Aracılığıyla paylaş

Azure dosya paylaşımları için dizin ve dosya düzeyi izinlerini yapılandırma

  • Makale

Bu makaleye başlamadan önce, Paylaşım düzeyi izinlerinizin Azure rol tabanlı erişim denetimi (RBAC) ile sağlandığından emin olmak için Bir kimliğe paylaşım düzeyi izinleri atama makalesini okuduğunuzdan emin olun.

Paylaşım düzeyi izinleri atadıktan sonra, kök, dizin veya dosya düzeyinde NTFS izinleri olarak da bilinen Windows erişim denetim listelerini (ACL' ler) yapılandırabilirsiniz. Paylaşım düzeyi izinleri, kullanıcının paylaşıma erişip erişemeyeceğini belirleyen üst düzey bir ağ geçidi denetleyicisi işlevi görürken, Windows ACL'leri kullanıcının dizin veya dosya düzeyinde hangi işlemleri yapabileceğini denetlemek için daha ayrıntılı bir düzeyde çalışır.

Kullanıcı bir dosyaya/dizine erişmeye çalıştığında hem paylaşım düzeyi hem de dosya/dizin düzeyi izinleri zorlanır. Bunlardan biri arasında bir fark varsa, yalnızca en kısıtlayıcı olanı uygulanır. Örneğin, bir kullanıcının dosya düzeyinde okuma/yazma erişimi varsa, ancak yalnızca paylaşım düzeyinde okursa, yalnızca bu dosyayı okuyabilir. Tersine çevrilirse de aynı durum geçerlidir: Kullanıcının paylaşım düzeyinde okuma/yazma erişimi varsa ancak yalnızca dosya düzeyinde okuma varsa, yine de yalnızca dosyayı okuyabilir.

Önemli

Windows ACL'lerini yapılandırmak için, etki alanı denetleyicisine ağ bağlantısı engellenmemiş Windows çalıştıran bir istemci makineniz olması gerekir. Karma kimlikler için Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Kerberos kullanarak Azure Dosyalar kimlik doğrulaması gerçekleştirdiyseniz, bu durum şirket içi AD'ye engellenmemiş ağ bağlantısına ihtiyacınız olduğu anlamına gelir. Microsoft Entra Domain Services kullanıyorsanız, istemci makinesinin Azure'da bulunan Microsoft Entra Domain Services tarafından yönetilen etki alanı için etki alanı denetleyicilerine karşı tanımlanamayan ağ bağlantısına sahip olması gerekir.

Şunlara uygulanır

Dosya paylaşımı türü SMB NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS Yes Hayır
Standart dosya paylaşımları (GPv2), GRS/GZRS Yes Hayır
Premium dosya paylaşımları (filestorage), LRS/ZRS Yes Hayır

Azure RBAC izinleri

Aşağıdaki tabloda bu yapılandırmayla ilgili Azure RBAC izinleri yer alır. Azure Depolama Gezgini kullanıyorsanız, dosya paylaşımını okumak/bunlara erişmek için Okuyucu ve Veri Erişimi rolüne de ihtiyacınız vardır.

Paylaşım düzeyi izni (yerleşik rol) NTFS izni Sonuçta elde edilen erişim
Depolama Dosyası Verileri SMB Paylaşımı Okuyucusu Tam denetim, Değiştirme, Okuma, Yazma, Yürütme Okuma ve yürütme
Okundu Okuma
Depolama Dosyası Verileri SMB Paylaşımı Katkıda Bulunanı Tam denetim Değiştirme, Okuma, Yazma, Yürütme
Değiştir Değiştir
Okuma ve yürütme Okuma ve yürütme
Okundu Okundu
Yaz Write
Depolama Dosyası Verileri SMB Paylaşımı Yükseltilmiş Katkıda Bulunanı Tam denetim Değiştirme, Okuma, Yazma, Düzenleme (İzinleri değiştirme), Yürütme
Değiştir Değiştir
Okuma ve yürütme Okuma ve yürütme
Okundu Okundu
Yaz Write

Desteklenen Windows ACL'leri

Azure Dosyalar, temel ve gelişmiş Windows ACL'lerinin tamamını destekler.

