Configurare le autorizzazioni di Archiviazione SMB

FSLogix funziona con i sistemi di archiviazione SMB per archiviare i contenitori Profile o ODFC. L'archiviazione SMB viene usata nelle configurazioni standard in cui VHDLocations contiene il percorso UNC per i percorsi di archiviazione. I provider di archiviazione SMB possono essere usati anche nelle configurazioni di Cache cloud in cui viene usato CCDLocations anziché VHDLocations.

Le autorizzazioni di archiviazione SMB si basano sui tradizionali elenchi di Controllo di accesso NTFS (ACL) applicati a livello di file o cartelle per garantire la corretta sicurezza dei dati archiviati. Se usato con File di Azure, è necessario abilitare un'origine Active Directory (AD), quindi assegnare autorizzazioni a livello di condivisione alla risorsa. Esistono due modi per assegnare autorizzazioni a livello di condivisione. È possibile assegnarli a utenti/gruppi di Entra ID specifici ed è possibile assegnarli a tutte le identità autenticate come autorizzazione predefinita a livello di condivisione.

Operazioni preliminari

Prima di configurare le autorizzazioni di archiviazione SMB, è necessario creare e associare correttamente il provider di archiviazione SMB all'autorità di identità corretta per l'organizzazione e il tipo di provider di archiviazione.

Importante

È necessario comprendere i processi necessari per usare File di Azure o Azure NetApp Files per l'archiviazione SMB nell'ambiente.

File di Azure

La struttura fornisce i concetti iniziali necessari quando si usa File di Azure come provider di Archiviazione SMB. Indipendentemente dalla configurazione di Active Directory selezionata, è consigliabile configurare l'autorizzazionepredefinita a livello di condivisione usando Archiviazione Collaboratore condivisione SMB dati file, assegnato a tutte le identità autenticate. Per poter impostare gli elenchi di controllo di accesso di Windows, assicurarsi di assegnare autorizzazioni a livello di condivisione per utenti o gruppi di Entra ID specifici con il ruolo di collaboratore con privilegi elevati di condivisione SMB di dati file Archiviazione ed è stato esaminato Configurare le autorizzazioni a livello di directory e file su SMB.

1. Creare una condivisione file di Azure SMB.
   • Abilitare l'autenticazione di Active Directory Domain Services per le condivisioni file di Azure
   • Abilitare l'autenticazione di Azure Active Directory Domain Services in File di Azure
   • Abilitare l'autenticazione Kerberos di Azure Active Directory per le identità ibride in File di Azure

Azure NetApp Files

Azure NetApp Files si basa esclusivamente su ACL di Windows.

1. Creare un account NetApp.
2. Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files.
3. Creare un pool di capacità per Azure NetApp Files.
4. Creare un volume SMB per Azure NetApp Files.

Configurare gli ACL di Windows

Gli elenchi di controllo di accesso di Windows sono importanti per configurare correttamente in modo che solo l'utente (CREATOR OWNER) abbia accesso alla directory del profilo o al file VHD(x). Inoltre, è necessario assicurarsi che tutti gli altri gruppi amministrativi abbiano "Controllo completo" dal punto di vista operativo. Questo concetto è noto come accesso basato sull'utente ed è la configurazione consigliata.

Qualsiasi condivisione file SMB ha un set predefinito di ACL.Any SMB file share has a default set of ACL(s). Questi esempi sono i tre (3) tipi più comuni di condivisioni file SMB e i relativi ACL predefiniti.

ACL di file server	File di Azure Condividere ACL	ACL di Azure NetApp Files

Importante

L'applicazione di ACL alle condivisioni file di Azure può richiedere uno (1) di due metodi (2):

1. Specificare un utente o un gruppo con Archiviazione ruolo collaboratore con privilegi elevati di condivisione file SMB nell'Archiviazione Account o condivisione file Controllo di accesso (IAM).
2. Montare la condivisione file usando la chiave dell'account Archiviazione.

