Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene über SMB
Lesen Sie den Artikel Zuweisen von Berechtigungen auf Freigabeebene zu einer Identität, bevor Sie mit diesem Artikel beginnen. Dadurch stellen Sie sicher, dass Ihre Berechtigungen auf Freigabeebene mit der rollenbasierten Zugriffssteuerung in Azure (Role-based Access Control, RBAC) eingerichtet wurden.
Nachdem Sie Zugriffsrechte auf Freigabeebene zugewiesen haben, können Sie Windows-Zugriffssteuerungslisten (ACLs), auch bekannt als NTFS-Berechtigungen, auf Stamm-, Verzeichnis- oder Dateiebene konfigurieren. Während Berechtigungen auf Freigabeebene als allgemeiner Gatekeeper dienen, der bestimmt, ob ein Benutzer auf die Freigabe zugreifen kann, agieren Windows-ACLs auf einer detaillierteren Ebene, um zu steuern, welche Vorgänge der Benutzer auf Verzeichnis- oder Dateiebene durchführen kann.
Sowohl die Berechtigungen auf Freigabeebene als auch auf Datei- und Verzeichnisebene werden erzwungen, wenn Benutzer*innen versuchen, auf eine Datei oder ein Verzeichnis zuzugreifen. Wenn es zwischen diesen also einen Unterschied gibt, wird nur die restriktivste Berechtigung angewandt. Wenn ein Benutzer beispielsweise über Lese- und Schreibzugriff auf Dateiebene, aber nur über Schreibzugriff auf Freigabeebene verfügt, kann er diese Datei nur lesen. Dies gilt auch umgekehrt: Wenn ein Benutzer über Lese- und Schreibzugriff auf Freigabeebene, aber nur über Lesezugriff auf Dateiebene verfügt, kann er die Datei ebenfalls nur lesen.
Wichtig
Zum Konfigurieren von Windows-ACLs benötigen Sie einen Clientcomputer mit Windows, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt. Wenn Sie sich mit Azure Files unter Verwendung von Active Directory Domain Services (AD DS) oder Microsoft Entra Kerberos für Hybrididentitäten authentifizieren, benötigen Sie eine uneingeschränkte Netzwerkverbindung mit der lokalen AD-Instanz. Wenn Sie Microsoft Entra Domain Services verwenden, muss der Clientcomputer über eine uneingeschränkte Netzwerkverbindung mit den Domänencontrollern für die von Microsoft Entra Domain Services verwaltete Domäne verfügen, die sich in Azure befinden.
Gilt für:
| Dateifreigabetyp | SMB | NFS |
|---|---|---|
| Standard-Dateifreigaben (GPv2), LRS/ZRS |  |
 |
| Standard-Dateifreigaben (GPv2), GRS/GZRS | |
|
| Premium-Dateifreigaben (FileStorage), LRS/ZRS | |
|
Azure RBAC-Berechtigungen
In der folgenden Tabelle sind die Azure RBAC-Berechtigungen zu dieser Konfiguration aufgeführt. Bei Verwendung des Azure Storage-Explorers benötigen Sie auch die Rolle Lese- und Datenzugriff, um die Dateifreigabe lesen bzw. darauf zugreifen zu können.
| Berechtigung auf Freigabeebene (integrierte Rolle) | NTFS-Berechtigung | Resultierende Zugriffsrechte |
|---|---|---|
| Speicherdateidaten-SMB-Freigabeleser | Vollzugriff, Ändern, Lesen, Schreiben, Ausführen | Lesen und Ausführen |
| Lesen Sie | Lesen | |
| Speicherdateidaten-SMB-Freigabemitwirkender | Vollzugriff | Ändern, Lesen, Schreiben, Ausführen |
| Ändern | Änderung | |
| Lesen und Ausführen | Lesen und Ausführen | |
| Lesen Sie | Lesen | |
| Schreiben | Schreiben | |
| Speicherdateidaten-SMB-Freigabemitwirkender mit erhöhten Rechten | Vollzugriff | Ändern, Lesen, Schreiben, Bearbeiten (Berechtigungen ändern), Ausführen |
| Ändern | Änderung | |
| Lesen und Ausführen | Lesen und Ausführen | |
| Lesen Sie | Lesen | |
| Schreiben | Schreiben |
Unterstützte Windows-ACLs
Azure Files unterstützt alle grundlegenden und erweiterten Windows-ACLs.
