Dela via

Konfigurera katalog- och filnivåbehörigheter för Azure-filresurser

  • Artikel

Innan du börjar den här artikeln måste du läsa Tilldela behörigheter på resursnivå till en identitet för att säkerställa att dina behörigheter på resursnivå finns på plats med rollbaserad åtkomstkontroll i Azure (RBAC).

När du har tilldelat behörigheter på resursnivå kan du konfigurera Windows åtkomstkontrollistor (ACL: er), även kallade NTFS-behörigheter, på rot-, katalog- eller filnivå. Även om behörigheter på resursnivå fungerar som en gatekeeper på hög nivå som avgör om en användare kan komma åt resursen, fungerar Windows-ACL:er på en mer detaljerad nivå för att styra vilka åtgärder användaren kan göra på katalog- eller filnivå.

Behörigheter på både resursnivå och fil-/katalognivå tillämpas när en användare försöker komma åt en fil/katalog. Om det finns en skillnad mellan någon av dem tillämpas endast den mest restriktiva. Om en användare till exempel har läs- och skrivåtkomst på filnivå, men bara läser på resursnivå, kan de bara läsa filen. Detsamma skulle vara sant om det var omvänd: om en användare hade läs-/skrivåtkomst på resursnivå, men bara läste på filnivå, kan de fortfarande bara läsa filen.

Viktigt!

För att konfigurera Windows-ACL:er behöver du en klientdator som kör Windows som har obehindrat nätverksanslutning till domänkontrollanten. Om du autentiserar med Azure Files med hjälp av Active Directory-domän Services (AD DS) eller Microsoft Entra Kerberos för hybrididentiteter innebär det att du behöver en obehindrad nätverksanslutning till den lokala AD:n. Om du använder Microsoft Entra Domain Services måste klientdatorn ha obehindrat nätverksanslutning till domänkontrollanterna för domänen som hanteras av Microsoft Entra Domain Services, som finns i Azure.

Gäller för

Typ av filresurs SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Ja Inga
Standardfilresurser (GPv2), GRS/GZRS Ja Inga
Premiumfilresurser (FileStorage), LRS/ZRS Ja Nej

Windows-ACL:er som stöds

Azure Files stöder den fullständiga uppsättningen grundläggande och avancerade Windows-ACL:er.

Användare Definition
BUILTIN\Administrators Inbyggd säkerhetsgrupp som representerar administratörer för filservern. Den här gruppen är tom och ingen kan läggas till i den.
BUILTIN\Users Inbyggd säkerhetsgrupp som representerar användare av filservern. Den innehåller NT AUTHORITY\Authenticated Users som standard. För en traditionell filserver kan du konfigurera medlemskapsdefinitionen per server. För Azure Files finns det ingen värdserver, och därför BUILTIN\Users innehåller samma uppsättning användare som NT AUTHORITY\Authenticated Users.
NT AUTHORITY\SYSTEM Tjänstkontot för filserverns operativsystem. Ett sådant tjänstkonto gäller inte i Azure Files-kontexten. Den ingår i rotkatalogen för att vara konsekvent med Windows Files Server-upplevelsen för hybridscenarier.
NT AUTHORITY\Authenticated Users Alla användare i AD som kan hämta en giltig Kerberos-token.
CREATOR OWNER Varje objekt, antingen katalog eller fil, har en ägare för objektet. Om det finns ACL:er som tilldelats för CREATOR OWNER objektet har användaren som är ägare till det här objektet behörigheterna till det objekt som definierats av ACL:en.

Följande behörigheter ingår i rotkatalogen för en filresurs:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Mer information om dessa avancerade behörigheter finns i kommandoradsreferensen för icacls.

Hur det fungerar

Det finns två sätt att konfigurera och redigera Windows-ACL:er:

  • Logga in med användarnamn och lagringskontonyckel varje gång: När du vill konfigurera ACL:er monterar du filresursen med hjälp av din lagringskontonyckel på en dator som har obehindrat nätverksanslutning till domänkontrollanten.

  • Konfiguration av engångsanvändar-/lagringskontonyckel:

Kommentar

Den här konfigurationen fungerar för nyligen skapade filresurser eftersom alla nya filer/kataloger ärver den konfigurerade rotbehörigheten. För filresurser som migrerats tillsammans med befintliga ACL:er, eller om du migrerar någon lokal fil/katalog med befintliga behörigheter i en ny filresurs, kanske den här metoden inte fungerar eftersom de migrerade filerna inte ärver den konfigurerade rot-ACL:n.

  1. Logga in med ett användarnamn och en lagringskontonyckel på en dator som har obehindrat nätverksanslutning till domänkontrollanten och ge vissa användare (eller grupper) behörighet att redigera behörigheter i roten på filresursen.
  2. Tilldela dessa användare azure RBAC-rollen Storage File Data SMB Share Elevated Contributor .
  3. När du vill uppdatera ACL:er i framtiden kan du använda en av de behöriga användarna för att logga in från en dator som har obehindrat nätverksanslutning till domänkontrollanten och redigera ACL:er.

