Troisième partie : configurer les autorisations au niveau des répertoires et des fichiers sur SMB

Avant de commencer à lire cet article, veillez à parcourir l’article précédent, intitulé Attribuer des autorisations au niveau du partage à une identité pour vous assurer que vos autorisations de partage sont définies.

Une fois que vous avez attribué des autorisations au niveau du partage avec Azure RBAC, vous devez configurer les ACL Windows appropriées au niveau du fichier, du répertoire ou de la racine pour tirer parti du contrôle d’accès granulaire. Les autorisations Azure RBAC au niveau du partage agissent comme un gardien de niveau supérieur qui détermine si un utilisateur peut accéder au partage. En revanche, les ACL Windows fonctionnent à un niveau plus granulaire pour contrôler les opérations que l’utilisateur peut effectuer au niveau du répertoire ou du fichier. Les autorisations au niveau du partage et au niveau du fichier/répertoire sont appliquées lorsqu’un utilisateur tente d’accéder à un fichier/répertoire. Par conséquent, s’il existe une différence entre ces deux niveaux, seules les autorisations dont le niveau est le plus restrictif sont appliquées. Par exemple, si un utilisateur dispose d’un accès en lecture/écriture au niveau du fichier, mais uniquement en lecture au niveau du partage, il peut uniquement lire ce fichier. Il en va de même dans le cas contraire : si un utilisateur avait un accès en lecture/écriture au niveau du partage, mais uniquement en lecture au niveau du fichier, il ne peut toujours que lire le fichier.

S’applique à

Type de partage de fichiers SMB NFS
Partages de fichiers Standard (GPv2), LRS/ZRS Yes No
Partages de fichiers Standard (GPv2), GRS/GZRS Yes No
Partages de fichiers Premium (FileStorage), LRS/ZRS Yes No

Autorisations Azure RBAC

Le tableau suivant contient les autorisations Azure RBAC associées à cette configuration :

Rôle intégré Autorisations NTFS Accès obtenu
Lecteur de partage SMB de données de fichier de stockage Contrôle total, Modifier, Lire, Écrire, Exécuter Lecture & exécution
Lire Lire
Contributeur de partage SMB de données de fichier de stockage Contrôle total Modifier, Lire, Écrire, Exécuter
Modifier Modifier
Lecture & exécution Lecture & exécution
Lire Lire
Write Write
Contributeur élevé de partage SMB de données de fichier de stockage Contrôle total Modifier, Lire, Écrire, Éditer (Modifier les autorisations), Exécuter
Modifier Modifier
Lecture & exécution Lecture & exécution
Lire Lire
Write Write

Autorisations prises en charge

Azure Files prend en charge l’ensemble des ACL Windows de base et avancées. Vous pouvez voir et configurer les ACL Windows sur les répertoires et les fichiers d’un partage de fichiers Azure en montant le partage puis en utilisant l’Explorateur de fichiers Windows ou en exécutant la commande Windows icacls ou la commande Set-ACL.

Pour configurer des ACL avec des autorisations de superutilisateur, vous devez monter le partage avec votre clé de compte de stockage à partir de votre machine virtuelle jointe à un domaine. Suivez les instructions de la section suivante pour monter un partage de fichiers Azure à partir de l’invite de commandes et configurer les ACL Windows.

Les autorisations suivantes sont incluses dans le répertoire racine d’un partage de fichiers :

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)
Utilisateurs Définition
BUILTIN\Administrators Tous les utilisateurs qui sont des administrateurs de domaine de l’environnement local AD DS.
BUILTIN\Users Groupe de sécurité intégré dans AD. Il comprend NT AUTHORITY\Authenticated Users par défaut. Pour un serveur de fichiers traditionnel, vous pouvez configurer la définition d’appartenance par serveur. Pour Azure Files, il n’existe pas de serveur d’hébergement. BUILTIN\Users inclut donc le même ensemble d’utilisateurs que NT AUTHORITY\Authenticated Users.
NT AUTHORITY\SYSTEM Compte de service du système d’exploitation du serveur de fichiers. Ce compte de service n’est pas applicable dans un contexte Azure Files. Il est inclus dans le répertoire racine pour être cohérent avec l’expérience Windows Files Server pour les scénarios hybrides.
NT AUTHORITY\Authenticated Users Tous les utilisateurs dans Active Directory qui peuvent obtenir un jeton Kerberos valide.
CREATOR OWNER Chaque objet, répertoire ou fichier, a un propriétaire pour cet objet. Si des ACL sont affectées à l’objet « CREATOR OWNER » sur cet objet, l’utilisateur qui est le propriétaire de cet objet dispose des autorisations définies par la liste de contrôle d’accès.

