Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene für Azure-Dateifreigaben

Lesen Sie den Artikel Zuweisen von Berechtigungen auf Freigabeebene zu einer Identität, bevor Sie mit diesem Artikel beginnen. Dadurch stellen Sie sicher, dass Ihre Berechtigungen auf Freigabeebene mit der rollenbasierten Zugriffssteuerung in Azure (Role-based Access Control, RBAC) eingerichtet wurden.

Nachdem Sie Zugriffsrechte auf Freigabeebene zugewiesen haben, können Sie Windows-Zugriffssteuerungslisten (ACLs), auch bekannt als NTFS-Berechtigungen, auf Stamm-, Verzeichnis- oder Dateiebene konfigurieren. Während Berechtigungen auf Freigabeebene als allgemeiner Gatekeeper dienen, der bestimmt, ob ein Benutzer auf die Freigabe zugreifen kann, agieren Windows-ACLs auf einer detaillierteren Ebene, um zu steuern, welche Vorgänge der Benutzer auf Verzeichnis- oder Dateiebene durchführen kann.

Berechtigungen auf Freigabeebene und Datei-/Verzeichnisebene werden erzwungen, wenn Benutzer*innen versuchen, auf eine Datei/ein Verzeichnis zuzugreifen. Wenn es einen Unterschied zwischen ihnen gibt, wird nur die restriktivste angewendet. Wenn ein Benutzer beispielsweise über Lese- und Schreibzugriff auf Dateiebene, aber nur über Schreibzugriff auf Freigabeebene verfügt, kann er diese Datei nur lesen. Dies gilt auch umgekehrt: Wenn ein Benutzer über Lese- und Schreibzugriff auf Freigabeebene, aber nur über Lesezugriff auf Dateiebene verfügt, kann er die Datei ebenfalls nur lesen.

Wichtig

Zum Konfigurieren von Windows-ACLs benötigen Sie einen Clientcomputer mit Windows, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt. Wenn Sie sich mit Azure Files unter Verwendung von Active Directory Domain Services (AD DS) oder Microsoft Entra Kerberos für Hybrididentitäten authentifizieren, benötigen Sie eine uneingeschränkte Netzwerkverbindung mit der lokalen AD-Instanz. Wenn Sie Microsoft Entra Domain Services verwenden, muss der Clientcomputer über eine uneingeschränkte Netzwerkverbindung mit den Domänencontrollern für die von Microsoft Entra Domain Services verwaltete Domäne verfügen, die sich in Azure befinden.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja No

Unterstützte Windows-ACLs

Azure Files unterstützt alle grundlegenden und erweiterten Windows-ACLs.

Benutzer Definition
BUILTIN\Administrators Integrierte Sicherheitsgruppe, die Administratoren des Dateiservers darstellt. Diese Gruppe ist leer, und niemand kann hinzugefügt werden.
BUILTIN\Users Integrierte Sicherheitsgruppe, die Benutzer des Dateiservers darstellt. Es enthält NT AUTHORITY\Authenticated Users standardmäßig. Für einen herkömmlichen Dateiserver können Sie die Mitgliedschaftsdefinition pro Server konfigurieren. Für Azure Files gibt es keinen Hosting-Server, daher BUILTIN\Usersumfasst es die gleiche Gruppe von Benutzern wie NT AUTHORITY\Authenticated Users.
NT AUTHORITY\SYSTEM Das Dienstkonto des Betriebssystems des Dateiservers. Ein derartiges Dienstkonto ist im Azure Files-Kontext nicht gültig. Es ist im Stammverzeichnis enthalten, um Konsistenz mit dem Verhalten von Windows Files Server in Hybridszenarien sicherzustellen.
NT AUTHORITY\Authenticated Users Alle Benutzer in AD, die ein gültiges Kerberos-Token erhalten können.
CREATOR OWNER Jedes Objekt, gleich ob Verzeichnis oder Datei, weist einen Besitzer für dieses Objekt auf. Wenn diesem Objekt ACLs zugewiesen sind, CREATOR OWNERdann hat der Benutzer, der Eigentümer dieses Objekts ist, die durch die ACL definierten Rechte für das Objekt.

Die folgenden Berechtigungen sind im Stammverzeichnis einer Dateifreigabe enthalten:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Weitere Informationen zu diesen erweiterten Berechtigungen finden Sie in der Befehlszeilenreferenz für icacls.

