Configurare le autorizzazioni di archiviazione SMB

FSLogix funziona con i sistemi di archiviazione SMB per archiviare i contenitori Profile o ODFC. L'archiviazione SMB viene usata nelle configurazioni standard in cui VHDLocations contiene il percorso UNC per i percorsi di archiviazione. I provider di archiviazione SMB possono essere usati anche nelle configurazioni di Cache cloud in cui viene usato CCDLocations anziché VHDLocations.

Le autorizzazioni di archiviazione SMB si basano sui tradizionali elenchi di Controllo di accesso NTFS (ACL) applicati a livello di file o cartelle per garantire la corretta sicurezza dei dati archiviati. Se usato con File di Azure, è necessario abilitare un'origine Active Directory (AD), quindi assegnare autorizzazioni a livello di condivisione alla risorsa. Esistono due modi per assegnare autorizzazioni a livello di condivisione. È possibile assegnarli a utenti/gruppi di Entra ID specifici ed è possibile assegnarli a tutte le identità autenticate come autorizzazione predefinita a livello di condivisione.

Operazioni preliminari

Prima di configurare le autorizzazioni di archiviazione SMB, è necessario creare e associare correttamente il provider di archiviazione SMB all'autorità di identità corretta per l'organizzazione e il tipo di provider di archiviazione.

Importante

È necessario comprendere i processi necessari per usare File di Azure o Azure NetApp Files per l'archiviazione SMB nell'ambiente.

File di Azure

La struttura fornisce i concetti iniziali necessari quando si usa File di Azure come provider di archiviazione SMB. Indipendentemente dalla configurazione di Active Directory selezionata, è consigliabile configurare l'autorizzazione predefinita a livello di condivisione usando collaboratore condivisione SMB dei dati dei file di archiviazione, assegnato a tutte le identità autenticate. Per poter impostare gli elenchi di controllo di accesso di Windows, assicurarsi di assegnare autorizzazioni a livello di condivisione per utenti o gruppi entra ID specifici con il ruolo Collaboratore con privilegi elevati condivisione file file di archiviazione e configurare le autorizzazioni a livello di file e directory su SMB.

  1. Creare una condivisione file di Azure SMB.

Azure NetApp Files

Azure NetApp Files si basa esclusivamente su ACL di Windows.

  1. Creare un account NetApp.
  2. Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files.
  3. Creare un pool di capacità per Azure NetApp Files.
  4. Creare un volume SMB per Azure NetApp Files.

Configurare gli ACL di Windows

Gli elenchi di controllo di accesso di Windows sono importanti per configurare correttamente in modo che solo l'utente (CREATOR OWNER) abbia accesso alla directory del profilo o al file VHD(x). Inoltre, è necessario assicurarsi che tutti gli altri gruppi amministrativi abbiano "Controllo completo" dal punto di vista operativo. Questo concetto è noto come accesso basato sull'utente ed è la configurazione consigliata.

Qualsiasi condivisione file SMB ha un set predefinito di ACL.Any SMB file share has a default set of ACL(s). Questi esempi sono i tre (3) tipi più comuni di condivisioni file SMB e i relativi ACL predefiniti.

ACL file server file di Azure azure netapp files
ACL di file server File di Azure Condividere ACL ACL di Azure NetApp Files

Importante

L'applicazione di ACL alle condivisioni file di Azure può richiedere uno (1) di due metodi (2):

  1. Fornire a un utente o a un gruppo il ruolo collaboratore con privilegi elevati di condivisione file di archiviazione SMB nell'account di archiviazione o nella condivisione file Controllo di accesso (IAM).
  2. Montare la condivisione file usando la chiave dell'account di archiviazione.

Poiché sono presenti controlli di accesso a due livelli (il livello di condivisione e il livello di file/directory), l'applicazione degli elenchi di controllo di accesso è limitata. Solo gli utenti con il ruolo Collaboratore con privilegi elevati di condivisione file di archiviazione SMB possono assegnare le autorizzazioni per la radice della condivisione file o altri file o directory senza usare la chiave dell'account di archiviazione. Per tutte le altre autorizzazioni di file/directory è necessario connettersi alla condivisione usando prima la chiave dell'account di archiviazione.

