Konfigurace oprávnění na úrovni adresáře a souborů pro sdílené složky Azure

  • Článek

Než začnete s tímto článkem, přečtěte si článek Přiřazení oprávnění na úrovni sdílené složky identitě , abyste měli jistotu, že jsou vaše oprávnění na úrovni sdílené složky zavedená pomocí řízení přístupu na základě role v Azure (RBAC).

Po přiřazení oprávnění na úrovni sdílené složky můžete nakonfigurovat seznamy řízení přístupu systému Windows (ACL), označované také jako oprávnění NTFS, na úrovni kořenového adresáře, adresáře nebo souboru. Oprávnění na úrovni sdílené složky sice fungují jako vrátný vysoké úrovně, který určuje, jestli má uživatel přístup ke sdílené složce, ale seznamy ACL systému Windows fungují na podrobnější úrovni a řídí, jaké operace může uživatel provádět na úrovni adresáře nebo souboru.

Oprávnění na úrovni sdílené složky i souboru nebo adresáře se vynucují, když se uživatel pokusí o přístup k souboru nebo adresáři. Pokud je mezi některou z nich rozdíl, použije se pouze ten nejvíce omezující. Pokud má uživatel například přístup pro čtení a zápis na úrovni souboru, ale jen pro čtení na úrovni sdílené složky, může tento soubor jen číst. Totéž platí i v případě, že by byl obrácený: pokud měl uživatel přístup pro čtení a zápis na úrovni sdílené složky, ale jen pro čtení na úrovni souboru, může soubor číst pouze.

Důležité

Ke konfiguraci seznamů ACL systému Windows budete potřebovat klientský počítač s Windows, který má nekompilované síťové připojení k řadiči domény. Pokud se službou Azure Files ověřujete pomocí služby Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Kerberos pro hybridní identity, znamená to, že budete potřebovat nešifrované síťové připojení k místní službě AD. Pokud používáte službu Microsoft Entra Domain Services, klientský počítač musí mít nevýrazné síťové připojení k řadičům domény pro doménu spravovanou službou Microsoft Entra Domain Services, která se nachází v Azure.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Podporované seznamy ACL windows

Azure Files podporuje úplnou sadu základních a pokročilých seznamů ACL pro Windows.

Uživatelé Definice
BUILTIN\Administrators Integrovaná skupina zabezpečení představující správce souborového serveru Tato skupina je prázdná a nikdo do ní nelze přidat.
BUILTIN\Users Integrovaná skupina zabezpečení představující uživatele souborového serveru NT AUTHORITY\Authenticated Users Obsahuje ve výchozím nastavení. U tradičního souborového serveru můžete nakonfigurovat definici členství na server. Pro Azure Files neexistuje hostitelský server, proto BUILTIN\Users zahrnuje stejnou sadu uživatelů jako NT AUTHORITY\Authenticated Users.
NT AUTHORITY\SYSTEM Účet služby operačního systému souborového serveru. Takový účet služby se nevztahuje v kontextu služby Azure Files. Je součástí kořenového adresáře, aby byl konzistentní s prostředím Windows Files Serveru pro hybridní scénáře.
NT AUTHORITY\Authenticated Users Všichni uživatelé ve službě AD, kteří můžou získat platný token Kerberos.
CREATOR OWNER Každý objekt má buď adresář, nebo soubor vlastníka daného objektu. Pokud jsou k CREATOR OWNER tomuto objektu přiřazené seznamy ACL, má uživatel, který je vlastníkem tohoto objektu, oprávnění k objektu definovanému seznamem ACL.

V kořenovém adresáři sdílené složky jsou zahrnuta následující oprávnění:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Další informace o těchto rozšířených oprávněních najdete v referenčních informacích k příkazovému řádku pro icacls.

Jak to funguje

Ke konfiguraci a úpravám seznamů ACL systému Windows můžete použít dva přístupy:

  • Přihlaste se pomocí uživatelského jména a klíče účtu úložiště pokaždé: Kdykoli chcete nakonfigurovat seznamy ACL, připojte sdílenou složku pomocí klíče účtu úložiště na počítači, který má bez omezení síťového připojení k řadiči domény.

  • Nastavení jednorázového uživatelského jména nebo klíče účtu úložiště:

Poznámka:

Toto nastavení funguje u nově vytvořených sdílených složek, protože každý nový soubor nebo adresář zdědí nakonfigurované kořenové oprávnění. U sdílených složek migrovaných spolu s existujícími seznamy ACL nebo pokud migrujete místní soubor nebo adresář s existujícími oprávněními v nové sdílené složce, nemusí tento přístup fungovat, protože migrované soubory nedědí nakonfigurovaný kořenový seznam ACL.

  1. Přihlaste se pomocí uživatelského jména a klíče účtu úložiště na počítači, který má nešimnuté síťové připojení k řadiči domény, a udělte některým uživatelům (nebo skupinám) oprávnění k úpravám oprávnění v kořenové složce sdílené složky.
  2. Těmto uživatelům přiřaďte roli Přispěvatel azure RBAC sdílené složky SMB dat úložiště se zvýšenými oprávněními .
  3. Kdykoli budete chtít aktualizovat seznamy ACL, můžete v budoucnu použít některý z autorizovaných uživatelů k přihlášení z počítače, který má nešimnuté síťové připojení k řadiči domény a upravovat seznamy ACL.

