Configurare le autorizzazioni a livello di directory e file su SMB
Prima di iniziare questo articolo, assicurarsi di aver letto Assegnare autorizzazioni a livello di condivisione a un'identità per assicurarsi che le autorizzazioni a livello di condivisione siano applicate con il controllo degli accessi in base al ruolo di Azure.
Dopo aver assegnato le autorizzazioni a livello di condivisione, è possibile configurare elenchi di controllo di accesso di Windows (ACL), noti anche come autorizzazioni NTFS, a livello di radice, directory o file. Mentre le autorizzazioni a livello di condivisione fungono da gatekeeper di alto livello che determina se un utente può accedere alla condivisione, gli ACL di Windows operano a un livello più granulare per controllare le operazioni che l'utente può eseguire a livello di directory o file.
Le autorizzazioni a livello di condivisione e file/a livello di directory vengono applicate quando un utente tenta di accedere a un file o a una directory. Se esiste una differenza tra di esse, verrà applicata solo quella più restrittiva. Ad esempio, se un utente ha accesso in lettura/scrittura a livello di file, ma legge solo a livello di condivisione, può leggere solo tale file. Lo stesso vale se fosse stato invertito: se un utente aveva accesso in lettura/scrittura a livello di condivisione, ma legge solo a livello di file, può comunque leggere solo il file.
Importante
Per configurare gli ACL di Windows, è necessario un computer client che esegue Windows con connettività di rete non implementata al controller di dominio. Se si esegue l'autenticazione con File di Azure usando Servizi di Dominio di Active Directory (AD DS) o Microsoft Entra Kerberos per le identità ibride, sarà necessaria la connettività di rete non implementata ad AD locale. Se si usa Microsoft Entra Domain Services, il computer client deve avere connettività di rete non implementata ai controller di dominio per il dominio gestito da Microsoft Entra Domain Services, che si trovano in Azure.
Si applica a
| Tipo di condivisione file | SMB | NFS |
|---|---|---|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |  |
 |
| Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | |
|
| Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | |
|
Autorizzazioni di Controllo degli accessi in base al ruolo di Azure
La tabella seguente contiene le autorizzazioni di Controllo degli accessi in base al ruolo di Azure correlate a questa configurazione. Se si usa Archiviazione di Azure Explorer, è necessario anche il ruolo Lettore e Accesso ai dati per leggere/accedere alla condivisione file.
| Autorizzazione a livello di condivisione (ruolo predefinito) | Autorizzazione NTFS | Accesso risultante |
|---|---|---|
| Ruolo con autorizzazioni di lettura per la condivisione SMB di dati per file di archiviazione | Controllo completo, Modify, Read, Write, Execute | Lettura e esecuzione |
| Lettura | Lettura | |
| Collaboratore per la condivisione SMB di dati per file di archiviazione | Controllo completo | Modify, Read, Write, Execute |
| Modifica | Modifica | |
| Lettura e esecuzione | Lettura e esecuzione | |
| Lettura | Lettura | |
| Scrittura | Scrittura | |
| Collaboratore con privilegi elevati per la condivisione SMB di dati per file di archiviazione | Controllo completo | Modify, Read, Write, Edit (Change permissions), Execute |
| Modifica | Modifica | |
| Lettura e esecuzione | Lettura e esecuzione | |
| Lettura | Lettura | |
| Scrittura | Scrittura |
ACL di Windows supportati
File di Azure supporta il set completo di ACL di Windows di base e avanzati.
| Utenti | Definizione |
|---|---|
BUILTIN\Administrators |
Gruppo di sicurezza predefinito che rappresenta gli amministratori del file server. Questo gruppo è vuoto e non è possibile aggiungerlo. |
BUILTIN\Users |
Gruppo di sicurezza predefinito che rappresenta gli utenti del file server. NT AUTHORITY\Authenticated Users Include per impostazione predefinita. Per un file server tradizionale, è possibile configurare la definizione di appartenenza per server. Per File di Azure, non esiste un server di hosting, quindi BUILTIN\Users include lo stesso set di utenti NT AUTHORITY\Authenticated Usersdi . |
NT AUTHORITY\SYSTEM |
Account del servizio del sistema operativo del file server. Questo account di servizio non si applica nel contesto di File di Azure. È incluso nella directory radice per essere coerente con l'esperienza di Windows Files Server per gli scenari ibridi. |
NT AUTHORITY\Authenticated Users |
Tutti gli utenti di ACTIVE Directory che possono ottenere un token Kerberos valido. |
CREATOR OWNER |
Ogni oggetto o directory o file ha un proprietario per tale oggetto. Se sono presenti elenchi di controllo di accesso assegnati a CREATOR OWNER su tale oggetto, l'utente proprietario di questo oggetto dispone delle autorizzazioni per l'oggetto definito dall'ACL. |
Nella directory radice di una condivisione file sono incluse le autorizzazioni seguenti:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Per altre informazioni su queste autorizzazioni avanzate, vedere le informazioni di riferimento sulla riga di comando per icacls.
Funzionamento
Esistono due approcci che è possibile adottare per configurare e modificare gli ACL di Windows:
Accedere con nome utente e chiave dell'account di archiviazione ogni volta: ogni volta che si vuole configurare gli elenchi di controllo di accesso, montare la condivisione file usando la chiave dell'account di archiviazione in un computer con connettività di rete non implementata al controller di dominio.
Configurazione della chiave dell'account di archiviazione/nome utente monouso:
Nota
Questa configurazione funziona per le nuove condivisioni file create perché qualsiasi nuovo file/directory erediterà l'autorizzazione radice configurata. Per le condivisioni file migrate insieme agli ACL esistenti o se si esegue la migrazione di file/directory locali con autorizzazioni esistenti in una nuova condivisione file, questo approccio potrebbe non funzionare perché i file migrati non ereditano l'ACL radice configurato.