Monter un partage de fichiers Azure à partir de l’invite de commandes

Utilisez la commande Windows net use pour monter le partage de fichiers Azure. N’oubliez pas de remplacer les valeurs d’espace réservé dans l’exemple suivant par vos propres valeurs. Pour plus d’informations sur le montage de partages de fichiers, consultez Utilisation d’un partage de fichiers Azure avec Windows.

Notes

Vous pouvez voir que la liste de contrôle d’accès Contrôle total* est déjà appliquée à un rôle. Cela offre généralement la possibilité d’attribuer des autorisations. Cela est toutefois limité du fait qu’il existe des contrôles d’accès à deux niveaux (au niveau du partage et au niveau du fichier). Seuls les utilisateurs disposant du rôle Contributeur élevé SMB et qui créent un nouveau fichier ou dossier peuvent attribuer des autorisations sur ces fichiers ou dossiers spécifiques sans utiliser la clé du compte de stockage. Toutes les autres attributions d’autorisations requièrent le montage préalable du partage avec la clé du compte de stockage.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded)
{
  net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> /user:Azure\<storage-account-name> <storage-account-key>
} 
else 
{
  Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN,   Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Si vous rencontrez des problèmes lors de la connexion à Azure Files, consultez l’outil de dépannage que nous avons publié pour les erreurs de montage Azure Files sur Windows.

Configurer des ACL Windows

Une fois votre partage de fichiers monté avec la clé de compte de stockage, vous devez configurer les ACL Windows (également appelées autorisations NTFS). Vous pouvez configurer les ACL Windows en utilisant l’Explorateur de fichiers Windows ou icacls.

Si vous avez des répertoires ou des fichiers dans des serveurs de fichiers locaux avec des listes de contrôle d’accès discrétionnaire Windows configurées sur les identités AD DS, vous pouvez les copier sur Azure Files en conservant les ACL avec des outils de copie de fichiers traditionnels comme Robocopy ou Azure AzCopy v10.4+. Si vos répertoires et fichiers sont hiérarchisés pour Azure Files par le biais d’Azure File Sync, vos ACL sont reportées et conservées dans leur format natif.

Configurer des ACL Windows avec icacls

Utilisez la commande Windows suivante pour accorder des autorisations complètes sur tous les répertoires et fichiers du partage de fichiers, y compris le répertoire racine. N’oubliez pas de remplacer les valeurs d’espace réservé dans l’exemple par vos propres valeurs.

icacls <mounted-drive-letter>: /grant <user-upn>:(f)

Pour plus d’informations sur l’utilisation de la commande icacls pour définir des ACL Windows et sur les différents types d’autorisation pris en charge, consultez les informations de référence sur la ligne de commande pour icacls.

Configurer des ACL Windows avec l’Explorateur de fichiers Windows

Utilisez l’Explorateur de fichiers Windows pour accorder des autorisations complètes sur tous les répertoires et fichiers du partage de fichiers, y compris le répertoire racine. Si vous n’êtes pas en mesure de charger correctement les informations de domaine AD dans l’Explorateur de fichiers Windows, cela est probablement dû à la configuration d’approbation de votre environnement AD local. L’ordinateur client n’a pas pu atteindre le contrôleur de domaine AD inscrit pour l’authentification Azure Files. Dans ce cas, utilisez icacls pour la configuration des ACL Windows.

  1. Ouvrez l’Explorateur de fichiers Windows, cliquez avec le bouton droit sur le fichier/répertoire, puis sélectionnez Propriétés.
  2. Sélectionnez l'onglet Sécurité .
  3. Sélectionnez Éditer... pour modifier les autorisations.
  4. Vous pouvez modifier les autorisations des utilisateurs existants ou sélectionner Ajouter… pour accorder des autorisations à de nouveaux utilisateurs.
  5. Dans la fenêtre d’invite d’ajout de nouveaux utilisateurs, entrez le nom d’utilisateur cible auquel vous souhaitez accorder des autorisations dans la zone Entrer les noms des objets à sélectionner, puis sélectionnez Vérifier les noms pour trouver le nom UPN complet de l’utilisateur cible.
  6. Sélectionnez OK.
  7. Dans l’onglet Sécurité, sélectionnez toutes les autorisations que vous souhaitez accorder au nouvel utilisateur.
  8. Sélectionnez Appliquer.

Étapes suivantes

Maintenant que la fonctionnalité est activée et configurée, passez à l’article suivant, où vous montez votre partage de fichiers Azure à partir d’une machine virtuelle jointe à un domaine.

Quatrième partie : monter un partage de fichiers à partir d’une machine virtuelle jointe à un domaine