Настройка разрешений на уровне каталога и файлов по протоколу S МБ
Прежде чем начать эту статью, убедитесь, что вы прочитали назначение разрешений на уровне общего ресурса для удостоверения , чтобы убедиться, что ваши разрешения на уровне общего доступа установлены с помощью управления доступом на основе ролей Azure (RBAC).
После назначения разрешений на уровне общего доступа можно настроить списки управления доступом Windows (ACL), также называемые разрешениями NTFS, на корневом, каталоге или на уровне файлов. Хотя разрешения на уровне общего доступа действуют как высокоуровневый вратарь, который определяет, может ли пользователь получить доступ к общей папке, списки управления доступом Windows работают на более детальном уровне, чтобы управлять операциями, которые пользователь может выполнять на уровне каталога или файла.
Разрешения на уровне общего доступа и файла или каталога применяются при попытке пользователя получить доступ к файлу или каталогу, поэтому при наличии различия между ними применяются только самые строгие. Например, если у пользователя есть доступ на чтение и запись на уровне файла, но только чтение на уровне общего ресурса, то он может считывать только этот файл. То же самое было бы верно, если он был изменен: если пользователь имел доступ на чтение и запись на уровне общего ресурса, но только чтение на уровне файла, они по-прежнему могут читать только файл.
Важно!
Чтобы настроить списки управления доступом Windows, вам потребуется клиентский компьютер под управлением Windows с неодновременным сетевым подключением к контроллеру домена. Если вы выполняете проверку подлинности с помощью Файлы Azure с помощью служб домен Active Directory (AD DS) или Microsoft Entra Kerberos для гибридных удостоверений, это означает, что вам потребуется единое сетевое подключение к локальной ad. Если вы используете доменные службы Microsoft Entra, клиентский компьютер должен иметь неоднократное сетевое подключение к контроллерам домена для домена, управляемого доменными службами Microsoft Entra, которые находятся в Azure.
Применяется к
| Тип общей папки | SMB | NFS |
|---|---|---|
| Стандартные общие папки (GPv2), LRS/ZRS |  |
 |
| Стандартные общие папки (GPv2), GRS/GZRS | |
|
| Общие папки уровня "Премиум" (FileStorage), LRS/ZRS | |
|
Разрешения RBAC в Azure
В следующей таблице содержатся разрешения Azure RBAC, связанные с этой конфигурацией. Если вы используете служба хранилища Azure Обозреватель, вам также потребуется роль чтения и доступа к данным для чтения и доступа к общей папке.
| Разрешение на уровне общего доступа (встроенная роль) | Разрешения NTFS | Итоговый доступ |
|---|---|---|
| Читатель общей папки файловых данных хранилища SMB | Полный доступ, Изменение, Чтение, Запись, Выполнение | Чтение и выполнение |
| Читать | Читать | |
| Участник общей папки файловых данных хранилища SMB | Полный контроль | Изменение, Чтение, Запись, Выполнение |
| Изменить | Изменить | |
| Чтение и выполнение | Чтение и выполнение | |
| Читать | Читать | |
| Запись | Запись | |
| Участник общих папок данных SMB службы хранилища с повышенными правами | Полный контроль | Изменение, Чтение, Запись, Изменение разрешений, Выполнение |
| Изменить | Изменить | |
| Чтение и выполнение | Чтение и выполнение | |
| Читать | Читать | |
| Запись | Запись |
Поддерживаемые списки управления доступом Windows
Служба "Файлы Azure" поддерживает полный набор основных и дополнительных списков Windows ACL.
| Пользователи | Определение |
|---|---|
BUILTIN\Administrators |
Встроенная группа безопасности, представляющая администраторов файлового сервера. Эта группа пуста, и в нее никого нельзя добавить. |
BUILTIN\Users |
Встроенная группа безопасности, представляющая пользователей файлового сервера. Он включает NT AUTHORITY\Authenticated Users по умолчанию. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для файлов Azure нет хост-сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Учетная запись службы операционной системы файлового сервера. Такая учетная запись службы не применяется в контексте файлов Azure. Она добавляется в корневой каталог, чтобы соответствовать интерфейсу файлового сервера Windows для гибридных сценариев. |
NT AUTHORITY\Authenticated Users |
Все пользователи в AD, которые могут получить действительный маркер безопасности Kerberos. |
CREATOR OWNER |
У каждого объекта — либо каталога, либо файла — есть свой владелец. Если есть ACL, назначенные CREATOR OWNER для этого объекта, то пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Для корневой папки файлового ресурса доступен следующий набор разрешений:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Дополнительные сведения об этих расширенных разрешениях см . в справочнике по командной строке для icacls.
Как это работает
Существует два подхода, которые можно использовать для настройки и редактирования списков управления доступом Windows.
Войдите с помощью ключа имени пользователя и учетной записи хранения каждый раз: в любое время, когда вы хотите настроить списки управления доступом, подключите общую папку с помощью ключа учетной записи хранения на компьютере с неуклюжим сетевым подключением к контроллеру домена.
Настройка ключа единовременной учетной записи хранения и имени пользователя:
Примечание.