- Accedere con un nome utente e una chiave dell'account di archiviazione in un computer con connettività di rete non implementata al controller di dominio e concedere ad alcuni utenti (o gruppi) l'autorizzazione per modificare le autorizzazioni per la radice della condivisione file.
- Assegnare a tali utenti il ruolo Di controllo degli accessi in base al ruolo di Controllo degli accessi in base al ruolo di Azure Archiviazione Condivisione file SMB con privilegi elevati.
- In futuro, ogni volta che si desidera aggiornare gli elenchi di controllo di accesso, è possibile usare uno di questi utenti autorizzati per accedere da un computer con connettività di rete non implementata al controller di dominio e modificare gli elenchi di controllo di accesso.
Montare la condivisione file usando la chiave dell'account di archiviazione
Prima di configurare gli elenchi di controllo di accesso di Windows, è necessario montare la condivisione file usando la chiave dell'account di archiviazione. A tale scopo, accedere a un dispositivo aggiunto a un dominio, aprire un prompt dei comandi di Windows ed eseguire il comando seguente. Ricordarsi di sostituire <YourStorageAccountName>, <FileShareName>e <YourStorageAccountKey> con i propri valori. Se Z: è già in uso, sostituirlo con una lettera di unità disponibile. È possibile trovare la chiave dell'account di archiviazione nella portale di Azure passando all'account di archiviazione e selezionando Sicurezza e chiavi di accesso di rete>oppure è possibile usare il Get-AzStorageAccountKey cmdlet di PowerShell.
È importante usare il net use comando di Windows per montare la condivisione in questa fase e non PowerShell. Se si usa PowerShell per montare la condivisione, la condivisione non sarà visibile a Windows Esplora file o cmd.exe e si avrà difficoltà a configurare gli elenchi di controllo di accesso di Windows.
Nota
È possibile che venga visualizzato l'ACL controllo completo applicato a un ruolo già. Questo in genere offre già la possibilità di assegnare autorizzazioni. Tuttavia, poiché sono presenti controlli di accesso a due livelli (il livello di condivisione e il livello di file/directory), questa operazione è limitata. Solo gli utenti che dispongono del ruolo collaboratore con privilegi elevati di condivisione SMB di dati file di Archiviazione e creare un nuovo file o una nuova directory possono assegnare le autorizzazioni per tali nuovi file o directory senza usare la chiave dell'account di archiviazione. Per tutte le altre autorizzazioni di file/directory è necessario connettersi alla condivisione usando prima la chiave dell'account di archiviazione.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Configurare elenchi di controllo di accesso (ACL) Windows
È possibile configurare gli elenchi di controllo di accesso di Windows usando icacls o Windows Esplora file. È anche possibile usare il comando PowerShell Set-ACL .
Importante
Se nell'ambiente sono presenti più foreste di Active Directory Domain Services, non usare Esplora risorse per configurare gli elenchi di controllo di accesso. Usare invece icacls.
Se si dispone di directory o file in file server locali con ACL di Windows configurati in base alle identità di Active Directory Domain Services, è possibile copiarli in File di Azure rendere persistenti gli elenchi di controllo di accesso con strumenti di copia file tradizionali come Robocopy o Azure AzCopy v 10.4+. Se le directory e i file sono a livelli per File di Azure tramite Sincronizzazione file di Azure, gli elenchi di controllo di accesso vengono eseguiti e salvati in modo permanente nel formato nativo.
Ricordarsi di sincronizzare le identità per rendere effettive le autorizzazioni impostate. È possibile impostare gli elenchi di controllo di accesso per le identità non sincronizzate, ma questi elenchi di controllo di accesso non verranno applicati perché le identità non sincronizzate non saranno presenti nel ticket Kerberos usato per l'autenticazione/autorizzazione.
Configurare elenchi di controllo di accesso di Windows con icacl
Per concedere autorizzazioni complete a tutte le directory e a tutti i file nella condivisione file, inclusa la directory radice, eseguire il comando Windows seguente da un computer con funzionalità line-of-sight per il controller di dominio di AD. Ricordarsi di sostituire i valori segnaposto nell'esempio con i valori personalizzati.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Per altre informazioni su come usare icacls per impostare ACL di Windows e sui diversi tipi di autorizzazioni supportate, vedere le informazioni di riferimento della riga di comando per icacls.
Configurare elenchi di controllo di accesso di Windows con Windows Esplora file
Se si è connessi a un client Windows aggiunto a un dominio, è possibile usare Windows Esplora file per concedere l'autorizzazione completa a tutte le directory e i file nella condivisione file, inclusa la directory radice. Se il client non è aggiunto a un dominio, usare icacls per configurare gli elenchi di controllo di accesso di Windows.
- Aprire Windows Esplora file e fare clic con il pulsante destro del mouse sul file/directory e scegliere Proprietà.
- Seleziona la scheda Sicurezza.
- Selezionare Modifica.. per modificare le autorizzazioni.
- È possibile modificare le autorizzazioni degli utenti esistenti o selezionare Aggiungi... per concedere le autorizzazioni ai nuovi utenti.
- Nella finestra di richiesta di aggiunta di nuovi utenti immettere il nome utente di destinazione a cui si desidera concedere le autorizzazioni nella casella Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi per trovare il nome UPN completo dell'utente di destinazione.
- Seleziona OK.
- Nella scheda Sicurezza selezionare tutte le autorizzazioni da concedere al nuovo utente.
- Selezionare Applica.
Passaggio successivo
Ora che è stata abilitata e configurata l'autenticazione basata su identità con Active Directory Domain Services, è possibile montare una condivisione file.