Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Applies to: ✔️ udziały plików SMB Azure
Przed skonfigurowaniem uprawnień na poziomie katalogu i plików należy przypisać uprawnienia na poziomie współdzielenia do tożsamości za pomocą kontroli dostępu Azure opartej na rolach (RBAC). Po propagacji uprawnień na poziomie udziału można skonfigurować Windows listy kontroli dostępu (ACL), znane również jako uprawnienia NTFS, na poziomie katalogu głównego, katalogu lub pliku.
Ważne
Aby skonfigurować listy ACL Windows dla tożsamości hybrydowych, należy mieć maszynę kliencką z systemem Windows, która ma niezablokowaną łączność sieciową z kontrolerem domeny. Jeśli uwierzytelniasz się korzystając z Azure Files za pomocą Active Directory Domain Services (AD DS) lub Microsoft Entra Kerberos dla hybrydowych tożsamości, potrzebujesz niezakłóconej łączności sieciowej z lokalnym Active Directory. Jeśli używasz usług Microsoft Entra Domain Services, maszyna kliencka musi mieć niezmpedowaną łączność sieciową z kontrolerami domeny dla domeny zarządzanej przez usługi Microsoft Entra Domain Services, które znajdują się w Azure. W przypadku tożsamości tylko w chmurze (wersja zapoznawcza) nie ma zależności od kontrolerów domeny, ale urządzenie klienckie musi być przyłączone do Tożsamość Microsoft Entra.
Jak Azure Kontrola Dostępu na Podstawie Ról oraz listy ACL systemu Windows współpracują ze sobą
Podczas gdy uprawnienia na poziomie udziału (RBAC) działają jako strażnik wysokiego poziomu, który określa, czy użytkownik może uzyskać dostęp do udziału, listy kontroli dostępu Windows (Windows ACL) i uprawnienia NTFS działają na bardziej szczegółowym poziomie, aby kontrolować operacje, jakie użytkownik może wykonywać na poziomie katalogu lub pliku.
Gdy użytkownik próbuje uzyskać dostęp do pliku lub katalogu, wymuszane są zarówno uprawnienia na poziomie udziału, jak i na poziomie pliku/katalogu. Jeśli istnieje różnica między jednym z nich, ma zastosowanie tylko najbardziej restrykcyjne. Jeśli na przykład użytkownik ma dostęp do odczytu/zapisu na poziomie pliku, ale tylko do odczytu na poziomie udziału, może jedynie odczytać ten plik. Ta sama reguła ma zastosowanie, jeśli uprawnienia są odwrócone: jeśli użytkownik ma dostęp do odczytu/zapisu na poziomie udziału, ale tylko odczyt na poziomie pliku, nadal może odczytywać tylko plik.
W poniższej tabeli przedstawiono, jak kombinacja uprawnień na poziomie udziału i list ACL Windows współdziałają, aby określić dostęp do pliku lub katalogu w Azure Files.
| Brak roli RBAC | Kontrola dostępu oparta na rolach — odczyt udziałów SMB | RBAC — kontrybutor współdzielenia SMB | RBAC - Użytkownik o podwyższonym poziomie uprawnień do udziałów SMB | |
|---|---|---|---|---|
| NTFS — brak | Odmowa dostępu | Odmowa dostępu | Odmowa dostępu | Odmowa dostępu |
| NTFS — odczyt | Odmowa dostępu | Przeczytaj | Przeczytaj | Przeczytaj |
| NTFS — odczyt i wykonywanie | Odmowa dostępu | Przeczytaj | Przeczytaj | Przeczytaj |
| NTFS — lista folderu | Odmowa dostępu | Przeczytaj | Przeczytaj | Przeczytaj |
| NTFS — zapis | Odmowa dostępu | Przeczytaj | Odczyt, Zapis | Odczyt, Zapis |
| NTFS — modyfikowanie | Odmowa dostępu | Przeczytaj | Odczyt, zapis, usuwanie | Odczyt, zapis, usuwanie, stosowanie uprawnień do własnego folderu/plików |
| NTFS — pełne | Odmowa dostępu | Przeczytaj | Odczyt, zapis, usuwanie | Odczyt, zapis, usuwanie, stosowanie uprawnień do folderów/plików czyichś osób |
Uwaga
Przejęcie własności folderów lub plików na potrzeby konfiguracji ACL wymaga dodatkowego uprawnienia RBAC. Korzystając z modelu uprawnień Windows dla administratora protokołu SMB można przyznać to uprawnienie, przypisując wbudowaną rolę RBAC Storage File Data SMB Admin, która obejmuje uprawnienie takeOwnership.
