadku nowo utworzonych udziałów plików, ponieważ każdy nowy plik/katalog będzie dziedziczyć skonfigurowane uprawnienie głównego. W przypadku udziałów plików migrowanych wraz z istniejącymi listami ACL lub migracji dowolnego lokalnego pliku/katalogu z istniejącymi uprawnieniami w nowym udziale plików takie podejście może nie działać, ponieważ zmigrowane pliki nie dziedziczą skonfigurowanej głównej listy ACL.
- Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu na maszynie z niezamkniętym połączeniem sieciowym z kontrolerem domeny i przyznaj niektórym użytkownikom (lub grupom) uprawnienia do edytowania uprawnień w katalogu głównym udziału plików.
- Przypisz tych użytkowników rolę RBAC współautora udziału SMB danych plików magazynu.
- W przyszłości za każdym razem, gdy chcesz zaktualizować listy ACL, możesz użyć jednego z tych autoryzowanych użytkowników do logowania się z maszyny, która ma niezmpedowaną łączność sieciową z kontrolerem domeny i edytować listy ACL.
Instalowanie udziału plików przy użyciu klucza konta magazynu
Przed skonfigurowaniem list ACL systemu Windows należy najpierw zainstalować udział plików przy użyciu klucza konta magazynu. W tym celu zaloguj się do urządzenia przyłączonego do domeny (jako użytkownik firmy Microsoft Entra, jeśli źródłem usługi AD jest Microsoft Entra Domain Services), otwórz wiersz polecenia systemu Windows i uruchom następujące polecenie. Pamiętaj, aby zastąpić <YourStorageAccountName>
wartości , <FileShareName>
i <YourStorageAccountKey>
własnymi wartościami. Jeśli Z: jest już używany, zastąp go dostępną literą dysku. Klucz konta magazynu można znaleźć w witrynie Azure Portal, przechodząc do konta magazynu i wybierając pozycję Zabezpieczenia i klucze dostępu do sieci>. Możesz też użyć Get-AzStorageAccountKey
polecenia cmdlet programu PowerShell.
Ważne jest, aby użyć net use
polecenia systemu Windows do instalowania udziału na tym etapie, a nie programu PowerShell. Jeśli używasz programu PowerShell do instalowania udziału, udział nie będzie widoczny dla systemu Windows Eksplorator plików lub cmd.exe i będziesz mieć trudności z konfigurowaniem list ACL systemu Windows.
Uwaga
Może zostać wyświetlona lista ACL pełna kontrola zastosowana do roli. Zazwyczaj oferuje to już możliwość przypisywania uprawnień. Jednak ze względu na to, że istnieją kontrole dostępu na dwóch poziomach (poziom udziału i poziom pliku/katalogu), jest to ograniczone. Tylko użytkownicy, którzy mają rolę Współautor udziału SMB danych plików magazynu i tworzą nowy plik lub katalog, mogą przypisywać uprawnienia do tych nowych plików lub katalogów bez użycia klucza konta magazynu. Wszystkie inne przypisanie uprawnień do pliku/katalogu wymaga najpierw nawiązania połączenia z udziałem przy użyciu klucza konta magazynu.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurowanie list ACL systemu Windows
Listy ACL systemu Windows można skonfigurować przy użyciu list icacls lub Windows Eksplorator plików. Możesz również użyć polecenia Set-ACL programu PowerShell.
Jeśli masz katalogi lub pliki na lokalnych serwerach plików z listami ACL systemu Windows skonfigurowanymi dla tożsamości usług AD DS, możesz skopiować je do usługi Azure Files utrwalając listy ACL przy użyciu tradycyjnych narzędzi do kopiowania plików, takich jak Robocopy lub Azure AzCopy w wersji 10.4 lub nowszej. Jeśli katalogi i pliki są warstwowe do usługi Azure Files za pośrednictwem usługi Azure File Sync, listy ACL są przenoszone i utrwalane w ich natywnym formacie.
Ważne
Jeśli używasz usługi Microsoft Entra Kerberos jako źródła usługi AD, tożsamości muszą być synchronizowane z identyfikatorem Entra firmy Microsoft, aby listy ACL zostały wymuszone. Listy ACL na poziomie pliku/katalogu można ustawić dla tożsamości, które nie są synchronizowane z identyfikatorem Entra firmy Microsoft. Jednak te listy ACL nie zostaną wymuszone, ponieważ bilet Protokołu Kerberos używany do uwierzytelniania/autoryzacji nie będzie zawierać tożsamości niezsynchronizowane. Jeśli używasz lokalnych usług AD DS jako źródła usługi AD, możesz nie zsynchronizować tożsamości w listach ACL. Usługi AD DS umieści te identyfikatory SID w bilecie protokołu Kerberos, a listy ACL zostaną wymuszone.
Konfigurowanie list ACL systemu Windows przy użyciu list icacls
Aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym, uruchom następujące polecenie systemu Windows z maszyny, na której nie jest podłączona łączność sieciowa z kontrolerem domeny usługi AD. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami. Jeśli źródłem usługi AD jest Microsoft Entra Domain Services, <user-upn>
będzie .<user-email>
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Aby uzyskać więcej informacji na temat ustawiania list ACL systemu Windows przy użyciu narzędzia icacls oraz na temat różnych typów obsługiwanych uprawnień, zobacz dokumentację wiersza polecenia dla narzędzia icacls.
Konfigurowanie list ACL systemu Windows przy użyciu Eksplorator plików systemu Windows
Jeśli zalogowano się do klienta systemu Windows przyłączonego do domeny, możesz użyć systemu Windows Eksplorator plików, aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym.
Ważne
Jeśli klient nie jest przyłączony do domeny lub jeśli środowisko ma wiele lasów usługi AD, nie używaj Eksploratora Windows do konfigurowania list ACL. Zamiast tego użyj icacls . Dzieje się tak, ponieważ konfiguracja listy ACL systemu Windows Eksplorator plików wymaga, aby klient był przyłączony do domeny usługi AD, do którego jest przyłączone konto magazynu.
Wykonaj następujące kroki, aby skonfigurować listy ACL przy użyciu Eksplorator plików systemu Windows.
- Otwórz Eksplorator plików systemu Windows, kliknij prawym przyciskiem myszy plik/katalog i wybierz polecenie Właściwości.
- Wybierz kartę Zabezpieczenia.
- Wybierz pozycję Edytuj., aby zmienić uprawnienia.
- Możesz zmienić uprawnienia istniejących użytkowników lub wybrać pozycję Dodaj... w celu udzielenia uprawnień nowym użytkownikom.
- W oknie monitu o dodanie nowych użytkowników wprowadź docelową nazwę użytkownika, do której chcesz udzielić uprawnień w polu Wprowadź nazwy obiektów do wybrania , a następnie wybierz pozycję Sprawdź nazwy , aby znaleźć pełną nazwę UPN użytkownika docelowego. Może być konieczne określenie nazwy domeny i identyfikatora GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub lokalnego klienta przyłączonego do usługi AD.
- Wybierz przycisk OK.
- Na karcie Zabezpieczenia wybierz wszystkie uprawnienia, które chcesz przyznać nowemu użytkownikowi.
- Wybierz Zastosuj.
Następny krok
Po skonfigurowaniu uprawnień na poziomie katalogu i pliku możesz zainstalować udział plików.