Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przed rozpoczęciem tego artykułu upewnij się, że przeczytałeś artykuł Przypisywanie uprawnień na poziomie udziału do tożsamości, aby upewnić się, że masz ustawione uprawnienia na poziomie udziału przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Po przypisaniu uprawnień na poziomie udziału można skonfigurować listy kontroli dostępu systemu Windows (ACL), znane również jako uprawnienia NTFS, na poziomie katalogu głównego, katalogu lub pliku. Chociaż uprawnienia na poziomie udziału działają jako ograniczenie wysokiego poziomu, które określa, czy użytkownik może uzyskać dostęp do udziału, listy ACL systemu Windows działają na bardziej szczegółowym etapie, aby kontrolować, jakie operacje użytkownik może wykonywać na poziomie katalogu i pliku.
Zarówno uprawnienia na poziomie udziału, jak i na poziomie pliku/katalogu są wymuszane, gdy użytkownik próbuje uzyskać dostęp do pliku/katalogu. Jeśli istnieje różnica między jednym z nich, zostanie zastosowana tylko najbardziej restrykcyjna. Jeśli na przykład użytkownik ma prawa do odczytu i zapisu na poziomie pliku, ale tylko do odczytu na poziomie udziału, może jedynie odczytać ten plik. To samo byłoby prawdziwe, jeśli zostało odwrócone: jeśli użytkownik miał dostęp do odczytu/zapisu na poziomie udziału, ale tylko odczyt na poziomie pliku, nadal może odczytywać tylko plik.
Ważne
Aby skonfigurować listy ACL systemu Windows, musisz mieć maszynę kliencką z systemem Windows, która ma niezmpedowaną łączność sieciową z kontrolerem domeny. Jeśli uwierzytelniasz się w usłudze Azure Files przy użyciu usług domenowych Active Directory (AD DS) lub Microsoft Entra Kerberos na potrzeby tożsamości hybrydowych, oznacza to, że potrzebujesz niezakłóconej łączności sieciowej z lokalnym AD. Jeśli używasz usług Microsoft Entra Domain Services, maszyna kliencka musi mieć niezampedowaną łączność sieciową z kontrolerami domeny dla domeny zarządzanej przez usługi Microsoft Entra Domain Services, które znajdują się na platformie Azure.
Dotyczy
| Model zarządzania | Model rozliczania | Poziom mediów | Redundancja | SMB | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Lokalne (LRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Strefa (ZRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Geo (GRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Strefa geograficzna (GZRS) |
|
|
| Microsoft.Storage | Zaprovisionowana wersja 1 | SSD klasy premium | Lokalne (LRS) |
|
|
| Microsoft.Storage | Zaprovisionowana wersja 1 | SSD klasy premium | Strefa (ZRS) |
|
|
| Microsoft.Storage | Płatność na bieżąco | HDD (standardowa) | Lokalne (LRS) |
|
|
| Microsoft.Storage | Płatność na bieżąco | HDD (standardowa) | Strefa (ZRS) |
|
|
| Microsoft.Storage | Płatność na bieżąco | HDD (standardowa) | Geo (GRS) |
|
|
| Microsoft.Storage | Płatność na bieżąco | HDD (standardowa) | Strefa geograficzna (GZRS) |
|
|
Obsługiwane listy kontroli dostępu (ACL) systemu Windows
Usługa Azure Files obsługuje pełny zestaw podstawowych i zaawansowanych list kontroli dostępu (ACL) systemu Windows.
| Użytkownicy | Definicja |
|---|---|
BUILTIN\Administrators |
Wbudowana grupa zabezpieczeń reprezentująca administratorów serwera plików. Ta grupa jest pusta i nikt nie może być do niej dodany. |
BUILTIN\Users |
Wbudowana grupa zabezpieczeń reprezentująca użytkowników serwera plików. Domyślnie zawiera NT AUTHORITY\Authenticated Users. W przypadku tradycyjnego serwera plików można skonfigurować definicję członkostwa dla każdego serwera. W przypadku usługi Azure Files nie ma serwera hostingu, dlatego BUILTIN\Users zawiera ten sam zestaw użytkowników co NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Konto usługi systemu operacyjnego serwera plików. Takie konto usługi nie ma zastosowania w kontekście usługi Azure Files. Znajduje się on w katalogu głównym, aby zapewnić spójność ze środowiskiem systemu Windows Files Server w scenariuszach hybrydowych. |
NT AUTHORITY\Authenticated Users |
Wszyscy użytkownicy w usłudze AD, którzy mogą uzyskać prawidłowy bilet Kerberos. |
CREATOR OWNER |
Każdy obiekt albo katalog lub plik ma właściciela tego obiektu. Jeśli istnieją listy ACL przypisane do CREATOR OWNER tego obiektu, użytkownik będący właścicielem tego obiektu ma uprawnienia do obiektu zdefiniowanego przez listę ACL. |
Następujące uprawnienia są zawarte w katalogu głównym udostępnienia plików:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Aby uzyskać więcej informacji na temat tych zaawansowanych uprawnień, zobacz dokumentację wiersza polecenia dla icacls.