Obsługiwane listy kontroli dostępu Windows (ACL)
Azure Files obsługuje pełny zakres podstawowych i zaawansowanych list kontroli dostępu (ACL) Windows.
| Użytkownicy | Definicja |
|---|---|
BUILTIN\Administrators |
Wbudowana grupa zabezpieczeń reprezentująca administratorów serwera plików. W przypadku Azure Files ta grupa jest pusta i nikt nie może być do niej dodany. |
BUILTIN\Users |
Wbudowana grupa zabezpieczeń reprezentująca użytkowników serwera plików. Domyślnie zawiera . W przypadku tradycyjnego serwera plików można skonfigurować definicję członkostwa dla każdego serwera. W przypadku Azure Files nie ma serwera hostingu, więc BUILTIN\Users zawiera ten sam zestaw użytkowników co NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Konto usługi systemu operacyjnego serwera plików. To konto usługi nie ma zastosowania w kontekście Azure Files. Znajduje się on w katalogu głównym, aby zapewnić spójność ze środowiskiem serwera plików Windows w scenariuszach hybrydowych. |
NT AUTHORITY\Authenticated Users |
Wszyscy użytkownicy w usłudze AD, którzy mogą uzyskać prawidłowy bilet Kerberos. |
CREATOR OWNER |
Każdy obiekt, katalog lub plik, ma właściciela tego obiektu. Jeśli istnieją listy ACL przypisane do tego obiektu, użytkownik będący właścicielem tego obiektu ma uprawnienia do obiektu zdefiniowanego przez listę ACL. |
Katalog główny folderu udziału plików obejmuje następujące uprawnienia:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Aby uzyskać więcej informacji na temat tych uprawnień, zobacz dokumentację wiersza polecenia dotyczącą icacls.
Zamontuj zasób udostępniony z dostępem na poziomie administratora
Przed skonfigurowaniem ACLi Windows zamontuj udział plików z dostępem na poziomie administratora. Można podjąć dwa podejścia:
Użyj modelu uprawnień Windows dla administratora protokołu SMB (zalecane): Przypisz wbudowaną rolę RBAC Storage File Data SMB Admin , która obejmuje wymagane uprawnienia dla użytkowników, którzy konfigurują listy kontroli dostępu (ACL). Następnie zamontuj udział plików przy użyciu uwierzytelniania opartego na tożsamości i skonfiguruj listy kontroli dostępu (ACL). Takie podejście jest bezpieczniejsze, ponieważ nie wymaga klucza konta magazynu do zamontowania zasobu plikowego.
Użyj klucza do konta magazynu (mniej bezpieczne): użyj klucza do konta magazynu, aby zamontować udział plików, a następnie skonfigurować listy kontroli dostępu. Klucz konta magazynowania jest poufnym poświadczeniem. Ze względów bezpieczeństwa użyj tej opcji tylko wtedy, gdy nie możesz używać uwierzytelniania opartego na tożsamościach.
Uwaga
Jeśli użytkownik ma Full Control ACL, a także rolę Storage File Data SMB Share Elevated Contributor (lub rolę niestandardową z wymaganymi uprawnieniami), może konfigurować ACL bez korzystania z modelu uprawnień Windows dla administratora SMB lub klucza konta magazynu.