Funktionsweise

Es gibt zwei Ansätze für die Konfiguration und Bearbeitung von Windows-ACLs:

  • Wiederholte Anmeldung mit Ihrem Benutzernamen und dem Schlüssel Ihres Speicherkontos: Immer dann, wenn Sie ACLs konfigurieren möchten, binden Sie die Dateifreigabe mit dem Schlüssel Ihres Speicherkontos auf einem Computer ein, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt.

  • Einmalige Einrichtung des Benutzernamens/Speicherkontoschlüssels:

Hinweis

Diese Einstellung funktioniert für neu erstellte Dateifreigaben, da jede neue Datei bzw. jedes neue Verzeichnis die konfigurierte Stammberechtigung erbt. Bei Dateifreigaben, die zusammen mit vorhandenen ACLs migriert wurden, oder wenn Sie lokale Dateien/Verzeichnisse mit vorhandenen Berechtigungen zu einer neuen Dateifreigabe migrieren, funktioniert dieser Ansatz möglicherweise nicht, da die migrierten Dateien nicht die konfigurierte Stamm-ACL erben.

  1. Melden Sie sich mit einem Benutzernamen und einem Schlüssel für das Speicherkonto auf einem Computer an, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt, und erteilen Sie einigen Benutzer*innen (oder Gruppen) die Erlaubnis, die Berechtigungen für das Stammverzeichnis der Dateifreigabe zu bearbeiten.
  2. Weisen Sie diesen Benutzern die Azure RBAC-Rolle Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe zu.
  3. Wenn Sie in Zukunft ACLs aktualisieren möchten, können Sie sich mit einem dieser autorisierten Benutzer*innen von einem Computer aus anmelden, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt, und anschließend können Sie die ACLs bearbeiten.

Einbinden der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels

Bevor Sie Windows-ACLs konfigurieren, müssen Sie zunächst die Dateifreigabe mithilfe Ihres Speicherkontoschlüssels einbinden. Melden Sie sich dazu bei einem in die Domäne eingebundenen Gerät an (als ein Microsoft Entra-Benutzer, wenn Ihre AD-Quelle Microsoft Entra Domain Services ist), öffnen Sie eine Windows-Eingabeaufforderung, und führen Sie den folgenden Befehl aus. Ersetzen Sie <YourStorageAccountName>, <FileShareName> und <YourStorageAccountKey> durch Ihre eigenen Werte. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Zum Ermitteln Ihres Speicherkontoschlüssels können Sie im Azure-Portal zu dem Speicherkonto navigieren und Sicherheit und Netzwerk>Zugriffsschlüssel auswählen oder das PowerShell-Cmdlet Get-AzStorageAccountKey verwenden.

Es ist wichtig, dass Sie in dieser Phase zum Einbinden der Freigabe den Windows-Befehl net use verwenden und nicht PowerShell. Wenn Sie PowerShell zum Einbinden der Freigabe verwenden, ist die Freigabe im Datei-Explorer von Windows oder in cmd.exe nicht sichtbar, und Sie könnten Probleme beim Konfigurieren von Windows-ACLs bekommen.

Hinweis

Möglicherweise sehen Sie, dass die ACL Vollzugriff bereits auf eine Rolle angewendet wird. Dies bietet in der Regel bereits die Möglichkeit, Berechtigungen zu erteilen. Da es jedoch Zugriffsprüfungen auf zwei Ebenen gibt (Freigabeebene und Datei-/Verzeichnisebene), ist dies nur eingeschränkt möglich. Nur Benutzer*innen mit der Rolle Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten, die eine neue Datei oder ein neues Verzeichnis erstellen, können Berechtigungen für diese neuen Dateien oder Verzeichnisse ohne Verwendung des Speicherkontoschlüssels zuweisen. Für alle anderen Zuweisungen von Datei-/Verzeichnisberechtigungen muss zuerst eine Verbindung mit der Freigabe mithilfe des Speicherkontoschlüssels hergestellt werden.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Konfigurieren von Windows-ACLs

Sie können die Windows-ACLs entweder mithilfe von icacls oder mit dem Windows-Datei-Explorer konfigurieren. Sie können auch das PowerShell-Cmdlet Set-ACL verwenden.

