Mengonfigurasi Izin Penyimpanan SMB

FSLogix bekerja dengan sistem penyimpanan SMB untuk menyimpan kontainer Profil atau ODFC. Penyimpanan SMB digunakan dalam konfigurasi standar di mana VHDLocations menyimpan jalur UNC ke lokasi penyimpanan. Penyedia penyimpanan SMB juga dapat digunakan dalam konfigurasi Cloud Cache di mana CCDLocations digunakan alih-alih VHDLocations.

Izin penyimpanan SMB mengandalkan Daftar Kontrol Akses (ACL) NTFS tradisional yang diterapkan pada tingkat file atau folder untuk memastikan keamanan data yang tepat yang disimpan. Saat digunakan dengan Azure Files, Anda harus mengaktifkan sumber Active Directory (AD), lalu menetapkan izin tingkat berbagi ke sumber daya. Ada dua cara Anda dapat menetapkan izin tingkat berbagi. Anda dapat menetapkannya ke pengguna/grup ID Entra tertentu, dan Anda dapat menetapkannya ke semua identitas terautentikasi sebagai izin tingkat berbagi default.

Sebelum Anda mulai

Sebelum mengonfigurasi izin penyimpanan SMB, Anda harus terlebih dahulu membuat penyedia penyimpanan SMB dan dikaitkan dengan otoritas identitas yang benar untuk organisasi dan jenis penyedia penyimpanan Anda.

Penting

Anda harus memahami proses yang diperlukan untuk menggunakan Azure Files atau Azure NetApp Files untuk penyimpanan SMB di lingkungan Anda.

Azure Files

Kerangka menyediakan konsep awal yang diperlukan saat menggunakan Azure Files sebagai penyedia Penyimpanan SMB Anda. Terlepas dari konfigurasi Direktori Aktif yang dipilih, disarankan untuk mengonfigurasi izin tingkat berbagi default menggunakan Kontributor Berbagi SMB Data File Penyimpanan, yang ditetapkan ke semua identitas terautentikasi. Agar dapat mengatur ACL Windows, pastikan Anda menetapkan izin tingkat berbagi untuk pengguna atau grup Id Entra tertentu dengan peran Storage File Data SMB Share Elevated Contributor dan meninjau Mengonfigurasi direktori dan izin tingkat file melalui SMB.

1. Buat berbagi file Azure SMB.
   • Mengaktifkan autentikasi AD DS untuk berbagi file Azure
   • Mengaktifkan autentikasi Azure Active Directory Domain Services di Azure Files
   • Mengaktifkan autentikasi Kerberos Azure Active Directory untuk identitas hibrid di Azure Files

Azure NetApp Files

Azure NetApp Files hanya bergantung pada Windows ACL.

1. Membuat akun NetApp.
2. Pahami panduan untuk desain dan perencanaan situs Active Directory Domain Services untuk Azure NetApp Files.
3. Buat kumpulan kapasitas untuk Azure NetApp Files.
4. Membuat volume SMB untuk Azure NetApp Files.

Mengonfigurasi Windows ACL

Windows ACL penting untuk dikonfigurasi dengan benar sehingga hanya pengguna (PEMILIK PEMBUAT) yang memiliki akses ke direktori profil atau file VHD(x) mereka. Selain itu, Anda perlu memastikan grup administratif lainnya memiliki 'Kontrol Penuh' dari perspektif operasional. Konsep ini dikenal sebagai akses berbasis pengguna dan merupakan konfigurasi yang direkomendasikan.

Setiap berbagi file SMB memiliki sekumpulan ACL default. Contoh-contoh ini adalah tiga (3) jenis berbagi file SMB yang paling umum dan ACL defaultnya.

ACL Server File	Azure Files Share ACL	Azure NetApp Files ACL

Penting

Menerapkan ACL ke Azure File Shares mungkin memerlukan satu (1) dari dua (2) metode:

1. Berikan pengguna atau grup dengan peran Storage File Data SMB Share Elevated Contributor di Akun Penyimpanan atau Kontrol Akses Berbagi File (IAM).
2. Pasang berbagi file menggunakan kunci Akun Penyimpanan.