La tabella descrive gli ACL consigliati da configurare.

Server principale Accesso Si applica a Descrizione
CREATOR OWNER Modifica (lettura/scrittura) Solo sottocartelle e file Assicura che la directory del profilo creata dall'utente disponga delle autorizzazioni corrette solo per tale utente.
CONTOSO\Amministratori dominio Controllo completo Questa cartella, le sottocartelle e i file Sostituire con il gruppo di organizzazioni usato per scopi amministrativi.
CONTOSO\Domain Users Modifica (lettura/scrittura) Solo questa cartella Consente agli utenti autorizzati di creare la directory del profilo. Sostituire con gli utenti dell'organizzazione che devono accedere per creare profili.

Applicare gli ACL di Windows usando icacls

Usare il comando di Windows seguente per configurare le autorizzazioni consigliate per tutte le directory e i file nella condivisione file, inclusa la directory radice.

Nota

Ricordarsi di sostituire i valori segnaposto nell'esempio con i valori personalizzati.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Per altre informazioni su come usare icacls per impostare gli ACL di Windows e sui diversi tipi di autorizzazioni supportate, vedere le informazioni di riferimento sulla riga di comando per icacl.

Applicare gli ACL di Windows con Esplora risorse

Usare Windows Esplora file per applicare le autorizzazioni consigliate a tutte le directory e i file nella condivisione file, inclusa la directory radice.

  1. Aprire Windows Esplora file alla radice della condivisione file.

  2. Fare clic con il pulsante destro del mouse nell'area aperta nel riquadro destro e scegliere Proprietà.

  3. Seleziona la scheda Sicurezza.

  4. Seleziona Avanzate.

  5. Selezionare Disabilita ereditarietà.

    Nota

    Se richiesto, le autorizzazioni ereditate sono state rimosse invece di copiare

  6. Selezionare Aggiungi.

  7. Selezionare "Seleziona un'entità".

  8. Digitare "CREATOR OWNER" e selezionare Controlla nome, quindi OK.

  9. Per "Si applica a:", selezionare "Solo sottocartelle e file".

  10. Per 'Autorizzazioni di base:', selezionare 'Modifica'.

  11. Seleziona OK.

  12. Ripetere i passaggi da 6 a 11 in base agli ACL consigliati.

  13. Selezionare di nuovo OK e OK per completare l'applicazione delle autorizzazioni.

    Esplora autorizzazioni consigliate

Applicare gli ACL di Windows usando la configurazione SIDDirSDDL

In alternativa, FSLogix fornisce un'impostazione di configurazione che imposta gli elenchi di controllo di accesso di Windows nella directory durante il processo di creazione. L'impostazione di configurazione SIDDirSDDL accetta una stringa SDDL che definisce gli elenchi di controllo di accesso da applicare alla directory al momento della creazione.

Creare la stringa SDDL

  1. Creare una cartella "Test" nella condivisione file SMB.

    cartella di test

  2. Modificare le autorizzazioni in modo che corrispondano all'organizzazione.

    Autorizzazioni sddl

  3. Aprire un terminale di PowerShell.

  4. Digitare Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

    sddl PowerShell

  5. Copiare l'output nel Blocco note.

  6. Sostituire O:BAG con O:%sid% (imposta il SID dell'utente come proprietario della cartella).

  7. Sostituire (A;OICIIO;0x1301bf;;;CO) con (A;OICIIO;0x1301bf;;;%sid%) (assegna i diritti di modifica DEL SID dell'utente a tutti gli elementi).

  8. Nella configurazione di FSLogix applicare l'impostazione SIDDirSDDL.

    • Nome valore: SIDDirSDDL
    • Tipo valore: REG_SZ
    • Valore: O:%sid%G:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)
  9. Quando l'accesso dell'utente viene creato per la prima volta, la directory viene creata con queste autorizzazioni.