Machtigingen op map- en bestandsniveau configureren via SMB
Voordat u aan dit artikel begint, moet u machtigingen op shareniveau toewijzen aan een identiteit lezen om ervoor te zorgen dat uw machtigingen op shareniveau zijn ingesteld met op rollen gebaseerd toegangsbeheer (RBAC) van Azure.
Nadat u machtigingen op shareniveau hebt toegewezen, kunt u Toegangsbeheerlijsten (ACL's) van Windows configureren, ook wel NTFS-machtigingen genoemd, op het niveau van de hoofdmap, map of bestand. Hoewel machtigingen op shareniveau fungeren als een gatekeeper op hoog niveau die bepaalt of een gebruiker toegang heeft tot de share, werken Windows ACL's op een gedetailleerder niveau om te bepalen welke bewerkingen de gebruiker op map- of bestandsniveau kan uitvoeren.
Machtigingen op shareniveau en bestand/mapniveau worden afgedwongen wanneer een gebruiker probeert toegang te krijgen tot een bestand/map. Als er een verschil is tussen beide, wordt alleen het meest beperkende toegepast. Als een gebruiker bijvoorbeeld lees-/schrijftoegang heeft op bestandsniveau, maar alleen kan lezen op shareniveau, dan kunnen ze dat bestand alleen lezen. Hetzelfde geldt als het omgekeerd is: als een gebruiker lees-/schrijftoegang had op shareniveau, maar alleen op bestandsniveau kan lezen, kunnen ze het bestand nog steeds alleen lezen.
Belangrijk
Als u Windows ACL's wilt configureren, hebt u een clientcomputer met Windows nodig met een niet-gempte netwerkverbinding met de domeincontroller. Als u verificatie uitvoert met Azure Files met behulp van Active Directory-domein Services (AD DS) of Microsoft Entra Kerberos voor hybride identiteiten, betekent dit dat u geen beperkte netwerkconnectiviteit met de on-premises AD nodig hebt. Als u Microsoft Entra Domain Services gebruikt, moet de clientcomputer een niet-gempte netwerkverbinding hebben met de domeincontrollers voor het domein dat wordt beheerd door Microsoft Entra Domain Services, die zich in Azure bevinden.
Van toepassing op
| Bestands sharetype | SMB | NFS |
|---|---|---|
| Standaardbestandsshares (GPv2), LRS/ZRS |  |
 |
| Standaardbestandsshares (GPv2), GRS/GZRS | |
|
| Premium bestandsshares (FileStorage), LRS/ZRS | |
|
Azure RBAC-machtigingen
De volgende tabel bevat de Azure RBAC-machtigingen die betrekking hebben op deze configuratie. Als u Azure Storage Explorer gebruikt, hebt u ook de rol Lezer en Gegevenstoegang nodig om de bestandsshare te kunnen lezen/openen.
| Machtiging op shareniveau (ingebouwde rol) | NTFS-machtiging | Resulterende toegang |
|---|---|---|
| Lezer voor opslagbestandgegevens via SMB-share | Volledig beheer, Wijzigen, Lezen, Schrijven, Uitvoeren | Lezen en uitvoeren |
| Lezen | Lezen | |
| Inzender voor opslagbestandsgegevens via SMB-share | Volledige controle | Wijzigen, lezen, schrijven, uitvoeren |
| Wijzigen | Wijzigen | |
| Lezen en uitvoeren | Lezen en uitvoeren | |
| Lezen | Read | |
| Write | Schrijven | |
| Inzender met verhoogde bevoegdheden voor opslagbestandsgegevens via SMB-share | Volledige controle | Wijzigen, lezen, schrijven, bewerken (machtigingen wijzigen), uitvoeren |
| Wijzigen | Wijzigen | |
| Lezen en uitvoeren | Lezen en uitvoeren | |
| Lezen | Read | |
| Write | Schrijven |
Ondersteunde Windows ACL's
Azure Files ondersteunt de volledige set basis- en geavanceerde Windows-ACL's.