Korzystanie z modelu uprawnień Windows dla administratora protokołu SMB
Użyj modelu uprawnień systemu Windows dla administratora SMB zamiast klucza do konta pamięci masowej. Ta funkcja umożliwia przypisanie wbudowanej roli RBAC Administrator Danych Pliku SMB Magazynu do użytkowników, dzięki czemu mogą przejąć własność pliku lub katalogu i skonfigurować listy kontroli dostępu ACL.
Ważne
Rola administratora danych plików magazynu SMB w ramach kontroli dostępu opartej na rolach (RBAC) nie przyznaje tożsamości bezpośredniego dostępu do pliku lub katalogu, jeśli tożsamość nie ma przyznanych odpowiednich uprawnień (takich jak Modyfikowanie lub Pełna kontrola) w liście ACL docelowego pliku lub katalogu. Jednak tożsamość z rolą RBAC Administratora danych plików magazynu SMB może przejąć własność pliku docelowego lub katalogu przy użyciu polecenia Windows takeown, a następnie zmodyfikować listę ACL (Listy Kontroli Dostępu), aby udzielić odpowiednich uprawnień dostępu.
Rola RBAC administratora SMB danych pliku magazynu obejmuje następujące trzy akcje danych:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Aby użyć modelu uprawnień Windows dla administratora SMB, wykonaj następujące kroki:
Przypisz rolę RBAC Storage File Data SMB Admin do użytkowników, którzy konfigurują ACL. Aby uzyskać instrukcje dotyczące przypisywania roli, zobacz Przypisania ról Azure przy użyciu portalu Azure.
Użytkownicy muszą zainstalować udział plików przy użyciu tożsamości domeny. O ile uwierzytelnianie oparte na tożsamości jest skonfigurowane dla konta magazynu, można zainstalować udział i skonfigurować i edytować listy ACL Windows bez użycia klucza konta magazynu.
Zaloguj się do urządzenia przyłączonego do domeny lub urządzenia, które ma niezaburzoną łączność sieciową z kontrolerami domeny (jako użytkownik Microsoft Entra, jeśli źródłem tożsamości jest Microsoft Entra Domain Services). Otwórz wiersz polecenia Windows i zamontuj udział plików, uruchamiając następujące polecenie. Zastąp i własnymi wartościami. Jeśli Z: jest już używany, zastąp go dostępną literą dysku.
Użyj polecenia , aby zamontować udział na tym etapie, zamiast używać PowerShell. Jeśli używasz programu PowerShell do montowania udziału, udział nie jest widoczny w Eksploratorze plików Windows lub w cmd.exe, i masz trudności z konfigurowaniem list ACL systemu Windows.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Zamontuj udział dyskowy przy użyciu klucza konta magazynowego (niezalecane)
Ostrzeżenie
Jeśli to możliwe, użyj modelu uprawnień Windows dla administratora protokołu SMB, aby zainstalować udział zamiast używać klucza konta magazynu.
Zaloguj się na urządzeniu przyłączonym do domeny lub na urządzeniu, które ma niezablokowaną łączność sieciową z kontrolerami domeny (jako użytkownik Microsoft Entra, jeśli źródło tożsamości to Microsoft Entra Domain Services). Otwórz wiersz polecenia systemu Windows i zamontuj udział plików, uruchamiając następujące polecenie. Zastąp wartości , i własnymi. Jeśli Z: jest już używany, zastąp go dostępną literą dysku. Klucz konta magazynu w Azure możesz znaleźć, przechodząc do konta magazynowego w portalu i wybierając opcję Zabezpieczenia i sieci>Klucze dostępu, lub możesz użyć cmdlet PowerShell Get-AzStorageAccountKey.
Użyj polecenia , aby zamontować udział na tym etapie, zamiast używać PowerShell. Jeśli używasz programu PowerShell do zamontowania udziału, udziały nie są widoczne w Eksploratorze plików Windows lub cmd.exe, i możesz mieć trudności z konfigurowaniem list ACL systemu Windows.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Skonfiguruj listy ACL Windows
Proces konfigurowania list ACL Windows różni się w zależności od tego, czy uwierzytelniasz tożsamości hybrydowe, czy tylko tożsamości chmurowe.