Kullanıcılar Tanım
BUILTIN\Administrators Dosya sunucusunun yöneticilerini temsil eden yerleşik güvenlik grubu. Bu grup boş ve gruba kimse eklenemiyor.
BUILTIN\Users Dosya sunucusunun kullanıcılarını temsil eden yerleşik güvenlik grubu. Varsayılan olarak içerir NT AUTHORITY\Authenticated Users . Geleneksel bir dosya sunucusu için üyelik tanımını sunucu başına yapılandırabilirsiniz. Azure Dosyalar için bir barındırma sunucusu yoktur, bu nedenle BUILTIN\Users ile aynı kullanıcı NT AUTHORITY\Authenticated Userskümesini içerir.
NT AUTHORITY\SYSTEM Dosya sunucusunun işletim sisteminin hizmet hesabı. Bu tür hizmet hesabı Azure Dosyalar bağlamda geçerli değildir. Karma senaryolar için Windows Dosyalar Sunucusu deneyimiyle tutarlı olması için kök dizine eklenir.
NT AUTHORITY\Authenticated Users AD'de geçerli bir Kerberos belirteci alabilen tüm kullanıcılar.
CREATOR OWNER Her nesnenin dizin veya dosyada bu nesnenin sahibi vardır. Bu nesnede atanmış CREATOR OWNER ACL'ler varsa, bu nesnenin sahibi olan kullanıcının ACL tarafından tanımlanan nesne üzerinde izinleri vardır.

Aşağıdaki izinler bir dosya paylaşımının kök dizinine eklenir:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Bu gelişmiş izinler hakkında daha fazla bilgi için icacl'ler için komut satırı başvurusuna bakın.

Nasıl çalışır?

Windows ACL'lerini yapılandırmak ve düzenlemek için kullanabileceğiniz iki yaklaşım vardır:

  • Her seferinde kullanıcı adı ve depolama hesabı anahtarıyla oturum açın: ACL'leri yapılandırmak istediğiniz her zaman, etki alanı denetleyicisine ağ bağlantısı engellenmemiş bir makinede depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlayın.

  • Tek seferlik kullanıcı adı/depolama hesabı anahtarı kurulumu:

Not

Bu kurulum, yeni oluşturulan dosya paylaşımları için çalışır çünkü herhangi bir yeni dosya/dizin yapılandırılmış kök izni devralır. Mevcut ACL'lerle birlikte geçirilen dosya paylaşımları için veya yeni bir dosya paylaşımında mevcut izinlere sahip şirket içi bir dosyayı/dizini geçirirseniz, geçirilen dosyalar yapılandırılmış kök ACL'yi devralmadığından bu yaklaşım çalışmayabilir.

  1. Etki alanı denetleyicisine ağ bağlantısının engellenmediği bir makinede kullanıcı adı ve depolama hesabı anahtarıyla oturum açın ve bazı kullanıcılara (veya gruplara) dosya paylaşımının kökünde izinleri düzenleme izni verin.
  2. Bu kullanıcılara Depolama Dosya Verileri SMB Paylaşımı Yükseltilmiş Katkıda Bulunan Azure RBAC rolünü atayın.
  3. Gelecekte, ACL'leri güncelleştirmek istediğinizde, etki alanı denetleyicisine ağ bağlantısı engellenmemiş bir makineden oturum açmak ve ACL'leri düzenlemek için bu yetkili kullanıcılardan birini kullanabilirsiniz.

Depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlama

Windows ACL'lerini yapılandırmadan önce depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlamanız gerekir. Bunu yapmak için etki alanına katılmış bir cihazda oturum açın, bir Windows komut istemi açın ve aşağıdaki komutu çalıştırın. , <FileShareName>ve <YourStorageAccountKey> değerlerini kendi değerlerinizle değiştirmeyi <YourStorageAccountName>unutmayın. Z ise: zaten kullanımdaysa bunu kullanılabilir bir sürücü harfiyle değiştirin. Depolama hesabına gidip Güvenlik + ağ>Erişim anahtarları'nı seçerek Depolama hesabı anahtarınızı Azure portalında bulabilir veya PowerShell cmdlet'ini Get-AzStorageAccountKey kullanabilirsiniz.

