Configurar permissões de armazenamento SMB

O FSLogix funciona com sistemas de armazenamento SMB para armazenar contêineres Profile ou ODFC. O armazenamento SMB é usado em configurações padrão em que o VHDLocations mantém o caminho UNC para os locais de armazenamento. Os provedores de armazenamento SMB também podem ser usados em configurações de Cloud Cache em que CCDLocations é usado em vez de VHDLocations.

As permissões de armazenamento SMB dependem das ACL (Listas de Controle de Acesso) NTFS tradicionais aplicadas em níveis de arquivo ou pasta para garantir a segurança adequada dos dados armazenados. Quando usado com os Arquivos do Azure, você deve habilitar uma origem do Active Directory (AD) e atribuir permissões de nível de compartilhamento ao recurso. Há duas maneiras de atribuir permissões em nível de compartilhamento. Você pode atribuí-los a usuários/grupos específicos do Entra ID e pode atribuí-los a todas as identidades autenticadas como uma permissão padrão no nível de compartilhamento.

Antes de começar

Antes de configurar permissões de armazenamento SMB, você deve primeiro ter o provedor de armazenamento SMB criado e associado adequadamente à autoridade de identidade correta para sua organização e tipo de provedor de armazenamento.

Importante

Você deve entender os processos necessários para usar os Arquivos do Azure ou os Arquivos do Azure NetApp para armazenamento SMB em seu ambiente.

Arquivos do Azure

A estrutura de tópicos fornece os conceitos iniciais necessários ao usar os Arquivos do Azure como seu provedor de Armazenamento SMB. Independentemente da configuração do Active Directory selecionada, é recomendável configurar a permissão padrão no nível de compartilhamento usando o Colaborador de Compartilhamento SMB de Dados de Arquivo de Armazenamento, que é atribuído a todas as identidades autenticadas. Para poder definir a(s) ACL(s) do Windows, certifique-se de atribuir permissões de nível de compartilhamento para usuários ou grupos específicos do Entra ID com a função Compartilhamento Elevado de Dados de Arquivo de Arquivo de Armazenamento e permissões de nível de arquivo sobre SMB revisadas em Configurar diretório e permissões em nível de arquivo sobre SMB.

1. Crie um compartilhamento de arquivos SMB Azure.
   • Habilitar a autenticação do AD DS para compartilhamentos de arquivos do Azure
   • Habilitar a autenticação do Azure Active Directory Domain Services nos Arquivos do Azure
   • Habilitar a autenticação Kerberos do Azure Active Directory para identidades híbridas em Arquivos do Azure

Azure NetApp Files

Os Arquivos NetApp do Azure dependem exclusivamente da(s) ACL(s) do Windows.

1. Crie uma conta do NetApp.
2. Entenda as diretrizes para o design e o planejamento do site dos Serviços de Domínio Active Directory para Arquivos NetApp do Azure.
3. Crie um pool de capacidade para Arquivos NetApp do Azure.
4. Crie um volume SMB para o Azure NetApp Files.

Configurar ACL(s) do Windows

As ACLs do Windows são importantes para configurar corretamente para que somente o usuário (CREATOR OWNER) tenha acesso ao diretório de perfil ou ao arquivo VHD(x). Além disso, você precisa garantir que quaisquer outros grupos administrativos tenham "Controle Total" de uma perspectiva operacional. Esse conceito é conhecido como acesso baseado no usuário e é a configuração recomendada.

Qualquer compartilhamento de arquivos SMB tem um conjunto padrão de ACL(s). Esses exemplos são os três (3) tipos mais comuns de compartilhamentos de arquivos SMB e suas ACLs padrão.

ACL(s) do servidor de arquivos	Arquivos do Azure Compartilhar ACL(s)	Azure NetApp Files ACL(s)

Importante

A aplicação de ACL(s) aos Compartilhamentos de Arquivos do Azure pode exigir um (1) de dois (2) métodos:

1. Forneça a um usuário ou grupo a função de Colaborador Elevado de Compartilhamento SMB de Dados de Arquivo de Armazenamento na Conta de Armazenamento ou no Controle de Acesso de Compartilhamento de Arquivos (IAM).
2. Monte o compartilhamento de arquivos usando a chave Conta de Armazenamento.