| Benutzer | Definition |
|---|---|
BUILTIN\Administrators |
Integrierte Sicherheitsgruppe, die Administratoren des Dateiservers darstellt. Diese Gruppe ist leer, und niemand kann hinzugefügt werden. |
BUILTIN\Users |
Integrierte Sicherheitsgruppe, die Benutzer des Dateiservers darstellt. Es enthält NT AUTHORITY\Authenticated Users standardmäßig. Für einen herkömmlichen Dateiserver können Sie die Mitgliedschaftsdefinition pro Server konfigurieren. Für Azure Files gibt es keinen Hosting-Server, daher BUILTIN\Usersumfasst es die gleiche Gruppe von Benutzern wie NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Das Dienstkonto des Betriebssystems des Dateiservers. Ein derartiges Dienstkonto ist im Azure Files-Kontext nicht gültig. Es ist im Stammverzeichnis enthalten, um Konsistenz mit dem Verhalten von Windows Files Server in Hybridszenarien sicherzustellen. |
NT AUTHORITY\Authenticated Users |
Alle Benutzer in AD, die ein gültiges Kerberos-Token erhalten können. |
CREATOR OWNER |
Jedes Objekt, gleich ob Verzeichnis oder Datei, weist einen Besitzer für dieses Objekt auf. Wenn diesem Objekt ACLs zugewiesen sind, CREATOR OWNERdann hat der Benutzer, der Eigentümer dieses Objekts ist, die durch die ACL definierten Rechte für das Objekt. |
Die folgenden Berechtigungen sind im Stammverzeichnis einer Dateifreigabe enthalten:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Weitere Informationen zu diesen erweiterten Berechtigungen finden Sie in der Befehlszeilenreferenz für icacls.
Funktionsweise
Es gibt zwei Ansätze für die Konfiguration und Bearbeitung von Windows-ACLs:
Wiederholte Anmeldung mit Ihrem Benutzernamen und dem Schlüssel Ihres Speicherkontos: Immer dann, wenn Sie ACLs konfigurieren möchten, binden Sie die Dateifreigabe mit dem Schlüssel Ihres Speicherkontos auf einem Computer ein, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt.
Einmalige Einrichtung des Benutzernamens/Speicherkontoschlüssels:
Hinweis
Diese Einstellung funktioniert für neu erstellte Dateifreigaben, da jede neue Datei bzw. jedes neue Verzeichnis die konfigurierte Stammberechtigung erbt. Bei Dateifreigaben, die zusammen mit vorhandenen ACLs migriert wurden, oder wenn Sie lokale Dateien/Verzeichnisse mit vorhandenen Berechtigungen zu einer neuen Dateifreigabe migrieren, funktioniert dieser Ansatz möglicherweise nicht, da die migrierten Dateien nicht die konfigurierte Stamm-ACL erben.
- Melden Sie sich mit einem Benutzernamen und einem Schlüssel für das Speicherkonto auf einem Computer an, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt, und erteilen Sie einigen Benutzer*innen (oder Gruppen) die Erlaubnis, die Berechtigungen für das Stammverzeichnis der Dateifreigabe zu bearbeiten.
- Weisen Sie diesen Benutzern die Azure RBAC-Rolle Mitwirkender mit erhöhten Rechten für Speicherdateidaten-SMB-Freigabe zu.
- Wenn Sie in Zukunft ACLs aktualisieren möchten, können Sie sich mit einem dieser autorisierten Benutzer*innen von einem Computer aus anmelden, der über eine uneingeschränkte Netzwerkverbindung mit dem Domänencontroller verfügt, und anschließend können Sie die ACLs bearbeiten.
Einbinden der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels
Bevor Sie Windows-ACLs konfigurieren, müssen Sie zunächst die Dateifreigabe mithilfe Ihres Speicherkontoschlüssels einbinden. Melden Sie sich dazu bei einem in die Domäne eingebundenen Gerät an, öffnen Sie eine Windows-Eingabeaufforderung, und führen Sie den folgenden Befehl aus. Ersetzen Sie <YourStorageAccountName>, <FileShareName> und <YourStorageAccountKey> durch Ihre eigenen Werte. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Zum Ermitteln Ihres Speicherkontoschlüssels können Sie im Azure-Portal zu dem Speicherkonto navigieren und Sicherheit und Netzwerk>Zugriffsschlüssel auswählen oder das PowerShell-Cmdlet Get-AzStorageAccountKey verwenden.
Es ist wichtig, dass Sie in dieser Phase zum Einbinden der Freigabe den Windows-Befehl net use verwenden und nicht PowerShell. Wenn Sie PowerShell zum Einbinden der Freigabe verwenden, ist die Freigabe im Datei-Explorer von Windows oder in cmd.exe nicht sichtbar, und Sie könnten Probleme beim Konfigurieren von Windows-ACLs bekommen.