Paylaşımı PowerShell'de değil, bu aşamada bağlamak için net use Windows komutunu kullanmanız gerekir. Paylaşımı bağlamak için PowerShell kullanırsanız, paylaşım Windows Dosya Gezgini veya cmd.exe tarafından görünmez ve Windows ACL'lerini yapılandırmakta zorluk çekersiniz.

Not

Bir role zaten Tam Denetim ACL'sinin uygulandığını görebilirsiniz. Genellikle bu seçenek izin atama olanağı sunar. Ancak, iki düzeyde (paylaşım düzeyi ve dosya/dizin düzeyi) erişim denetimleri olduğundan bu olanak kısıtlanır. Yalnızca Depolama Dosya Verileri SMB Paylaşımı Yükseltilmiş Katkıda Bulunan rolüne sahip olan ve yeni bir dosya veya dizin oluşturan kullanıcılar, depolama hesabı anahtarını kullanmadan bu yeni dosya veya dizinlere izin atayabilir. Diğer tüm dosya/dizin izin atamaları için önce depolama hesabı anahtarını kullanarak paylaşıma bağlanmak gerekir.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Windows ACL'lerini yapılandırma

Windows ACL'lerini icacl'leri veya Windows Dosya Gezgini kullanarak yapılandırabilirsiniz. Set-ACL PowerShell komutunu da kullanabilirsiniz.

Önemli

Ortamınızda birden çok AD DS ormanı varsa, ACL'leri yapılandırmak için Windows Gezgini'ni kullanmayın. Bunun yerine icacl'leri kullanın.

Şirket içi dosya sunucularında AD DS kimlikleriyle yapılandırılmış Windows ACL'leri olan dizinleriniz veya dosyalarınız varsa, bunları Robocopy veya Azure AzCopy v 10.4+ gibi geleneksel dosya kopyalama araçlarıyla ACL'leri kalıcı hale getirmek Azure Dosyalar kopyalayabilirsiniz. Dizinleriniz ve dosyalarınız Azure Dosya Eşitleme aracılığıyla Azure Dosyalar katmanlanmışsa, ACL'leriniz yerel biçimlerinde taşınır ve kalıcı hale taşınır.

Windows ACL'lerini icacl'lerle yapılandırma

Kök dizin de dahil olmak üzere dosya paylaşımı altındaki tüm dizinlere ve dosyalara tam izinler vermek için AD etki alanı denetleyicisine görüş çizgisi olan bir makineden aşağıdaki Windows komutunu çalıştırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

Windows ACL'lerini ayarlamak için icacl'leri kullanma ve desteklenen farklı izin türleri hakkında daha fazla bilgi için bkz. icacl'ler için komut satırı başvurusu.

Windows ACL'lerini Windows Dosya Gezgini ile yapılandırma

Etki alanına katılmış bir Windows istemcisinde oturum açtıysanız, kök dizin de dahil olmak üzere dosya paylaşımı altındaki tüm dizinlere ve dosyalara tam izin vermek için Windows Dosya Gezgini kullanabilirsiniz. İstemciniz etki alanına katılmamışsa Windows ACL'lerini yapılandırmak için icacl'leri kullanın.

  1. Windows Dosya Gezgini açın ve dosya/dizine sağ tıklayın ve Özellikler'i seçin.
  2. Güvenlik sekmesini seçin.
  3. İzinleri değiştirmek için Düzenle.. öğesini seçin.
  4. Mevcut kullanıcıların izinlerini değiştirebilir veya yeni kullanıcılara izin vermek için Ekle... seçeneğini belirleyebilirsiniz.
  5. Yeni kullanıcı ekleme istemi penceresinde, Seçecek nesne adlarını girin kutusuna izin vermek istediğiniz hedef kullanıcı adını girin ve hedef kullanıcının tam UPN adını bulmak için Adları Denetle'yi seçin.
  6. Tamam'ı seçin.
  7. Güvenlik sekmesinde, yeni kullanıcınıza vermek istediğiniz tüm izinleri seçin.
  8. Uygula’yı seçin.

Sonraki adım

ARTıK AD DS ile kimlik tabanlı kimlik doğrulamayı etkinleştirip yapılandırdığınıza göre, dosya paylaşımını bağlayabilirsiniz.