Karena ada pemeriksaan akses pada dua tingkat (tingkat berbagi dan tingkat file/direktori), menerapkan ACL dibatasi. Hanya pengguna yang memiliki peran Storage File Data SMB Share Elevated Contributor yang dapat menetapkan izin pada akar berbagi file atau file atau direktori lain tanpa menggunakan kunci akun penyimpanan. Semua penetapan izin file/direktori lainnya memerlukan koneksi ke berbagi menggunakan kunci akun penyimpanan terlebih dahulu.

ACL yang direkomendasikan

Tabel menguraikan ACL yang direkomendasikan untuk dikonfigurasi.

Utama	Access	Berlaku untuk	Deskripsi
CREATOR OWNER	Ubah (Baca/Tulis)	Subfolder dan file saja	Memastikan direktori profil yang dibuat oleh pengguna memiliki izin yang benar hanya untuk pengguna tersebut.
CONTOSO\Admin Domain	Kontrol Penuh	Folder, subfolder, dan file ini	Ganti dengan grup organisasi Anda yang digunakan untuk tujuan administratif.
CONTOSO\Pengguna Domain	Ubah (Baca/Tulis)	Folder ini saja	Memungkinkan pengguna yang berwenang untuk membuat direktori profil mereka. Ganti dengan pengguna organisasi yang memerlukan akses untuk membuat profil.

Menerapkan ACL Windows menggunakan icacls

Gunakan perintah Windows berikut untuk menyiapkan izin yang direkomendasikan ke semua direktori dan file di bawah berbagi file, termasuk direktori akar.

Catatan

Ingatlah untuk mengganti nilai tempat penampung dalam contoh dengan nilai Anda sendiri.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Untuk informasi selengkapnya tentang cara menggunakan icacls untuk mengatur ACL Windows dan pada berbagai jenis izin yang didukung, lihat referensi baris perintah untuk icacls.

Menerapkan Windows ACL menggunakan Windows Explorer

Gunakan Windows File Explorer untuk menerapkan izin yang direkomendasikan ke semua direktori dan file di bawah berbagi file, termasuk direktori akar.

1. Buka Windows File Explorer ke akar berbagi file.

2. Klik kanan di area terbuka di panel kanan dan pilih Properti.

3. Pilih tab Keamanan.

4. Pilih Tingkat Lanjut.

5. Pilih Nonaktifkan pewarisan.

   Catatan

   Jika diminta, hapus izin yang diwariskan alih-alih menyalin

6. Pilih Tambahkan.

7. Pilih 'Pilih prinsipal'.

8. Ketik "PEMILIK PEMBUAT" dan Pilih Periksa Nama, lalu OK.

9. Untuk 'Berlaku untuk:', Pilih 'Subfolder dan file saja'.

10. Untuk 'Izin dasar:', Pilih 'Ubah'.

11. Pilih OK.

12. Ulangi langkah 6 - 11 berdasarkan ACL yang direkomendasikan .

13. Pilih OK dan OK lagi untuk menyelesaikan penerapan izin.

    

Menerapkan Windows ACL menggunakan konfigurasi SIDDirSDDL

Atau, FSLogix menyediakan pengaturan konfigurasi yang mengatur ACL Windows pada direktori selama proses pembuatan. Pengaturan konfigurasi SIDDirSDDL menerima string SDDL yang menentukan ACL yang akan diterapkan ke direktori saat pembuatannya.

Membuat string SDDL Anda

1. Buat folder 'Uji' pada berbagi file SMB.

   

2. Ubah izin agar sesuai dengan organisasi Anda.

   

3. Buka Terminal PowerShell.

4. Ketik Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. Salin output ke Notepad.

6. Ganti O:BAG dengan O:%sid% (Mengatur SID pengguna sebagai pemilik folder).

7. Ganti (A;OICIIO;0x1301bf;;;CO) dengan (A;OICIIO;0x1301bf;;;%sid%) (Memberikan hak modifikasi SID pengguna ke semua item).

8. Dalam konfigurasi FSLogix Anda, terapkan pengaturan SIDDirSDL.

   • Nama nilai: SIDDirSDL
   • Jenis Nilai: REG_SZ
   • NilaiO:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602):

9. Saat pengguna masuk untuk pertama kalinya, direktori mereka dibuat dengan izin ini.