SMB 스토리지 권한 구성
FSLogix는 SMB 스토리지 시스템과 함께 작동하여 프로필 또는 ODFC 컨테이너를 저장합니다. SMB 스토리지는 VHDLocations가 스토리지 위치에 대한 UNC 경로를 보유하는 표준 구성에서 사용됩니다. SMB 스토리지 공급자는 VHDLocations 대신 CCDLocations가 사용되는 클라우드 캐시 구성에서도 사용할 수 있습니다.
SMB 스토리지 권한은 파일 또는 폴더 수준에서 적용된 기존 NTFS ACL(액세스 제어 목록)을 사용하여 저장된 데이터의 적절한 보안을 보장합니다. Azure Files와 함께 사용하는 경우 AD(Active Directory) 원본을 사용하도록 설정한 다음 리소스에 공유 수준 권한을 할당해야 합니다. 공유 수준 권한을 할당하는 방법에는 두 가지가 있습니다. 특정 엔트라 ID 사용자/그룹에 할당할 수 있으며, 모든 인증된 ID에 기본 공유 수준 권한으로 할당할 수 있습니다.
시작하기 전에
SMB 스토리지 권한을 구성하기 전에 먼저 SMB 스토리지 공급자를 만들고 조직 및 스토리지 공급자 유형에 대한 올바른 ID 기관과 올바르게 연결해야 합니다.
Important
사용자 환경에서 SMB 스토리지에 Azure Files 또는 Azure NetApp Files를 사용하는 데 필요한 프로세스를 이해해야 합니다.
Azure 파일
개요는 Azure Files를 SMB Storage 공급자로 사용할 때 필요한 초기 개념을 제공합니다. 선택한 Active Directory 구성에 관계없이 모든 인증된 ID에 할당된 스토리지 파일 데이터 SMB 공유 기여자를 사용하여 기본 공유 수준 권한을 구성하는 것이 좋습니다. Windows ACL을 설정할 수 있도록 스토리지 파일 데이터 SMB 공유 관리자 권한자 역할을 사용하여 특정 Entra ID 사용자 또는 그룹에대한 공유 수준 권한을 할당하고 SMB를 통해 디렉터리 및 파일 수준 권한 구성을 검토했는지 확인합니다.
Azure NetApp Files
Azure NetApp Files는 Windows ACL에만 의존합니다.
- NetApp 계정을 만듭니다.
- Azure NetApp Files에 대한 Active Directory 도메인 Services 사이트 디자인 및 계획에 대한 지침을 이해합니다.
- Azure NetApp Files에 대한 용량 풀을 만듭니다.
- Azure NetApp Files에 대한 SMB 볼륨을 만듭니다.
Windows ACL 구성
Windows ACL은 사용자(CREATOR OWNER)만 프로필 디렉터리 또는 VHD(x) 파일에 액세스할 수 있도록 올바르게 구성하는 것이 중요합니다. 또한 다른 관리 그룹이 운영 관점에서 '모든 권한'을 갖도록 해야 합니다. 이 개념을 사용자 기반 액세스라고 하며 권장되는 구성입니다.
모든 SMB 파일 공유에는 기본 ACL 집합이 있습니다. 이러한 예제는 가장 일반적인 세 가지 유형의 SMB 파일 공유 및 기본 ACL입니다.
|
|
|
|---|---|---|
| 파일 서버 ACL | Azure Files 공유 ACL | Azure NetApp Files ACL |
Important
Azure 파일 공유에 ACL을 적용하려면 다음 두 가지 방법 중 하나(1)가 필요할 수 있습니다.
- 스토리지 계정 또는 IAM(파일 공유 액세스 제어)에서 스토리지 파일 데이터 SMB 공유 관리자 권한 기여자 역할을 사용자 또는 그룹에 제공합니다.
- 스토리지 계정 키를 사용하여 파일 공유를 탑재합니다.