Como há verificações de acesso em dois níveis (o nível de compartilhamento e o nível de arquivo/diretório), a aplicação de ACL(s) é restrita. Somente os usuários que têm a função Colaborador Elevado de Compartilhamento SMB de Dados de Arquivo de Armazenamento podem atribuir permissões na raiz do compartilhamento de arquivos ou em outros arquivos ou diretórios sem usar a chave da conta de armazenamento. Todas as outras atribuições de permissão de arquivo/diretório exigem a conexão com o compartilhamento usando a chave de conta de armazenamento primeiro.

ACL(s) recomendada(s)

A tabela descreve a(s) ACL(s) recomendada(s) a ser configurada(s).

Principal	Access	Aplicável ao	Descrição
CREATOR OWNER	Modificar (Leitura / Gravação)	Apenas subpastas e arquivos	Garante que o diretório de perfil criado pelo usuário tenha as permissões corretas somente para esse usuário.
CONTOSO\Admins. do Domínio	Controle total	Essa pasta, subpastas e arquivos	Substitua pelo grupo de organizações usado para fins administrativos.
CONTOSO\Usuários do Domínio	Modificar (Leitura / Gravação)	Apenas essa pasta	Permite que usuários autorizados criem seu diretório de perfil. Substitua por usuários organizacionais que precisam de acesso para criar perfis.

Aplicar ACL(s) do Windows usando icacls

Use o seguinte comando do Windows para configurar as permissões recomendadas para todos os diretórios e arquivos no compartilhamento de arquivos, incluindo o diretório raiz.

Observação

Lembre-se de substituir os valores de espaço reservado no exemplo pelos seus próprios valores.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Para obter mais informações sobre como usar icacls para definir ACL(s) do Windows e sobre os diferentes tipos de permissões com suporte, consulte a referência de linha de comando para icacls.

Aplicar ACL(s) do Windows usando o Windows Explorer

Use o Explorador de Arquivos do Windows para aplicar as permissões recomendadas a todos os diretórios e arquivos no compartilhamento de arquivos, incluindo o diretório raiz.

1. Abra o Explorador de Arquivos do Windows na raiz do compartilhamento de arquivos.

2. Clique com o botão direito do mouse na área aberta no painel direito e selecione Propriedades.

3. Selecione a guia Segurança.

4. Selecione Avançado.

5. Selecione Desativar herança.

   Observação

   Se solicitado, permissões herdadas removidas em vez de copiar

6. Selecione Adicionar.

7. Selecione 'Selecionar uma entidade de segurança'.

8. Digite "CREATOR OWNER" e selecione Check Name, em seguida, OK.

9. Para 'Aplica-se a:', selecione 'Somente subpastas e arquivos'.

10. Para 'Permissões básicas:', selecione 'Modificar'.

11. Selecione OK.

12. Repita as etapas 6 a 11 com base na(s) ACL(s) recomendada (s).

13. Selecione OK e OK novamente para concluir a aplicação das permissões.

    

Aplicar ACL(s) do Windows usando a configuração SIDDirSDDL

Como alternativa, o FSLogix fornece uma definição de configuração que define a(s) ACL(s) do Windows no diretório durante o processo de criação. A definição de configuração SIDDirSDDL aceita uma cadeia de caracteres SDDL que define a(s) ACL(s) a ser aplicada ao diretório após sua criação.

Crie sua cadeia de caracteres SDDL

1. Crie uma pasta 'Test' no compartilhamento de arquivos SMB.

   

2. Modifique as permissões para corresponder à sua organização.

   

3. Abra um Terminal do PowerShell.

4. Digite Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. Copie a saída para o bloco de notas.

6. Substitua O:BAG por O:%sid% (Define o SID do usuário como o proprietário da pasta).

7. Substitua (A;OICIIO;0x1301bf;;;CO) por (A;OICIIO;0x1301bf;;;%sid%) (Concede ao SID do usuário direitos de modificação para todos os itens).

8. Na configuração do FSLogix, aplique a configuração SIDDirSDDL.

   • Nome do valor: SIDDirSDDL
   • Tipo de valor: REG_SZ
   • Valor:O:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)

9. Quando o usuário entra pela primeira vez, seu diretório é criado com essas permissões.