W przypadku tożsamości tylko w chmurze (wersja zapoznawcza) należy użyć portalu Azure lub programu PowerShell. Windows Eksplorator plików i icacls nie są obecnie obsługiwane w przypadku tożsamości ograniczonych do chmury.
W przypadku tożsamości hybrydowych można skonfigurować listy ACL Windows przy użyciu icacls lub Eksploratora Windows. Możesz również użyć polecenia Set-ACL programu PowerShell. Jeśli masz katalogi lub pliki na lokalnych serwerach plików z listami ACL Windows skonfigurowanymi dla tożsamości usług AD DS, możesz skopiować je do Azure Files, zachowując listy ACL przy użyciu tradycyjnych narzędzi do kopiowania plików, takich jak Robocopy lub najnowsza wersja Azure AzCopy. Jeśli katalogi i pliki są przenoszone do Azure Files za pomocą Azure File Sync, listy kontroli dostępu (ACL) są przenoszone i przechowywane w ich natywnym formacie.
Ważne
Jeśli używasz Microsoft Entra Kerberos do uwierzytelniania tożsamości hybrydowych, muszą być one synchronizowane z Tożsamość Microsoft Entra, aby egzekwować listy kontrolne dostępu (ACL). ACL-e na poziomie plików i katalogów można ustawić dla tożsamości, które nie są synchronizowane z Tożsamość Microsoft Entra. Jednak te listy ACL nie są wymuszane, ponieważ bilet Protokołu Kerberos używany do uwierzytelniania i autoryzacji nie zawiera niezsynchronizowanych tożsamości. Jeśli używasz lokalnych usług AD DS jako źródła tożsamości, możesz uwzględnić niezsynchronizowane tożsamości w listach kontrolnych dostępu (ACL). Usługi AD DS umieszczają te identyfikatory SID w bilecie protokołu Kerberos, a listy kontroli dostępu (ACL) są egzekwowane.
Konfigurowanie list kontroli dostępu (ACL) Windows przy użyciu portalu Azure
W przypadku skonfigurowania protokołu Entra Kerberos jako źródła tożsamości można skonfigurować listy ACL Windows dla każdego użytkownika lub grupy Entra przy użyciu portalu Azure. Ta metoda działa zarówno w przypadku tożsamości hybrydowych, jak i tożsamości tylko w chmurze, tylko wtedy, gdy protokół Entra Kerberos jest używany jako źródło tożsamości.
Zaloguj się do portalu Azure przy użyciu tego konkretnego adresu URL: https://aka.ms/portal/fileperms
Przejdź do zasobu udostępnionego, w którym chcesz skonfigurować lokalne zabezpieczenia ACL Windows.
W menu usługi wybierz pozycję Przeglądaj. Jeśli chcesz ustawić listę ACL w folderze głównym, wybierz pozycję Zarządzaj dostępem w górnym menu.
Aby ustawić listę ACL dla pliku lub katalogu, kliknij prawym przyciskiem myszy plik lub katalog, a następnie wybierz pozycję Zarządzaj dostępem.
Zobaczysz dostępnych użytkowników i grupy. Opcjonalnie możesz dodać nowego użytkownika lub grupy. Wybierz ikonę ołówka po prawej stronie dowolnego użytkownika lub grupy, aby dodać lub edytować uprawnienia dla użytkownika lub grupy w celu uzyskania dostępu do określonego pliku lub katalogu.
Edytuj uprawnienia. Odmowa zawsze ma pierwszeństwo przed Zezwolenie, gdy oba są ustawione. Jeśli żadna z nich nie jest ustawiona, uprawnienia domyślne są dziedziczone.
Wybierz Zapisz aby ustawić ACL.