Wenn Sie über Verzeichnisse oder Dateien auf lokalen Dateiservern mit Windows-ACLs verfügen, die für die AD DS-Identitäten konfiguriert sind, können Sie diese unter Beibehaltung der ACLs in Azure Files kopieren, indem Sie herkömmlichen Tools zum Kopieren von Dateien wie Robocopy oder Azure AzCopy v10.4 oder höher verwenden. Wenn Ihre Verzeichnisse und Dateien per Azure-Dateisynchronisierung in Azure Files ausgelagert werden, werden Ihre ACLs in ihrem nativen Format übertragen und gespeichert.

Wichtig

Wenn Sie Microsoft Entra Kerberos als Ihre AD-Quelle verwenden, müssen Identitäten mit Microsoft Entra ID synchronisiert sein, damit ACLs erzwungen werden. Sie können ACLs auf Datei-/Verzeichnisebene für Identitäten festlegen, die nicht mit Microsoft Entra ID synchronisiert sind. Diese ACLs werden jedoch nicht erzwungen, da das für die Authentifizierung/Autorisierung verwendete Kerberos-Ticket die nicht synchronisierten Identitäten nicht enthält. Wenn Sie lokale AD DS als Ihre AD-Quelle verwenden, können Sie nicht synchronisierte Identitäten in den ACLs haben. AD DS wird diese SIDs in das Kerberos-Ticket einfügen, und ACLs werden erzwungen.

Konfigurieren von Windows-ACLs mit „icacls“

Um uneingeschränkte Berechtigungen für sämtliche Verzeichnisse und Dateien unter der Dateifreigabe (einschließlich des Stammverzeichnisses) zu gewähren, führen Sie den folgenden Windows-Befehl von einem Computer aus, der eine unbehinderte Netzwerkverbindung zum AD-Domänencontroller hat. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen. Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, dann wird <user-upn> <user-email> sein.

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

Weitere Informationen zur Verwendung von „icacls“ zum Festlegen von Windows-ACLs und zu den verschiedenen Arten von unterstützten Berechtigungen finden Sie in der Befehlszeilenreferenz für „icacls“.

Konfigurieren von Windows-ACLs mit dem Windows-Datei-Explorer

Wenn Sie an einem in die Domäne eingebundenen Windows-Client angemeldet sind, können Sie den Windows-Datei-Explorer verwenden, um allen Verzeichnissen und Dateien unter der Dateifreigabe (einschließlich des Stammverzeichnisses) uneingeschränkte Berechtigungen zu erteilen.

Wichtig

Wenn Ihr Client nicht mit einer Domäne verbunden ist, oder wenn Ihre Umgebung über mehrere AD-Gesamtstrukturen verfügt, verwenden Sie nicht den Windows-Explorer zum Konfigurieren von ACLs. Stattdessen sollten Sie icacls verwenden. Dies deshalb, weil die ACL-Konfiguration des Windows-Datei-Explorers erfordert, dass der Client in die AD-Domäne eingebunden ist, in die das Speicherkonto eingebunden ist.

Führen Sie die folgenden Schritte aus, um ACLs mithilfe des Windows-Datei-Explorers zu konfigurieren.

  1. Öffnen Sie den Windows-Datei-Explorer, klicken Sie mit der rechten Maustaste auf die Datei/das Verzeichnis, und wählen Sie Eigenschaften aus.
  2. Wählen Sie die Registerkarte Sicherheit .
  3. Wählen Sie zum Ändern der Berechtigungen Bearbeiten aus.
  4. Sie können die Berechtigung bereits vorhandener Benutzer ändern oder Hinzufügen auswählen, um neuen Benutzern Berechtigungen zu gewähren.
  5. Geben Sie im Eingabeaufforderungsfenster zum Hinzufügen neuer Benutzer im Feld Geben Sie die Namen der auszuwählenden Objekte ein den Namen des Zielbenutzers ein, dem Sie die Berechtigung gewähren möchten, und klicken Sie auf Namen überprüfen, um den vollständigen UPN-Namen des Zielbenutzers zu ermitteln. Möglicherweise müssen Sie den Domänennamen und die Domänen-GUID für Ihr lokales AD angeben. Sie können diese Informationen von Ihrem Domänenadministrator oder einem lokalen in AD eingebundenen Client abrufen.
  6. Wählen Sie OK aus.
  7. Wählen Sie auf der Registerkarte Sicherheit alle Berechtigungen aus, die Sie dem neuen Benutzer gewähren möchten.
  8. Wählen Sie Übernehmen.

Nächster Schritt

Nachdem Sie die Berechtigungen auf Verzeichnis- und Dateiebene konfiguriert haben, können Sie die Dateifreigabe einbinden.