Připojení sdílené složky pomocí klíče účtu úložiště

Před konfigurací seznamů ACL systému Windows musíte nejprve připojit sdílenou složku pomocí klíče účtu úložiště. Uděláte to tak, že se přihlásíte k zařízení připojenému k doméně (jako uživatel Microsoft Entra, pokud je zdrojem služby AD služba Microsoft Entra Domain Services), otevřete příkazový řádek systému Windows a spusťte následující příkaz. Nezapomeňte nahradit <YourStorageAccountName>, <FileShareName>a <YourStorageAccountKey> vlastními hodnotami. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem. Klíč účtu úložiště najdete na webu Azure Portal tak, že přejdete na účet úložiště a vyberete Přístupové klíče zabezpečení a sítě>, nebo můžete použít rutinu PowerShelluGet-AzStorageAccountKey.

Je důležité, abyste pro připojení sdílené složky v této fázi použili příkaz net use systému Windows namísto prostředí PowerShell. Pokud ke sdílené složce připojíte PowerShell, nebude sdílená složka viditelná pro Windows Průzkumník souborů nebo cmd.exe a budete mít potíže s konfigurací seznamů ACL systému Windows.

Poznámka:

Seznam ACL úplného řízení se může zobrazit už u role. V takovém případě by obvykle bylo možné přiřazovat oprávnění. Nicméně vzhledem k tomu, že kontroly přístupu existují na dvou úrovních (úroveň sdílené složky a úroveň souboru nebo adresáře), v této fázi to není možné. Oprávnění k těmto novým souborům nebo adresářům můžou přiřazovat jenom uživatelé, kteří mají roli Přispěvatel se zvýšenými oprávněními pro sdílenou složku SMB se zvýšenými oprávněními k datům úložiště a nemají klíč účtu úložiště. Všechna ostatní přiřazení oprávnění k souborům nebo adresářům vyžadují připojení ke sdílené složce pomocí klíče účtu úložiště.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Konfigurace seznamů ACL systému Windows

Seznamy ACL pro Windows můžete nakonfigurovat pomocí icacls nebo Windows Průzkumník souborů. Můžete také použít příkaz PowerShellu Set-ACL .

Pokud máte adresáře nebo soubory na místních souborových serverech s seznamy ACL windows nakonfigurovanými pro identity služby AD DS, můžete je zkopírovat do služby Azure Files a zachovat seznamy ACL pomocí tradičních nástrojů pro kopírování souborů, jako je Robocopy nebo Azure AzCopy verze 10.4 nebo novější. Pokud jsou adresáře a soubory vrstvené do služby Azure Files prostřednictvím Synchronizace souborů Azure, vaše seznamy ACL se přenesou a zachovají v nativním formátu.

Důležité

Pokud jako zdroj AD používáte Protokol Kerberos Microsoft Entra, musí se identity synchronizovat s ID Microsoft Entra, aby se seznamy ACL vynutily. Seznamy ACL na úrovni souboru nebo adresáře můžete nastavit pro identity, které se nesynchronizují s ID Microsoft Entra. Tyto seznamy ACL se ale nebudou vynucovat, protože lístek Kerberos použitý k ověřování nebo autorizaci nebude obsahovat nesynchronované identity. Pokud jako zdroj služby AD používáte místní službu AD DS, nemůžete v seznamech ACL synchronizovat identity. Služba AD DS tyto identifikátory SID vloží do lístku Kerberos a seznamy ACL se vynutí.

Konfigurace seznamů ACL systému Windows pomocí icacls

Pokud chcete udělit úplná oprávnění všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře, spusťte následující příkaz Windows z počítače, který má bez omezení síťového připojení k řadiči domény AD. Nezapomeňte nahradit zástupné hodnoty v příkladu vlastními hodnotami. Pokud je zdrojem služby AD Služba Microsoft Entra Domain Services, <user-upn> bude to .<user-email>

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

Další informace o tom, jak nastavit seznamy ACL systému Windows pomocí icacls, a o různých typech podporovaných oprávnění najdete v referenčních informacích k příkazovému řádku pro icacls.

Konfigurace seznamů ACL systému Windows s Windows Průzkumník souborů

Pokud jste přihlášeni k klientovi Windows připojenému k doméně, můžete pomocí windows Průzkumník souborů udělit úplná oprávnění všem adresářům a souborům ve sdílené složce, včetně kořenového adresáře.

Důležité

Pokud váš klient není připojený k doméně nebo pokud má vaše prostředí více doménových struktur AD, nepoužívejte Průzkumníka Windows ke konfiguraci seznamů ACL. Místo toho použijte icacls . Důvodem je to, že konfigurace seznamu ACL systému Windows Průzkumník souborů vyžaduje, aby klient byl připojený k doméně AD, ke které je účet úložiště připojený.

Pomocí těchto kroků nakonfigurujte seznamy ACL pomocí windows Průzkumník souborů.

  1. Otevřete windows Průzkumník souborů, klikněte pravým tlačítkem na soubor nebo adresář a vyberte Vlastnosti.
  2. Vyberte kartu Zabezpečení.
  3. Chcete-li změnit oprávnění, vyberte Možnost Upravit..
  4. Můžete změnit oprávnění stávajících uživatelů nebo vybrat Přidat... a udělit oprávnění novým uživatelům.
  5. V okně výzvy pro přidání nových uživatelů zadejte cílové uživatelské jméno, ke které chcete udělit oprávnění, do pole Zadejte názvy objektů, které se mají zaškrtnout , a výběrem možnosti Zkontrolovat jména vyhledejte úplný název hlavního názvu uživatele (UPN) cílového uživatele. Možná budete muset zadat název domény a identifikátor GUID domény pro vaši místní službu AD. Tyto informace můžete získat od správce domény nebo od místního klienta připojeného k AD.
  6. Vyberte OK.
  7. Na kartě Zabezpečení vyberte všechna oprávnění, která chcete novému uživateli udělit.
  8. Vyberte Použít.

Další krok

Teď, když jste nakonfigurovali oprávnění k adresáři a úrovni souborů, můžete sdílenou složku připojit.