Jak to działa
Istnieją dwie metody, które możesz wziąć pod uwagę przy konfigurowaniu i edytowaniu list kontroli dostępu (ACL) systemu Windows:
Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu za każdym razem: za każdym razem, gdy chcesz skonfigurować listy ACL, zainstaluj udział plików przy użyciu klucza konta magazynu na maszynie, która ma niezmpedowaną łączność sieciową z kontrolerem domeny.
Jednorazowe ustawienie nazwy użytkownika lub klucza konta magazynu:
Uwaga
Ta konfiguracja działa w przypadku nowo utworzonego udostępniania plików, ponieważ każdy nowy plik/katalog będzie dziedziczyć skonfigurowane uprawnienia nadrzędne. W przypadku udostępnień plików migrowanych wraz z istniejącymi listami ACL lub migracji dowolnego lokalnego pliku/katalogu z istniejącymi uprawnieniami w nowym udostępnieniu plików takie podejście może nie działać, ponieważ zmigrowane pliki nie przejmują ustawionych głównych list ACL.
- Zaloguj się przy użyciu nazwy użytkownika i klucza konta magazynu na maszynie z niezakłóconym połączeniem sieciowym z kontrolerem domeny i przyznaj niektórym użytkownikom (lub grupom) uprawnienia do edytowania uprawnień w katalogu głównym zasobu udostępnionego.
- Przypisz użytkownikom rolę Storage File Data SMB Share Elevated Contributor Azure RBAC.
- W przyszłości za każdym razem, gdy chcesz zaktualizować listy ACL, możesz użyć jednego z tych autoryzowanych użytkowników do logowania się z maszyny, która ma niezmpedowaną łączność sieciową z kontrolerem domeny i edytować listy ACL.
Zamontuj udział plików używając klucza konta przechowywania
Przed skonfigurowaniem list ACL systemu Windows należy najpierw zamontować udział plików przy użyciu klucza konta pamięci. W tym celu zaloguj się do urządzenia przyłączonego do domeny (jako użytkownik firmy Microsoft Entra, jeśli źródłem usługi AD jest Microsoft Entra Domain Services), otwórz wiersz polecenia systemu Windows i uruchom następujące polecenie. Pamiętaj, aby zastąpić <YourStorageAccountName>, <FileShareName> i <YourStorageAccountKey> własnymi wartościami. Jeśli Z: jest już używany, zastąp go dostępną literą dysku. Klucz konta magazynu można znaleźć w witrynie Azure Portal, przechodząc do konta magazynu i wybierając pozycję Zabezpieczenia i klucze dostępu do sieci>. Możesz też użyć Get-AzStorageAccountKey polecenia cmdlet programu PowerShell.
Ważne jest, aby użyć net usepolecenia systemu Windows do instalowania udziału na tym etapie, a nie programu PowerShell. Jeśli używasz programu PowerShell do instalowania udziału, udział nie będzie widoczny dla systemu Windows Eksplorator plików lub cmd.exe i będziesz mieć trudności z konfigurowaniem list ACL systemu Windows.
Uwaga
Może zostać wyświetlona lista ACL pełna kontrola zastosowana do roli. Zazwyczaj oferuje to już możliwość przypisywania uprawnień. Jednak ze względu na to, że istnieją kontrole dostępu na dwóch poziomach (poziom udziału i poziom pliku/katalogu), jest to ograniczone. Tylko użytkownicy, którzy mają rolę Współautor udziału SMB danych plików magazynu i tworzą nowy plik lub katalog, mogą przypisywać uprawnienia do tych nowych plików lub katalogów bez użycia klucza konta magazynu. Wszystkie inne przypisanie uprawnień do plików/katalogów wymaga najpierw nawiązania połączenia z udziałem sieciowym przy użyciu klucza do konta magazynowego.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurowanie listy ACL systemu Windows
Listy ACL systemu Windows można skonfigurować przy użyciu icacls lub Eksploratora Plików Windows. Możesz również użyć polecenia Set-ACL programu PowerShell.