Konfiguracja ACL Windows dla tożsamości wyłącznie w chmurze za pomocą programu PowerShell
Jeśli chcesz zbiorczo przypisać listy ACL do użytkowników mających dostęp wyłącznie w chmurze, użyj modułu RestSetAcls programu PowerShell do zautomatyzowania procesu za pomocą interfejsu API REST Azure Files.
Na przykład, jeśli chcesz ustawić root ACL, która zapewnia użytkownikowi wyłącznie chmurowemu dostęp do odczytu:
$AccountName = "<storage-account-name>" # replace with the storage account name
$AccountKey = "<storage-account-key>" # replace with the storage account key
$context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey
Add-AzFileAce -Context $context -FileShareName test -FilePath "/" -Type Allow -Principal "testUser@contoso.com" -AccessRights Read,Synchronize -InheritanceFlags ObjectInherit,ContainerInherit
Wprowadzanie konfiguracji list kontroli dostępu (ACL) Windows przy użyciu polecenia icacls
Ważne
Korzystanie z icacls nie działa w przypadku tożsamości wyłącznie w chmurze.
Aby nadać pełne uprawnienia do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym, uruchom następujące polecenie Windows na maszynie, która ma niezakłóconą łączność sieciową z kontrolerem domeny AD. Pamiętaj, aby zastąpić wartości symboli zastępczych w przykładzie własnymi wartościami. Jeśli źródłem tożsamości jest usługa Microsoft Entra Domain Services, <user-upn> jest <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Aby uzyskać więcej informacji na temat użycia narzędzia icacls do ustawiania list ACL w systemie Windows i różnych typów obsługiwanych uprawnień, zobacz dokumentację wiersza poleceń dla icacls.
Konfiguracja list kontroli dostępu (ACL) Windows za pomocą Eksploratora plików Windows
Jeśli logujesz się do klienta Windows przyłączonego do domeny, możesz użyć Windows Eksploratora plików, aby udzielić pełnych uprawnień do wszystkich katalogów i plików w udziale plików, w tym katalogu głównym. Korzystanie z Eksploratora plików działa tylko w przypadku tożsamości hybrydowych; nie działa w przypadku tożsamości tylko w chmurze.
Ważne
Korzystanie z Eksploratora plików Windows nie działa dla tożsamości przechowywanych wyłącznie w chmurze. Jeśli klient nie jest dołączony do domeny lub jeśli środowisko ma wiele lasów Active Directory, nie używaj Eksploratora plików do konfigurowania list kontroli dostępu (ACL). Zamiast tego użyj icacls . To ograniczenie istnieje, ponieważ konfiguracja listy ACL w Eksploratorze plików Windows wymaga, aby klient był przyłączony do domeny usługi AD, do której jest przyłączone konto magazynu.
Wykonaj następujące kroki, aby skonfigurować listy ACL przy użyciu eksploratora plików Windows.
- Otwórz eksploratora plików Windows, kliknij prawym przyciskiem myszy plik lub katalog i wybierz pozycję Właściwości.
- Wybierz kartę Zabezpieczenia.
- Wybierz pozycję Edytuj., aby zmienić uprawnienia.
- Zmień uprawnienia istniejących użytkowników lub wybierz pozycję Dodaj..., aby udzielić uprawnień nowym użytkownikom.
- W oknie monitu o dodanie nowych użytkowników wprowadź docelową nazwę użytkownika, do której chcesz udzielić uprawnień w polu Wprowadź nazwy obiektów do wybrania , a następnie wybierz pozycję Sprawdź nazwy , aby znaleźć pełną nazwę UPN użytkownika docelowego. Może być konieczne określenie nazwy domeny i identyfikatora GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub lokalnego klienta przyłączonego do usługi AD.
- Wybierz przycisk OK.
- Na karcie Zabezpieczenia wybierz wszystkie uprawnienia, które chcesz przyznać nowemu użytkownikowi.
- Wybierz Zastosuj.
Następny krok
Po skonfigurowaniu uprawnień na poziomie katalogu i pliku można zainstalować udział plików SMB na Windows lub Linux.