الجزء الثالث: تكوين أذونات على مستوى الدليل والملف عبر بروتوكول SMB
قبل بدء هذه المقالة، تأكد من إكمال المقالة السابقة، تعيين أذونات على مستوى المشاركة إلى هوية للتأكد من أن الأذونات على مستوى المشاركة موجودة.
بعد تعيين أذونات على مستوى المشاركة باستخدام Azure RBAC، يجب تكوين قوائم التحكم في الوصول Windows المناسبة على مستوى الجذر أو الدليل أو الملف، وذلك للاستفادة من التحكم في الوصول الدقيق. تعمل أذونات Azure RBAC على مستوى المشاركة كحارس بوابة عالي المستوى يحدد ما إذا كان بإمكان المستخدم الوصول إلى المشاركة أم لا. بينما تعمل قوائم التحكم في الوصول لنظام التشغيل Windows على مستوى أكثر دقة للتحكم في العمليات التي يمكن للمستخدم القيام بها على مستوى الدليل أو الملف. يتم فرض كل من الأذونات على مستوى المشاركة وعلى مستوى الملف/الدليل عندما يحاول المستخدم الوصول إلى ملف/دليل، لذلك إذا كان هناك فرق بين أي منهما، تطبيق الأذونات الأكثر تقييدا فقط. على سبيل المثال، إذا كان لدى المستخدم حق الوصول للقراءة/الكتابة على مستوى الملف، ولكنه يقرأ فقط على مستوى المشاركة، فيمكنه قراءة هذا الملف فقط. وينطبق الشيء نفسه إذا تم عكسه، وكان لدى المستخدم حق الوصول للقراءة/الكتابة على مستوى المشاركة، ولكن القراءة فقط على مستوى الملف، ولا يزال بإمكانه قراءة الملف فقط.
ينطبق على
| نوع مشاركة الملف | SMB | NFS |
|---|---|---|
| مشاركات الملفات القياسية (GPv2)، LRS/ZRS |  |
 |
| مشاركات الملفات القياسية (GPv2)، GRS/GZRS | |
|
| مشاركات الملفات المتميزة (FileStorage)، LRS/ZRS | |
|
أذونات Azure RBAC
يحتوي الجدول التالي على أذونات Azure RBAC المتعلقة بذلك التكوين:
| دور مدمج | إذن NTFS | الوصول الناتج |
|---|---|---|
| Storage File Data SMB Share Reader | التحكم الكامل، التعديل، القراءة، الكتابة، التنفيذ | قراءة & التنفيذ |
| قراءة | قراءة | |
| Storage File Data SMB Share Contributor | تحكم كامل | تعديل، قراءة، كتابة، تنفيذ |
| "Modify" | "Modify" | |
| قراءة & التنفيذ | قراءة & التنفيذ | |
| قراءة | قراءة | |
| كتابة | كتابة | |
| Storage File Data SMB Share Elevated Contributor | تحكم كامل | تعديل، قراءة، كتابة، تحرير (تغيير الأذونات)، تنفيذ |
| "Modify" | "Modify" | |
| قراءة & التنفيذ | قراءة & التنفيذ | |
| قراءة | قراءة | |
| كتابة | كتابة |
الأذونات المدعومة
يدعم Azure Files مجموعة الكاملة من قوائم التحكم في الوصول لنظام التشغيل Windows الأساسية والمتقدمة. يمكنك عرض قوائم التحكم في الوصول لنظام التشغيل Windows وتكوينها على الدلائل والملفات في مشاركة ملف Azure عن طريق تدفقات المشاركة ثم استخدام Windows مستكشف الملفات أو تشغيل الأمر Windows icacls أو الأمر Set-ACL.
لتكوين قوائم التحكم في الوصول باستخدام أذونات المستخدم المتميز، يجب تحميل المشاركة باستخدام مفتاح حساب التخزين من الجهاز الظاهري المرتبط المجال. اتبع الإرشادات الواردة في القسم التالي لتحميل مشاركة ملف Azure من موجه الأوامر وتكوين قوائم التحكم في الوصول لنظام التشغيل Windows.
الأذونات التالية يتم تضمينها في الدليل الجذر لمشاركة ملف:
- BUILTIN\Administrators:(OI)(CI)(F)
- BUILTIN\Users:(RX)
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
- NT AUTHORITY\المستخدمون المصادق عليهم:(OI)(CI)(M)
- NT AUTHORITY\SYSTEM:(OI)(CI)(F)
- NT AUTHORITY\SYSTEM:(F)
- CREATOR OWNER:(OI)(CI)(IO)(F)
| المستخدمون | التعريف |
|---|---|
| BUILTIN\Administrators | جميع المستخدمين الذين هم مسؤولو المجال في بيئة AD DS المحلية. |
| BUILTIN\Users | مجموعة الأمان مضمنة في AD. ويشمل NT AUTHORITY\المستخدمين المصادق عليهم افتراضيا. بالنسبة لخادم الملفات التقليدي، يمكنك تكوين تعريف العضوية لكل خادم. بالنسبة إلى Azure Files، لا يوجد خادم استضافة، وبالتالي يتضمن BUILTIN\Users نفس مجموعة مستخدمي NT AUTHORITY\Authenticated Users. |
| NT AUTHORITY\SYSTEM | حساب الخدمة لنظام تشغيل خادم الملفات. حساب الخدمة هذا لا ينطبق في سياق ملفات Azure. مضمَّن في الدليل الجذر ليكون متسقا مع تجربة خادم الملفات Windows للسيناريوهات المختلطة. |
| NT AUTHORITY\المستخدمون المصادق عليهم | جميع المستخدمين في AD الذين يمكنهم الحصول على رمز Kerberos مميز صالح. |
| مالك منشئ | كل كائن إما دليل أو ملف يحتوي على مالك لهذا الكائن. إذا كانت هناك قوائم تحكم بالوصول تم تعيينها إلى "مالك منشئ" على هذا الكائن، فإن المستخدم المالك هذا الكائن لديه أذونات للكائن المحدد بواسطة قائمة التحكم في الوصول. |
تحميل مشاركة ملف من موجه الأوامر
استخدم الأمر Windows net use لتحميل مشاركة ملف Azure. تذكر استبدال قيم العنصر النائب في المثال التالي بقيمك. لمزيد من المعلومات حول تدفقات مشاركات الملفات، راجع استخدام مشاركة ملف Azure مع Windows.