두 수준(공유 수준 및 파일/디렉터리 수준)에 액세스 검사 있으므로 ACL 적용이 제한됩니다. 스토리지 파일 데이터 SMB 공유 관리자 권한 기여자 역할이 있는 사용자만 스토리지 계정 키를 사용하지 않고도 파일 공유 루트 또는 다른 파일 또는 디렉터리에 대한 권한을 할당할 수 있습니다. 다른 모든 파일/디렉터리 권한 할당을 위해서는 먼저 스토리지 계정 키를 사용하여 공유를 탑재해야 합니다.
권장되는 ACL
이 표에서는 구성할 권장 ACL을 간략하게 설명합니다.
| 주 서버 | Access | 적용 대상 | 설명 |
|---|---|---|---|
| CREATOR OWNER | 수정(읽기/쓰기) | 하위 폴더 및 파일만 | 사용자가 만든 프로필 디렉터리에 해당 사용자에 대해서만 올바른 권한이 있는지 확인합니다. |
| CONTOSO\Domain Admins | 모든 권한 | 이 폴더, 하위 폴더 및 파일 | 관리 목적으로 사용되는 조직 그룹으로 대체합니다. |
| CONTOSO\Do기본 사용자 | 수정(읽기/쓰기) | 이 폴더만 | 권한 있는 사용자가 프로필 디렉터리를 만들 수 있도록 합니다. 프로필을 만들기 위해 액세스 권한이 필요한 조직 사용자로 대체합니다. |
icacls를 사용하여 Windows ACL 적용
다음 Windows 명령을 사용하여 루트 디렉터리를 포함하여 파일 공유의 모든 디렉터리 및 파일에 대한 권장 권한을 설정합니다.
참고 항목
예제의 자리 표시자 값은 실제 값으로 바꾸세요.
icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)
icacls를 사용하여 Windows ACL을 설정하는 방법과 지원되는 다양한 사용 권한 유형에 대한 자세한 내용은 icacls에 대한 명령줄 참조를 참조하세요.
Windows 탐색기를 사용하여 Windows ACL 적용
Windows 파일 탐색기 사용하여 루트 디렉터리를 포함하여 파일 공유의 모든 디렉터리 및 파일에 권장 권한을 적용합니다.
파일 공유의 루트에 대한 Windows 파일 탐색기 엽니다.
오른쪽 창의 열린 영역을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
보안 탭을 선택합니다.
고급을 선택합니다.
상속 사용 안 함을 선택합니다.
참고 항목
메시지가 표시되면 복사하는 대신 상속된 사용 권한을 제거합니다.
추가를 선택합니다.
'보안 주체 선택'을 선택합니다.
"CREATOR OWNER"를 입력하고 확인 이름을 선택한 다음 확인을 선택합니다.
'적용 대상:'에 대해 '하위 폴더 및 파일만'을 선택합니다.
'기본 사용 권한:'에 대해 '수정'을 선택합니다.
확인을 선택합니다.
권장되는 ACL에 따라 6-11단계를 반복합니다.
[확인]과 [확인]을 다시 선택하여 사용 권한 적용을 완료합니다.
SIDDirSDDL 구성을 사용하여 Windows ACL 적용
또는 FSLogix는 생성 프로세스 중에 디렉터리에서 Windows ACL을 설정하는 구성 설정을 제공합니다. SIDDirSDDL 구성 설정은 생성 시 디렉터리에 적용할 ACL을 정의하는 SDDL 문자열을 허용합니다.
SDDL 문자열 만들기
SMB 파일 공유에 'Test' 폴더를 만듭니다.
조직과 일치하도록 권한을 수정합니다.
PowerShell 터미널을 엽니다.
Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.
출력을 메모장 복사합니다.
(
O:%sid%사용자의 SID를 폴더 소유자로 설정)로 바꿉니다O:BAG.모든
(A;OICIIO;0x1301bf;;;%sid%)항목에 대한 사용자의 SID 수정 권한 부여)로 바꿉니다(A;OICIIO;0x1301bf;;;CO).FSLogix 구성에서 SIDDirSDDL 설정을 적용합니다.
- 값 이름: SIDDirSDDL
- 값 형식: REG_SZ
- 값:
O:%sid%G:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)
사용자가 처음으로 로그인하면 해당 디렉터리가 이러한 사용 권한으로 만들어집니다.