Azure dosya paylaşımları için dizin ve dosya düzeyi izinlerini yapılandırma
Bu makaleye başlamadan önce, Paylaşım düzeyi izinlerinizin Azure rol tabanlı erişim denetimi (RBAC) ile sağlandığından emin olmak için Bir kimliğe paylaşım düzeyi izinleri atama makalesini okuduğunuzdan emin olun.
Paylaşım düzeyi izinleri atadıktan sonra, kök, dizin veya dosya düzeyinde NTFS izinleri olarak da bilinen Windows erişim denetim listelerini (ACL' ler) yapılandırabilirsiniz. Paylaşım düzeyi izinleri, kullanıcının paylaşıma erişip erişemeyeceğini belirleyen üst düzey bir ağ geçidi denetleyicisi işlevi görürken, Windows ACL'leri kullanıcının dizin veya dosya düzeyinde hangi işlemleri yapabileceğini denetlemek için daha ayrıntılı bir düzeyde çalışır.
Kullanıcı bir dosyaya/dizine erişmeye çalıştığında hem paylaşım düzeyi hem de dosya/dizin düzeyi izinleri zorlanır. Bunlardan biri arasında bir fark varsa, yalnızca en kısıtlayıcı olanı uygulanır. Örneğin, bir kullanıcının dosya düzeyinde okuma/yazma erişimi varsa, ancak yalnızca paylaşım düzeyinde okursa, yalnızca bu dosyayı okuyabilir. Tersine çevrilirse de aynı durum geçerlidir: Kullanıcının paylaşım düzeyinde okuma/yazma erişimi varsa ancak yalnızca dosya düzeyinde okuma varsa, yine de yalnızca dosyayı okuyabilir.
Önemli
Windows ACL'lerini yapılandırmak için, etki alanı denetleyicisine ağ bağlantısı engellenmemiş Windows çalıştıran bir istemci makineniz olması gerekir. Karma kimlikler için Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Kerberos kullanarak Azure Dosyalar kimlik doğrulaması gerçekleştirdiyseniz, bu durum şirket içi AD'ye engellenmemiş ağ bağlantısına ihtiyacınız olduğu anlamına gelir. Microsoft Entra Domain Services kullanıyorsanız, istemci makinesinin Azure'da bulunan Microsoft Entra Domain Services tarafından yönetilen etki alanı için etki alanı denetleyicilerine karşı tanımlanamayan ağ bağlantısına sahip olması gerekir.
Şunlara uygulanır
| Dosya paylaşımı türü | SMB | NFS |
|---|---|---|
| Standart dosya paylaşımları (GPv2), LRS/ZRS |  |
 |
| Standart dosya paylaşımları (GPv2), GRS/GZRS | |
|
| Premium dosya paylaşımları (filestorage), LRS/ZRS | |
|
Desteklenen Windows ACL'leri
Azure Dosyalar, temel ve gelişmiş Windows ACL'lerinin tamamını destekler.
| Kullanıcılar | Tanım |
|---|---|
BUILTIN\Administrators |
Dosya sunucusunun yöneticilerini temsil eden yerleşik güvenlik grubu. Bu grup boş ve gruba kimse eklenemiyor. |
BUILTIN\Users |
Dosya sunucusunun kullanıcılarını temsil eden yerleşik güvenlik grubu. Varsayılan olarak içerir NT AUTHORITY\Authenticated Users . Geleneksel bir dosya sunucusu için üyelik tanımını sunucu başına yapılandırabilirsiniz. Azure Dosyalar için bir barındırma sunucusu yoktur, bu nedenle BUILTIN\Users ile aynı kullanıcı NT AUTHORITY\Authenticated Userskümesini içerir. |
NT AUTHORITY\SYSTEM |
Dosya sunucusunun işletim sisteminin hizmet hesabı. Bu tür hizmet hesabı Azure Dosyalar bağlamda geçerli değildir. Karma senaryolar için Windows Dosyalar Sunucusu deneyimiyle tutarlı olması için kök dizine eklenir. |
NT AUTHORITY\Authenticated Users |
AD'de geçerli bir Kerberos belirteci alabilen tüm kullanıcılar. |
CREATOR OWNER |
Her nesnenin dizin veya dosyada bu nesnenin sahibi vardır. Bu nesnede atanmış CREATOR OWNER ACL'ler varsa, bu nesnenin sahibi olan kullanıcının ACL tarafından tanımlanan nesne üzerinde izinleri vardır. |
Aşağıdaki izinler bir dosya paylaşımının kök dizinine eklenir:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Bu gelişmiş izinler hakkında daha fazla bilgi için icacl'ler için komut satırı başvurusuna bakın.