Jeśli masz katalogi lub pliki na lokalnych serwerach plików z listami ACL systemu Windows skonfigurowanymi dla tożsamości usług AD DS, możesz skopiować je do usługi Azure Files utrwalając listy ACL przy użyciu tradycyjnych narzędzi do kopiowania plików, takich jak Robocopy lub Azure AzCopy w wersji 10.4 lub nowszej. Jeśli katalogi i pliki są przeniesione warstwowo do usługi Azure Files za pośrednictwem usługi Azure File Sync, listy kontroli dostępu (ACL) są przenoszone i utrwalane w ich natywnym formacie.
Ważne
Jeśli używasz usługi Microsoft Entra Kerberos jako źródła usługi AD, tożsamości muszą być synchronizowane z identyfikatorem Entra firmy Microsoft, aby listy ACL zostały wymuszone. Listy ACL na poziomie pliku/katalogu można ustawić dla tożsamości, które nie są synchronizowane z identyfikatorem Entra firmy Microsoft. Jednak te listy ACL nie będą egzekwowane, ponieważ bilet Kerberos używany do uwierzytelniania/autoryzacji nie będzie zawierać niezsynchronizowanych tożsamości. Jeśli używasz lokalnego AD DS jako źródła usług AD, możesz mieć niesynchronizowane tożsamości w ACL. Usługi AD DS umieszczą te identyfikatory SID w bilecie protokołu Kerberos, a listy kontroli dostępu (ACL) zostaną wymuszone.
Konfiguruj listy ACL w systemie Windows za pomocą icacls
Aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym, uruchom następujące polecenie systemu Windows z maszyny, na której nie jest podłączona łączność sieciowa z kontrolerem domeny usługi AD. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami. Jeśli źródłem usługi AD jest Microsoft Entra Domain Services, wtedy <user-upn> będzie <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Aby uzyskać więcej informacji na temat ustawiania list ACL systemu Windows przy użyciu narzędzia icacls oraz na temat różnych typów obsługiwanych uprawnień, zobacz dokumentację wiersza polecenia dla narzędzia icacls.
Konfigurowanie list ACL systemu Windows przy użyciu Eksploratora plików systemu Windows
Jeśli jesteś zalogowany do klienta systemu Windows przyłączonego do domeny, możesz użyć Eksploratora plików Windows, aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównego.
Ważne
Jeśli klient nie jest przyłączony do domeny lub jeśli środowisko ma wiele lasów Active Directory, nie używaj Eksploratora Windows do konfigurowania list kontroli dostępu (ACL). Zamiast tego użyj icacls . Dzieje się tak, ponieważ konfiguracja list ACL w Eksploratorze plików Windows wymaga, aby klient był przyłączony do domeny usługi AD, do której należy konto magazynu.
Wykonaj następujące kroki, aby skonfigurować listy kontroli dostępu (ACL) przy użyciu Eksploratora plików systemu Windows.
- Otwórz Eksplorator plików systemu Windows, kliknij prawym przyciskiem myszy plik/katalog i wybierz polecenie Właściwości.
- Wybierz kartę Zabezpieczenia.
- Wybierz pozycję Edytuj., aby zmienić uprawnienia.
- Możesz zmienić uprawnienia istniejących użytkowników lub wybrać pozycję Dodaj... w celu udzielenia uprawnień nowym użytkownikom.
- W oknie monitu o dodanie nowych użytkowników wprowadź docelową nazwę użytkownika, do której chcesz udzielić uprawnień w polu Wprowadź nazwy obiektów do wybrania , a następnie wybierz pozycję Sprawdź nazwy , aby znaleźć pełną nazwę UPN użytkownika docelowego. Może być konieczne określenie nazwy domeny i identyfikatora GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub lokalnego klienta przyłączonego do usługi AD.
- Wybierz przycisk OK.
- Na karcie Zabezpieczenia wybierz wszystkie uprawnienia, które chcesz przyznać nowemu użytkownikowi.
- Wybierz Zastosuj.
Następny krok
Po skonfigurowaniu uprawnień na poziomie katalogu i pliku możesz zainstalować udział plików.