Hinweis
Möglicherweise sehen Sie, dass die ACL Vollzugriff bereits auf eine Rolle angewendet wird. Dies bietet in der Regel bereits die Möglichkeit, Berechtigungen zu erteilen. Da es jedoch Zugriffsprüfungen auf zwei Ebenen gibt (Freigabeebene und Datei-/Verzeichnisebene), ist dies nur eingeschränkt möglich. Nur Benutzer, die über die Rolle SMB Elevated Contributor verfügen und eine neue Datei oder ein neues Verzeichnis erstellen, können diesen neuen Dateien oder Verzeichnissen Berechtigungen zuweisen, ohne den Schlüssel des Speicherkontos zu verwenden. Für alle anderen Zuweisungen von Datei-/Verzeichnisberechtigungen muss zuerst eine Verbindung mit der Freigabe mithilfe des Speicherkontoschlüssels hergestellt werden.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurieren von Windows-ACLs
Sie können die Windows-ACLs entweder mithilfe von icacls oder mit dem Windows-Datei-Explorer konfigurieren. Sie können auch das PowerShell-Cmdlet Set-ACL verwenden.
Wichtig
Wenn Ihre Umgebung über mehrere AD DS-Gesamtstrukturen verfügt, verwenden Sie Windows-Explorer nicht, um ACLs zu konfigurieren. Verwenden Sie stattdessen icacls.
Wenn Sie über Verzeichnisse oder Dateien auf lokalen Dateiservern mit Windows-ACLs verfügen, die für die AD DS-Identitäten konfiguriert sind, können Sie diese unter Beibehaltung der ACLs in Azure Files kopieren, indem Sie herkömmlichen Tools zum Kopieren von Dateien wie Robocopy oder Azure AzCopy v10.4 oder höher verwenden. Wenn Ihre Verzeichnisse und Dateien per Azure-Dateisynchronisierung in Azure Files ausgelagert werden, werden Ihre ACLs in ihrem nativen Format übertragen und gespeichert.
Denken Sie daran, Ihre Identitäten zu synchronisieren, damit die festgelegten Berechtigungen wirksam werden. Sie können ACLs für nicht synchronisierte Identitäten festlegen. Diese ACLs werden jedoch nicht erzwungen, da die nicht synchronisierten Identitäten nicht im Kerberos-Ticket vorhanden sind, das für die Authentifizierung/Autorisierung verwendet wird.
Konfigurieren von Windows-ACLs mit „icacls“
Um uneingeschränkte Berechtigungen für sämtliche Verzeichnisse und Dateien unter der Dateifreigabe (einschließlich des Stammverzeichnisses) zu gewähren, führen Sie den folgenden Windows-Befehl von einem Computer aus, der über eine Sichtverbindung mit dem AD-Domänencontroller verfügt. Denken Sie daran, die Platzhalterwerte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Weitere Informationen zur Verwendung von „icacls“ zum Festlegen von Windows-ACLs und zu den verschiedenen Arten von unterstützten Berechtigungen finden Sie in der Befehlszeilenreferenz für „icacls“.
Konfigurieren von Windows-ACLs mit dem Windows-Datei-Explorer
Wenn Sie an einem in die Domäne eingebundenen Windows-Client angemeldet sind, können Sie den Windows-Datei-Explorer verwenden, um allen Verzeichnissen und Dateien unter der Dateifreigabe (einschließlich des Stammverzeichnisses) uneingeschränkte Berechtigungen zu erteilen. Wenn Ihr Client nicht in die Domäne eingebunden ist, verwenden Sie icacls zum Konfigurieren von Windows-ACLs.
- Öffnen Sie Windows-Explorer, klicken Sie mit der rechten Maustaste auf die Datei bzw. das Verzeichnis, und wählen Sie Eigenschaften aus.
- Wählen Sie die Registerkarte Sicherheit .
- Wählen Sie zum Ändern der Berechtigungen Bearbeiten aus.
- Sie können die Berechtigung bereits vorhandener Benutzer ändern oder Hinzufügen auswählen, um neuen Benutzern Berechtigungen zu gewähren.
- Geben Sie im Eingabeaufforderungsfenster zum Hinzufügen neuer Benutzer im Feld Geben Sie die Namen der auszuwählenden Objekte ein den Namen des Zielbenutzers ein, dem Sie die Berechtigung gewähren möchten, und klicken Sie auf Namen überprüfen, um den vollständigen UPN-Namen des Zielbenutzers zu ermitteln.
- Klicken Sie auf OK.
- Wählen Sie auf der Registerkarte Sicherheit alle Berechtigungen aus, die Sie dem neuen Benutzer gewähren möchten.
- Wählen Sie Übernehmen.
Nächste Schritte
Nachdem Sie nun die identitätsbasierte Authentifizierung mit AD DS aktiviert und konfiguriert haben, können Sie eine Dateifreigabe einhängen.