Nasıl çalışır?
Windows ACL'lerini yapılandırmak ve düzenlemek için kullanabileceğiniz iki yaklaşım vardır:
Her seferinde kullanıcı adı ve depolama hesabı anahtarıyla oturum açın: ACL'leri yapılandırmak istediğiniz her zaman, etki alanı denetleyicisine ağ bağlantısı engellenmemiş bir makinede depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlayın.
Tek seferlik kullanıcı adı/depolama hesabı anahtarı kurulumu:
Not
Bu kurulum, yeni oluşturulan dosya paylaşımları için çalışır çünkü herhangi bir yeni dosya/dizin yapılandırılmış kök izni devralır. Mevcut ACL'lerle birlikte geçirilen dosya paylaşımları için veya yeni bir dosya paylaşımında mevcut izinlere sahip şirket içi bir dosyayı/dizini geçirirseniz, geçirilen dosyalar yapılandırılmış kök ACL'yi devralmadığından bu yaklaşım çalışmayabilir.
- Etki alanı denetleyicisine ağ bağlantısının engellenmediği bir makinede kullanıcı adı ve depolama hesabı anahtarıyla oturum açın ve bazı kullanıcılara (veya gruplara) dosya paylaşımının kökünde izinleri düzenleme izni verin.
- Bu kullanıcılara Depolama Dosyası Verileri SMB Paylaşımı Yükseltilmiş Katkıda Bulunan Azure RBAC rolünü atayın.
- Gelecekte, ACL'leri güncelleştirmek istediğinizde, etki alanı denetleyicisine ağ bağlantısı engellenmemiş bir makineden oturum açmak ve ACL'leri düzenlemek için bu yetkili kullanıcılardan birini kullanabilirsiniz.
Depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlama
Windows ACL'lerini yapılandırmadan önce depolama hesabı anahtarınızı kullanarak dosya paylaşımını bağlamanız gerekir. Bunu yapmak için etki alanına katılmış bir cihazda oturum açın (AD kaynağınız Microsoft Entra Domain Services ise Microsoft Entra kullanıcısı olarak), bir Windows komut istemi açın ve aşağıdaki komutu çalıştırın. , <FileShareName>ve <YourStorageAccountKey> değerlerini kendi değerlerinizle değiştirmeyi <YourStorageAccountName>unutmayın. Z ise: zaten kullanımdaysa bunu kullanılabilir bir sürücü harfiyle değiştirin. Depolama hesabına gidip Güvenlik + ağ>Erişim anahtarları'nı seçerek Depolama hesabı anahtarınızı Azure portalında bulabilir veya PowerShell cmdlet'ini Get-AzStorageAccountKey kullanabilirsiniz.
Paylaşımı PowerShell'de değil, bu aşamada bağlamak için net use Windows komutunu kullanmanız gerekir. Paylaşımı bağlamak için PowerShell kullanırsanız, paylaşım Windows Dosya Gezgini veya cmd.exe tarafından görünmez ve Windows ACL'lerini yapılandırmakta zorluk çekersiniz.
Not
Bir role zaten Tam Denetim ACL'sinin uygulandığını görebilirsiniz. Genellikle bu seçenek izin atama olanağı sunar. Ancak, iki düzeyde (paylaşım düzeyi ve dosya/dizin düzeyi) erişim denetimleri olduğundan bu olanak kısıtlanır. Yalnızca Depolama Dosyası Verileri SMB Paylaşımı Yükseltilmiş Katkıda Bulunan rolüne sahip olan ve yeni bir dosya veya dizin oluşturan kullanıcılar, depolama hesabı anahtarını kullanmadan bu yeni dosya veya dizinler üzerinde izin atayabilir. Diğer tüm dosya/dizin izin atamaları için önce depolama hesabı anahtarını kullanarak paylaşıma bağlanmak gerekir.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows ACL'lerini yapılandırma
Windows ACL'lerini icacl'leri veya Windows Dosya Gezgini kullanarak yapılandırabilirsiniz. Set-ACL PowerShell komutunu da kullanabilirsiniz.