Poiché sono presenti controlli di accesso a due livelli (il livello di condivisione e il livello di file/directory), l'applicazione degli elenchi di controllo di accesso è limitata. Solo gli utenti che dispongono del ruolo collaboratore con privilegi elevati di condivisione SMB di dati file Archiviazione possono assegnare le autorizzazioni per la radice della condivisione file o altri file o directory senza usare la chiave dell'account di archiviazione. Per tutte le altre autorizzazioni di file/directory è necessario connettersi alla condivisione usando prima la chiave dell'account di archiviazione.

ACL consigliati

La tabella descrive gli ACL consigliati da configurare.

Entità di sicurezza	Accesso	Si applica a	Descrizione
CREATOR OWNER	Modifica (lettura/scrittura)	Solo sottocartelle e file	Assicura che la directory del profilo creata dall'utente disponga delle autorizzazioni corrette solo per tale utente.
CONTOSO\Amministratori dominio	Controllo completo	Questa cartella, le sottocartelle e i file	Sostituire con il gruppo di organizzazioni usato per scopi amministrativi.
CONTOSO\Domain Users	Modifica (lettura/scrittura)	Solo questa cartella	Consente agli utenti autorizzati di creare la directory del profilo. Sostituire con gli utenti dell'organizzazione che devono accedere per creare profili.

Applicare gli ACL di Windows usando icacls

Usare il comando di Windows seguente per configurare le autorizzazioni consigliate per tutte le directory e i file nella condivisione file, inclusa la directory radice.

Nota

Ricordarsi di sostituire i valori segnaposto nell'esempio con i valori personalizzati.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Per altre informazioni su come usare icacls per impostare gli ACL di Windows e sui diversi tipi di autorizzazioni supportate, vedere le informazioni di riferimento sulla riga di comando per icacl.

Applicare gli ACL di Windows con Esplora risorse

Usare Windows Esplora file per applicare le autorizzazioni consigliate a tutte le directory e i file nella condivisione file, inclusa la directory radice.

1. Aprire Windows Esplora file alla radice della condivisione file.

2. Fare clic con il pulsante destro del mouse nell'area aperta nel riquadro destro e scegliere Proprietà.

3. Seleziona la scheda Sicurezza.

4. Seleziona Avanzate.

5. Selezionare Disabilita ereditarietà.

   Nota

   Se richiesto, le autorizzazioni ereditate sono state rimosse invece di copiare

6. Selezionare Aggiungi.

7. Selezionare "Seleziona un'entità".

8. Digitare "CREATOR OWNER" e selezionare Controlla nome, quindi OK.

9. Per "Si applica a:", selezionare "Solo sottocartelle e file".

10. Per 'Autorizzazioni di base:', selezionare 'Modifica'.

11. Seleziona OK.

12. Ripetere i passaggi da 6 a 11 in base agli ACL consigliati.

13. Selezionare di nuovo OK e OK per completare l'applicazione delle autorizzazioni.

    

Applicare gli ACL di Windows usando la configurazione SIDDirSDDL

In alternativa, FSLogix fornisce un'impostazione di configurazione che imposta gli elenchi di controllo di accesso di Windows nella directory durante il processo di creazione. L'impostazione di configurazione SIDDirSDDL accetta una stringa SDDL che definisce gli elenchi di controllo di accesso da applicare alla directory al momento della creazione.

Creare la stringa SDDL

1. Creare una cartella "Test" nella condivisione file SMB.

   

2. Modificare le autorizzazioni in modo che corrispondano all'organizzazione.

   

3. Aprire un terminale di PowerShell.

4. Digitare Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

   

5. Copiare l'output in Blocco note.

6. Sostituire O:BAG con O:%sid% (imposta il SID dell'utente come proprietario della cartella).

7. Sostituire (A;OICIIO;0x1301bf;;;CO) con (A;OICIIO;0x1301bf;;;%sid%) (assegna i diritti di modifica DEL SID dell'utente a tutti gli elementi).

8. Nella configurazione di FSLogix applicare l'impostazione SIDDirSDDL.

   • Nome valore: SIDDirSDDL
   • Tipo valore: REG_SZ
   • ValoreO:%sid%:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602):

9. Quando l'accesso dell'utente viene creato per la prima volta, la directory viene creata con queste autorizzazioni.