| Gebruikers | Definitie |
|---|---|
BUILTIN\Administrators |
Ingebouwde beveiligingsgroep die beheerders van de bestandsserver vertegenwoordigt. Deze groep is leeg en niemand kan eraan worden toegevoegd. |
BUILTIN\Users |
Ingebouwde beveiligingsgroep die gebruikers van de bestandsserver vertegenwoordigt. Deze bevat NT AUTHORITY\Authenticated Users standaard. Voor een traditionele bestandsserver kunt u de lidmaatschapsdefinitie per server configureren. Voor Azure Files is er geen hostingserver, dus BUILTIN\Users bevat dezelfde set gebruikers als NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Het serviceaccount van het besturingssysteem van de bestandsserver. Dit serviceaccount is niet van toepassing in de Context van Azure Files. Het is opgenomen in de hoofdmap om consistent te zijn met windows Files Server-ervaring voor hybride scenario's. |
NT AUTHORITY\Authenticated Users |
Alle gebruikers in AD die een geldig Kerberos-token kunnen krijgen. |
CREATOR OWNER |
Elk object, map of bestand, heeft een eigenaar voor dat object. Als er ACL's zijn toegewezen aan CREATOR OWNER dat object, heeft de gebruiker die de eigenaar van dit object is de machtigingen voor het object dat is gedefinieerd door de ACL. |
De volgende machtigingen zijn opgenomen in de hoofdmap van een bestandsshare:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Zie de opdrachtregelverwijzing voor icacls voor meer informatie over deze geavanceerde machtigingen.
Hoe het werkt
U kunt op twee manieren Windows ACL's configureren en bewerken:
Meld u elke keer aan met de sleutel van de gebruikersnaam en het opslagaccount: Wanneer u ACL's wilt configureren, koppelt u de bestandsshare met behulp van uw opslagaccountsleutel op een computer met een niet-gempte netwerkverbinding met de domeincontroller.
Eenmalige installatie van gebruikersnaam/opslagaccountsleutel:
Notitie
Deze installatie werkt voor zojuist gemaakte bestandsshares omdat een nieuw bestand/map de geconfigureerde hoofdmachtiging overneemt. Voor bestandsshares die samen met bestaande ACL's zijn gemigreerd of als u een on-premises bestand/map migreert met bestaande machtigingen in een nieuwe bestandsshare, werkt deze benadering mogelijk niet omdat de gemigreerde bestanden de geconfigureerde basis-ACL niet overnemen.
- Meld u aan met een gebruikersnaam en opslagaccountsleutel op een computer met niet-gempte netwerkconnectiviteit met de domeincontroller en geef sommige gebruikers (of groepen) toestemming om machtigingen voor bewerken in de hoofdmap van de bestandsshare te bewerken.
- Wijs deze gebruikers de azure RBAC-rol Met verhoogde inzender voor opslagbestandsgegevens voor SMB-share toe.
- In de toekomst kunt u, wanneer u ACL's wilt bijwerken, een van deze geautoriseerde gebruikers gebruiken om u aan te melden vanaf een computer met niet-gempte netwerkconnectiviteit met de domeincontroller en ACL's te bewerken.
De bestandsshare koppelen met behulp van uw opslagaccountsleutel
Voordat u Windows ACL's configureert, moet u eerst de bestandsshare koppelen met behulp van uw opslagaccountsleutel. Hiervoor meldt u zich aan bij een apparaat dat lid is van een domein, opent u een Windows-opdrachtprompt en voert u de volgende opdracht uit. Vergeet niet om uw eigen waarden te vervangen <YourStorageAccountName>, <FileShareName>en <YourStorageAccountKey> door uw eigen waarden. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. U vindt de sleutel van uw opslagaccount in Azure Portal door naar het opslagaccount te gaan en Beveiligings- en netwerktoegangssleutels> te selecteren, of u kunt de Get-AzStorageAccountKey PowerShell-cmdlet gebruiken.
Het is belangrijk dat u de net use Windows-opdracht gebruikt om de share in deze fase te koppelen en niet PowerShell. Als u PowerShell gebruikt om de share te koppelen, is de share niet zichtbaar voor Windows Bestandenverkenner of cmd.exe en hebt u problemen met het configureren van Windows ACL's.