Şirket içi dosya sunucularında AD DS kimlikleriyle yapılandırılmış Windows ACL'leri olan dizinleriniz veya dosyalarınız varsa, bunları Robocopy veya Azure AzCopy v 10.4+ gibi geleneksel dosya kopyalama araçlarıyla ACL'leri kalıcı hale getirmek Azure Dosyalar kopyalayabilirsiniz. Dizinleriniz ve dosyalarınız Azure Dosya Eşitleme aracılığıyla Azure Dosyalar katmanlanmışsa, ACL'leriniz yerel biçimlerinde taşınır ve kalıcı hale taşınır.
Önemli
AD kaynağınız olarak Microsoft Entra Kerberos kullanıyorsanız, ACL'lerin uygulanması için kimliklerin Microsoft Entra Id ile eşitlenmesi gerekir. Microsoft Entra Id ile eşitlenmemiş kimlikler için dosya/dizin düzeyi ACL'ler ayarlayabilirsiniz. Ancak, kimlik doğrulaması/yetkilendirme için kullanılan Kerberos anahtarı eşitlenmemiş kimlikleri içermediğinden bu ACL'ler uygulanmaz. AD kaynağınız olarak şirket içi AD DS kullanıyorsanız, ACL'lerde eşitlenmemiş kimlikleriniz olabilir. AD DS bu SID'leri Kerberos anahtarına koyar ve ACL'ler zorlanır.
Windows ACL'lerini icacl'lerle yapılandırma
Kök dizin de dahil olmak üzere dosya paylaşımı altındaki tüm dizinlere ve dosyalara tam izin vermek için, AD etki alanı denetleyicisine ağ bağlantısı engellenmemiş bir makineden aşağıdaki Windows komutunu çalıştırın. Örnekteki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın. AD kaynağınız Microsoft Entra Domain Services ise olacaktır <user-upn> <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Windows ACL'lerini ayarlamak için icacl'leri kullanma ve desteklenen farklı izin türleri hakkında daha fazla bilgi için bkz. icacl'ler için komut satırı başvurusu.
Windows ACL'lerini Windows Dosya Gezgini ile yapılandırma
Etki alanına katılmış bir Windows istemcisinde oturum açtıysanız, kök dizin de dahil olmak üzere dosya paylaşımı altındaki tüm dizinlere ve dosyalara tam izin vermek için Windows Dosya Gezgini kullanabilirsiniz.
Önemli
İstemciniz etki alanına katılmadıysa veya ortamınızda birden çok AD ormanı varsa, ACL'leri yapılandırmak için Windows Gezgini'ni kullanmayın. Bunun yerine icacl'leri kullanın. Bunun nedeni, Windows Dosya Gezgini ACL yapılandırmasının istemcinin depolama hesabının katıldığı AD etki alanına katılmasını gerektirmesidir.
Windows Dosya Gezgini kullanarak ACL'leri yapılandırmak için bu adımları izleyin.
- Windows Dosya Gezgini açın, dosyaya/dizine sağ tıklayın ve Özellikler'i seçin.
- Güvenlik sekmesini seçin.
- İzinleri değiştirmek için Düzenle.. öğesini seçin.
- Mevcut kullanıcıların izinlerini değiştirebilir veya yeni kullanıcılara izin vermek için Ekle... seçeneğini belirleyebilirsiniz.
- Yeni kullanıcı ekleme istemi penceresinde, Seçecek nesne adlarını girin kutusuna izin vermek istediğiniz hedef kullanıcı adını girin ve hedef kullanıcının tam UPN adını bulmak için Adları Denetle'yi seçin. Şirket içi AD'niz için etki alanı adı ve etki alanı GUID'sini belirtmeniz gerekebilir. Bu bilgileri etki alanı yöneticinizden veya şirket içi AD'ye katılmış bir istemciden alabilirsiniz.
- Tamam'ı seçin.
- Güvenlik sekmesinde, yeni kullanıcınıza vermek istediğiniz tüm izinleri seçin.
- Uygula’yı seçin.
Sonraki adım
Artık dizin ve dosya düzeyi izinlerini yapılandırdığınıza göre, dosya paylaşımını bağlayabilirsiniz.