Montera filresursen med hjälp av lagringskontonyckeln

Innan du konfigurerar Windows-ACL:er måste du först montera filresursen med hjälp av lagringskontonyckeln. Det gör du genom att logga in på en domänansluten enhet (som Microsoft Entra-användare om DIN AD-källa är Microsoft Entra Domain Services), öppna en Windows-kommandotolk och kör följande kommando. Kom ihåg att ersätta <YourStorageAccountName>, <FileShareName>och <YourStorageAccountKey> med dina egna värden. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Du hittar din lagringskontonyckel i Azure Portal genom att gå till lagringskontot och välja Åtkomstnycklar för säkerhet och nätverk>, eller så kan du använda PowerShell-cmdletenGet-AzStorageAccountKey.

Det är viktigt att du använder Windows-kommandot net use för att montera delningen i detta skede och inte PowerShell. Om du använder PowerShell för att montera resursen visas inte resursen för Windows Utforskaren eller cmd.exe, och du har svårt att konfigurera Windows-ACL:er.

Kommentar

Du kan se att ACL: en för fullständig kontroll redan har tillämpats på en roll. Detta ger vanligtvis redan möjlighet att tilldela behörigheter. Men eftersom det finns åtkomstkontroller på två nivåer (delningsnivån och fil-/katalognivån) är detta begränsat. Endast användare som har rollen Storage File Data SMB Share Elevated Contributor och skapar en ny fil eller katalog kan tilldela behörigheter för dessa nya filer eller kataloger utan att använda lagringskontonyckeln. Alla andra fil-/katalogbehörighetstilldelningar kräver att du ansluter till delningen med hjälp av lagringskontonyckeln först.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Konfigurera Windows-ACL:er

Du kan konfigurera Windows-ACL:er med icacls eller Windows Utforskaren. Du kan också använda PowerShell-kommandot Set-ACL .

Om du har kataloger eller filer på lokala filservrar med Windows-ACL:er konfigurerade mot AD DS-identiteterna kan du kopiera dem till Azure Files och spara ACL:er med traditionella filkopieringsverktyg som Robocopy eller Azure AzCopy v 10.4+. Om dina kataloger och filer är nivåindelade i Azure Files via Azure File Sync överförs dina ACL:er och sparas i sitt interna format.

Viktigt!

Om du använder Microsoft Entra Kerberos som AD-källa måste identiteter synkroniseras med Microsoft Entra-ID för att ACL:er ska kunna tillämpas. Du kan ange ACL:er på fil-/katalognivå för identiteter som inte är synkroniserade med Microsoft Entra-ID. Dessa ACL:er tillämpas dock inte eftersom Kerberos-biljetten som används för autentisering/auktorisering inte innehåller de icke-synkroniserade identiteterna. Om du använder lokal AD DS som AD-källa kan du ha icke-synkroniserade identiteter i ACL:erna. AD DS placerar dessa SID:er i Kerberos-biljetten och ACL:er tillämpas.

Konfigurera Windows-ACL:er med icacls

Om du vill bevilja fullständig behörighet till alla kataloger och filer under filresursen, inklusive rotkatalogen, kör du följande Windows-kommando från en dator som har obehindrat nätverksanslutning till AD-domänkontrollanten. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden. Om din AD-källa är Microsoft Entra Domain Services blir <user-email>den <user-upn> .

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

I kommandoradsreferensen för icacls hittar du mer information om hur du använder icacls för att ange Windows-åtkomstkontrollistor och om de olika typerna av behörigheter som stöds.

Konfigurera Windows-ACL:er med Windows Utforskaren

Om du är inloggad på en domänansluten Windows-klient kan du använda Windows Utforskaren för att ge fullständig behörighet till alla kataloger och filer under filresursen, inklusive rotkatalogen.

Viktigt!

Om klienten inte är domänansluten eller om din miljö har flera AD-skogar ska du inte använda Utforskaren för att konfigurera ACL:er. Använd icacls i stället. Det beror på att Windows Utforskaren ACL-konfiguration kräver att klienten är domänansluten till DEN AD-domän som lagringskontot är anslutet till.

Följ de här stegen för att konfigurera ACL:er med Hjälp av Windows Utforskaren.

  1. Öppna Windows Utforskaren, högerklicka på filen/katalogen och välj Egenskaper.
  2. Välj fliken Säkerhet.
  3. Välj Redigera.. om du vill ändra behörigheter.
  4. Du kan ändra behörigheter för befintliga användare eller välja Lägg till... för att bevilja behörigheter till nya användare.
  5. I promptfönstret för att lägga till nya användare anger du det målanvändarnamn som du vill bevilja behörigheter till i rutan Ange objektnamn som ska markeras och väljer Kontrollera namn för att hitta målanvändarens fullständiga UPN-namn. Du kan behöva ange domännamn och domän-GUID för din lokala AD. Du kan hämta den här informationen från domänadministratören eller från en lokal AD-ansluten klient.
  6. Välj OK.
  7. På fliken Säkerhet väljer du alla behörigheter som du vill bevilja den nya användaren.
  8. Välj Använd.

Gå vidare

Nu när du har konfigurerat behörigheter på katalog- och filnivå kan du montera filresursen.