Настройка разрешений S МБ служба хранилища

FSLogix работает с системами хранилища S МБ для хранения контейнеров Profile или ODFC. S МБ хранилище используется в стандартных конфигурациях, где VHDLocations содержит UNC-путь к расположениям хранилища. Поставщики хранилища S МБ также можно использовать в конфигурациях облачного кэша, где CCDLocations используется вместо VHDLocations.

Разрешения хранилища S МБ зависят от традиционных списков NTFS контроль доступа списков (ACL), применяемых на уровне файлов или папок, чтобы обеспечить правильную безопасность хранимых данных. При использовании с Файлы Azure необходимо включить источник Active Directory (AD), а затем назначить разрешения на уровне общего ресурса. Существует два способа назначения разрешений на уровне общего ресурса. Вы можете назначить их определенным пользователям и группам идентификаторов записей, и их можно назначить всем удостоверениям, прошедшим проверку подлинности, как разрешение на уровне общего доступа по умолчанию.

Подготовка к работе

Перед настройкой разрешений на хранилище S МБ необходимо сначала создать поставщика хранилища S МБ и правильно связаться с правильным центром идентификации для вашей организации и типа поставщика хранилища.

Внимание

Необходимо понимать процессы, необходимые для использования Файлы Azure или Azure NetApp Files для S МБ хранилища в вашей среде.

Файлы Azure

В этом разделе приведены начальные понятия, необходимые при использовании Файлы Azure в качестве поставщика S МБ служба хранилища. Независимо от выбранной конфигурации Active Directory рекомендуется настроить разрешение уровня общего доступа по умолчанию с помощью служба хранилища файловых данных S МБ участник общего доступа, назначенный всем удостоверениям, прошедшим проверку подлинности. Чтобы настроить ACL Для Windows, убедитесь, что вы назначаете разрешения на уровне общего доступа для определенных пользователей или групп записей с помощью роли служба хранилища файловых данных S МБ Предоставить общий доступ к роли участника с повышенными привилегиями, а также проверьте разрешения на настройку каталогов и разрешений на уровне файлов по протоколу S МБ.

1. Создайте общую папку S МБ Azure.
   • Включение проверки подлинности AD DS для общих папок Azure
   • Включение проверки подлинности доменных служб Azure Active Directory в службе "Файлы Azure"
   • Включение проверки подлинности Kerberos Azure Active Directory для гибридных удостоверений в Файлы Azure

Azure NetApp Files

Azure NetApp Files зависит исключительно от ACL Windows.

1. Создайте учетную запись NetApp.
2. Ознакомьтесь с рекомендациями по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files.
3. Создайте пул емкости для Azure NetApp Files.
4. Создайте том SMB для Azure NetApp Files.

Настройка ACL Windows

Windows ACL(s) важно настроить правильно, чтобы только пользователь (CREATOR OWNER) получил доступ к каталогу профилей или файлу VHD(x). Кроме того, необходимо убедиться, что любые другие административные группы имеют полный контроль с точки зрения работы. Эта концепция называется доступом на основе пользователей и является рекомендуемой конфигурацией.

Любой файловый ресурс S МБ имеет набор ACL по умолчанию. Эти примеры являются тремя (3) наиболее распространенными типами общих папок S МБ и их ACL по умолчанию.

ACL файлового сервера	Файлы Azure общий доступ к ACL	ACL для Azure NetApp Files

Внимание

Применение ACL к общим папкам Azure может потребовать одного (1) из двух (2) методов:

1. Предоставьте пользователю или группе роль служба хранилища файловые данные S МБ предоставить роль участника с повышенными привилегиями в учетной записи служба хранилища или общей папке контроль доступа (IAM).
2. Подключите общую папку с помощью ключа учетной записи служба хранилища.

Так как доступ проверка на двух уровнях (уровне общей папки и уровне каталога), применение ACL ограничено. Только пользователи, у которых есть служба хранилища файловые данные S МБ роль участника с повышенными привилегиями могут назначать разрешения на корневой файловый ресурс или другие файлы или каталоги без использования ключа учетной записи хранения. Для остальных назначенных разрешений на уровне каталога/файлов требуется подключение к общей папке с помощью ключа учетной записи хранения.

Рекомендуемые ACL

В таблице описаны рекомендуемые ACL, которые необходимо настроить.

Субъект	Открыть	Относится к	Description
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ	Изменение (чтение и запись)	Только вложенные папки и файлы	Гарантирует, что каталог профилей, созданный пользователем, имеет правильные разрешения только для этого пользователя.
CONTOSO\Domain Admins	Полный доступ	Для этой папки, вложенных папок и файлов	Замените группу организаций, используемую для администрирования.
CONTOSO\Domain Users	Изменение (чтение и запись)	Только эта папка	Позволяет авторизованным пользователям создавать каталог профилей. Замените пользователей организации, которым требуется доступ к созданию профилей.

Применение ACL Windows с помощью icacls

Используйте следующую команду Windows, чтобы настроить рекомендуемые разрешения для всех каталогов и файлов в общей папке, включая корневой каталог.

Примечание.

Не забудьте заменить значения заполнителей в примере собственными значениями.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Дополнительные сведения об использовании icacls для задания ACL Windows и различных типов поддерживаемых разрешений см. в справочнике командной строки для icacls.

Применение ACL Windows с помощью Windows Обозреватель

Используйте Windows проводник, чтобы применить рекомендуемые разрешения ко всем каталогам и файлам в общей папке, включая корневой каталог.

1. Откройте Windows проводник в корне общей папки.

2. Щелкните правой кнопкой мыши открытую область на правой панели и выберите пункт "Свойства".

3. Выберите вкладку Безопасность.

4. Выберите Дополнительно.

5. Выберите "Отключить наследование".

   Примечание.

   При появлении запроса удалите унаследованные разрешения вместо копирования

6. Выберите Добавить.

7. Выберите "Выбрать субъект".

8. Введите "CREATOR OWNER" и нажмите кнопку "Проверить имя", а затем нажмите кнопку "ОК".

9. Для параметра "Применимо к:", выберите только вложенные папки и файлы.

10. Для параметра "Основные разрешения:" выберите "Изменить".

11. Нажмите ОК.

12. Повторите шаги 6 – 11 на основе рекомендуемых ACL.

13. Нажмите кнопку "ОК" и "ОК", чтобы завершить применение разрешений.

    

Применение ACL Windows с помощью конфигурации SIDDirSDDL

Кроме того, FSLogix предоставляет параметр конфигурации, который задает списки ACL Windows в каталоге во время создания. Параметр конфигурации SIDDirSDDL принимает строку SDDL, которая определяет ACL(s) для применения к каталогу после его создания.

Создание строки SDDL

1. Создайте папку Test в общей папке S МБ.

   

2. Измените разрешения на соответствие вашей организации.

   

3. Откройте терминал PowerShell.

4. Введите Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. Скопируйте выходные данные в Блокнот.

6. Замените O:BAG на O:%sid% (задает идентификатор безопасности пользователя в качестве владельца папки).

7. Замените (A;OICIIO;0x1301bf;;;CO) на (A;OICIIO;0x1301bf;;;%sid%) (предоставляет идентификатору безопасности пользователя права на изменение всех элементов).

8. В конфигурации FSLogix примените параметр SIDDirSDDL.

   • Имя значения: SIDDirSDDL
   • Тип значения: REG_SZ
   • ЗначениеO:%sid%G:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602).

9. При первом входе пользователя их каталог создается с этими разрешениями.