ملاحظة
قد ترى أن التحكم الكامل* لقائمة التحكم بالوصول يُطبق على دور بالفعل. وعادة ما يوفر ذلك بالفعل القدرة على تعيين الأذونات. ومع ذلك، ونظرا لوجود عمليات تحقق من الوصول على مستويين (مستوى المشاركة ومستوى الملف)، يتم تقييد ذلك. لا يمكن تعيين أذونات على تلك الملفات أو المجلدات الجديدة المحددة دون استخدام مفتاح حساب التخزين إلا للمستخدمين الذين لديهم دور المساهم المرتفع SMB وإنشاء ملف أو مجلد جديد. أولا، يتطلب تعيين الأذونات الأخرى تركيب المشاركة باستخدام مفتاح حساب التخزين.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> /user:Azure\<storage-account-name> <storage-account-key>
}
else
{
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
إذا واجهت مشكلات في الاتصال بملفات Azure، راجع أداة استكشاف الأخطاء وإصلاحها التي نشرناها لأخطاء تركيب ملفات Azure على Windows.
تكوين قوائم التحكم في الوصول Windows
بمجرد تدفق مشاركة الملف باستخدام مفتاح حساب التخزين، يجب تكوين قوائم التحكم في الوصول لنظام التشغيل Windows (المعروفة أيضا باسم أذونات NTFS). يمكنك تكوين قوائم التحكم في الوصول لنظام التشغيل Windows باستخدام مستكشف ملفات Windows أو icacls.
إذا كان لديك أدلة أو ملفات في خوادم ملفات محلية مع Windows DACLs تم تكوينها مقابل هويات AD DS، فيمكنك نسخها إلى ملفات Azure مع استمرار قوائم التحكم في الوصول باستخدام أدوات نسخ الملفات التقليدية مثل Robocopy أو Azure AzCopy v 10.4+. إذا تم تقسيم الدلائل والملفات إلى ملفات Azure من خلال Azure File Sync، يتم ترحيل قوائم التحكم في الوصول والاستمرار بتنسيقها الأصلي.
تكوين قوائم التحكم في الوصول لنظام التشغيل Windows باستخدام icacls
استخدم أمر Windows التالي لمنح أذونات كاملة لكافة الدلائل والملفات ضمن مشاركة الملفات، بما في ذلك الدليل الجذر. تذكر استبدال قيم العنصر النائب في المثال بقيمك.
icacls <mounted-drive-letter>: /grant <user-upn>:(f)
لمزيد من المعلومات حول كيفية استخدام icacls لتعيين قوائم التحكم في الوصول لنظام التشغيل Windows وحول الأنواع المختلفة من الأذونات المدعومة، راجع مرجع سطر الأوامر لـ icacls.
تكوين قوائم التحكم في الوصول لنظام التشغيل Windows باستخدام مستكشف ملفات Windows
استخدم مستكشف ملفات Windows لمنح الإذن الكامل لجميع الدلائل والملفات ضمن مشاركة الملفات، بما في ذلك الدليل الجذر. إذا لم تتمكن من تحميل معلومات نطاق AD بشكل صحيح في مستكشف ملفات Windows، فمن المحتمل أن يرجع ذلك إلى تكوين الثقة في بيئة AD الجاهزة. الجهاز العميل لم يتمكن من الوصول إلى وحدة تحكم مجال AD المسجلة لمصادقة ملفات Azure. في هذه الحالة، استخدم icacls لتكوين قوائم التحكم في الوصول لنظام التشغيل Windows.
- افتح مستكشف ملفات Windows وانقر بزر الماوس الأيمن على الملف/الدليل وحدد الخصائص.
- حدد علامة التبويب Security.
- حدد تحرير.. لتغيير الأذونات.
- يمكنك تغيير أذونات المستخدمين الحاليين أو تحديد إضافة... لمنح أذونات للمستخدمين الجدد.
- في نافذة المطالبة، لإضافة مستخدمين جدد، أدخل اسم المستخدم الهدف الذي تريد منح الأذونات له في المربع أدخل أسماء الكائنات المراد تحديدها، وحدد التحقق من الأسماء للعثور على اسم UPN الكامل للمستخدم الهدف.
- حدد "OK".
- في علامة التبويب الأمان، حدد جميع الأذونات التي تريد منحها للمستخدم الجديد.
- اختر تطبيق.
الخطوات التالية
الآن بعد تمكين الميزة وتكوينها، تابع إلى المقالة التالية، حيث تقوم بتحميل مشاركة ملف Azure من جهاز ظاهري مرتبط بالمجال.