Эта настройка работает для только что созданных общих папок, так как любой новый файл или каталог наследует настроенное корневое разрешение. Для общих папок, перенесенных вместе с существующими списками управления доступом, или при переносе локальных файлов или каталогов с существующими разрешениями в новом общей папке этот подход может не работать, так как перенесенные файлы не наследуют настроенный корневой ACL.
- Войдите с помощью ключа имени пользователя и учетной записи хранения на компьютере с неуниверсированным сетевым подключением к контроллеру домена и предоставьте некоторым пользователям (или группам) разрешение на изменение разрешений на корне общей папки.
- Назначьте этим пользователям роль служба хранилища файловые данные S МБ предоставить общий доступ к роли RBAC участника Azure с повышенными привилегиями.
- В будущем, когда вы хотите обновить списки управления доступом, вы можете использовать одного из авторизованных пользователей для входа с компьютера, который не удалял сетевое подключение к контроллеру домена и изменять списки управления доступом.
Подключение общей папки с помощью ключа учетной записи хранения
Перед настройкой списков управления доступом Windows необходимо сначала подключить общую папку с помощью ключа учетной записи хранения. Для этого войдите на устройство, присоединенное к домену, откройте командную строку Windows и выполните следующую команду. Не забудьте заменить <YourStorageAccountName>, <FileShareName>а <YourStorageAccountKey> также собственными значениями. Если носитель "Z:" уже используется, укажите букву доступного диска. Ключ учетной записи хранения можно найти в портал Azure, перейдя к учетной записи хранения и выбрав ключи безопасности и сетевого>Get-AzStorageAccountKey доступа или командлет PowerShell.
Важно использовать net use команду Windows для подключения общей папки на этом этапе, а не PowerShell. Если вы используете PowerShell для подключения общей папки, общий ресурс не будет отображаться в Windows проводник или cmd.exe, и у вас возникнут проблемы с настройкой списков управления доступом Windows.
Примечание.
Вы можете увидеть ACL полного элемента управления , примененного к роли. Обычно это разрешение включает возможность назначать разрешения. Но есть определенные ограничения, поскольку проверки доступа выполняются на двух уровнях: общей папки и файла или каталога. Только пользователи с ролью участника SMB с повышенными правами и полномочиями на создание файла или каталога могут назначать разрешения для новых файлов и каталогов без ключа учетной записи хранения. Для остальных назначенных разрешений на уровне каталога/файлов требуется подключение к общей папке с помощью ключа учетной записи хранения.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Настройка Windows ACL
Списки управления доступом Windows можно настроить с помощью icacls или Windows проводник. Вы также можете использовать команду Set-ACL PowerShell.
Важно!
Если в вашей среде несколько лесов AD DS, не используйте Windows Обозреватель для настройки списков управления доступом. Вместо этого используйте icacls.
Если у вас есть каталоги или файлы на локальных файловых серверах с списками управления доступом Windows, настроенными для удостоверений AD DS, их можно скопировать в Файлы Azure сохранение списков управления доступом с традиционными средствами копирования файлов, такими как Robocopy или Azure AzCopy версии 10.4+. Если каталоги и файлы распределены по уровням в службе "Файлы Azure" с помощью Синхронизации файлов Azure, списки ACL переносятся и сохраняются в собственном формате.
Не забудьте синхронизировать удостоверения, чтобы разрешения набора вступают в силу. Вы можете задать списки управления доступом для не синхронизированных удостоверений, но эти списки управления доступом не будут применяться, так как не синхронизированные удостоверения не будут присутствовать в билете Kerberos, используемом для проверки подлинности и авторизации.
Настройка списков управления доступом Windows с помощью icacls
Чтобы предоставить полные разрешения для всех каталогов и файлов в общей папке, включая корневой каталог, выполните следующую команду Windows с компьютера, имеет прямую связь с контроллером домена AD. Не забудьте заменить значения заполнителей в примере собственными значениями.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Дополнительные сведения об использовании icacls для настройки списков Windows ACL и поддерживаемых типах разрешений см. в руководстве по использованию icacls в командной строке.
Настройка списков управления доступом Windows с помощью проводника Windows
Если вы вошли в клиент Windows, присоединенный к домену, вы можете использовать Windows проводник для предоставления полного разрешения всем каталогам и файлам в общей папке, включая корневой каталог. Если клиент не присоединен к домену, используйте icacls для настройки списков управления доступом Windows.
- Откройте проводник Windows, щелкните правой кнопкой мыши файл или каталог и выберите пункт Свойства.
- Выберите вкладку Безопасность.
- Чтобы изменить разрешения, нажмите Изменить.
- Здесь можно изменить разрешения имеющихся пользователей или нажать кнопку Добавить..., чтобы предоставить разрешения новым пользователям.
- В окне запроса для добавления новых пользователей введите целевое имя пользователя, которому нужно предоставить разрешения, в поле Введите имена объектов для выбора и выберите Проверить имена, чтобы найти полное имя нужного пользователя.
- Нажмите ОК.
- На вкладке Безопасность выберите все разрешения, которые необходимо предоставить новому пользователю.
- Нажмите Применить.
Следующие шаги
Теперь, когда вы включили и настроили проверку подлинности на основе удостоверений с помощью AD DS, вы можете подключить общую папку.