Notitie
Mogelijk ziet u dat de ACL voor volledig beheer al is toegepast op een rol. Dit biedt doorgaans al de mogelijkheid om machtigingen toe te wijzen. Omdat er echter toegangscontroles zijn op twee niveaus (op shareniveau en op het niveau van het bestand/de map), is dit aan beperkingen onderhevig. Alleen gebruikers met de rol Inzender met verhoogde bevoegdheden voor opslagbestandsgegevens voor SMB-share en een nieuw bestand of een nieuwe map maken, kunnen machtigingen toewijzen voor deze nieuwe bestanden of mappen zonder de sleutel van het opslagaccount te gebruiken. Voor alle overige toewijzingen van bestands-/mapmachtigingen moet eerst verbinding worden gemaakt met de share met behulp van de opslagaccountsleutel.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Windows ACL's configureren
U kunt de Windows ACL's configureren met behulp van icacls of Windows Bestandenverkenner. U kunt ook de PowerShell-opdracht Set-ACL gebruiken.
Belangrijk
Als uw omgeving meerdere AD DS-forests heeft, gebruikt u Windows Verkenner niet om ACL's te configureren. Gebruik in plaats daarvan icacls.
Als u mappen of bestanden hebt op on-premises bestandsservers met Windows ACL's die zijn geconfigureerd voor de AD DS-identiteiten, kunt u deze kopiƫren naar Azure Files die de ACL's persistent maken met traditionele hulpprogramma's voor bestandskopieƫn, zoals Robocopy of Azure AzCopy v 10.4+. Als uw mappen en bestanden via Azure File Sync worden gelaagd naar Azure Files, worden uw ACL's overgedragen en bewaard in hun eigen indeling.
Vergeet niet om uw identiteiten te synchroniseren om de ingestelde machtigingen van kracht te laten worden. U kunt ACL's instellen voor niet-gesynchroniseerde identiteiten, maar deze ACL's worden niet afgedwongen omdat de niet-gesynchroniseerde identiteiten niet aanwezig zijn in het Kerberos-ticket dat wordt gebruikt voor verificatie/autorisatie.
Windows ACL's configureren met icacls
Als u volledige machtigingen wilt verlenen aan alle mappen en bestanden onder de bestandsshare, inclusief de hoofdmap, voert u de volgende Windows-opdracht uit vanaf een computer met directe communicatie met de AD-domeincontroller. Vergeet niet om de waarden van de tijdelijke aanduidingen in het voorbeeld te vervangen door uw eigen waarden.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Zie de opdrachtregelnaslaginformatie voor icacls voor meer informatie over het gebruik van icacls om Windows-ACL's in te stellen en over de verschillende typen ondersteunde machtigingen.
Windows ACL's configureren met Windows Bestandenverkenner
Als u bent aangemeld bij een Windows-client die lid is van een domein, kunt u Windows Bestandenverkenner gebruiken om volledige machtigingen te verlenen aan alle mappen en bestanden onder de bestandsshare, inclusief de hoofdmap. Als uw client geen lid is van een domein, gebruikt u icacls voor het configureren van Windows ACL's.
- Open Windows Bestandenverkenner en klik met de rechtermuisknop op het bestand/de map en selecteer Eigenschappen.
- Selecteer het tabblad Beveiliging.
- Selecteer Bewerken.. om machtigingen te wijzigen.
- U kunt de machtigingen van bestaande gebruikers wijzigen of Toevoegen selecteren om machtigingen te verlenen aan nieuwe gebruikers.
- Voer in het promptvenster voor het toevoegen van nieuwe gebruikers de doelgebruikersnaam in waarvoor u machtigingen wilt verlenen in het vak De objectnamen invoeren om het selectievakje in te schakelen en selecteer Namen controleren om de volledige UPN-naam van de doelgebruiker te vinden.
- Selecteer OK.
- Selecteer op het tabblad Beveiliging alle machtigingen die u aan uw nieuwe gebruiker wilt verlenen.
- Selecteer Toepassen.
Volgende stap
Nu u verificatie op basis van identiteiten hebt ingeschakeld en geconfigureerd met AD DS, kunt u een bestandsshare koppelen.