Konfigurera katalog- och filnivåbehörigheter via SMB
Innan du börjar den här artikeln måste du läsa Tilldela behörigheter på resursnivå till en identitet för att säkerställa att dina behörigheter på resursnivå finns på plats med rollbaserad åtkomstkontroll i Azure (RBAC).
När du har tilldelat behörigheter på resursnivå kan du konfigurera Windows åtkomstkontrollistor (ACL: er), även kallade NTFS-behörigheter, på rot-, katalog- eller filnivå. Även om behörigheter på resursnivå fungerar som en gatekeeper på hög nivå som avgör om en användare kan komma åt resursen, fungerar Windows-ACL:er på en mer detaljerad nivå för att styra vilka åtgärder användaren kan göra på katalog- eller filnivå.
Behörigheter på både resursnivå och fil-/katalognivå tillämpas när en användare försöker komma åt en fil/katalog. Om det finns en skillnad mellan någon av dem tillämpas endast den mest restriktiva. Om en användare till exempel har läs- och skrivåtkomst på filnivå, men bara läser på resursnivå, kan de bara läsa filen. Detsamma skulle vara sant om det var omvänd: om en användare hade läs-/skrivåtkomst på resursnivå, men bara läste på filnivå, kan de fortfarande bara läsa filen.
Viktigt!
För att konfigurera Windows-ACL:er behöver du en klientdator som kör Windows som har obehindrat nätverksanslutning till domänkontrollanten. Om du autentiserar med Azure Files med hjälp av Active Directory-domän Services (AD DS) eller Microsoft Entra Kerberos för hybrididentiteter innebär det att du behöver en obehindrad nätverksanslutning till den lokala AD:n. Om du använder Microsoft Entra Domain Services måste klientdatorn ha obehindrat nätverksanslutning till domänkontrollanterna för domänen som hanteras av Microsoft Entra Domain Services, som finns i Azure.
Gäller för
| Typ av filresurs | SMB | NFS |
|---|---|---|
| Standardfilresurser (GPv2), LRS/ZRS |  |
 |
| Standardfilresurser (GPv2), GRS/GZRS | |
|
| Premiumfilresurser (FileStorage), LRS/ZRS | |
|
Azure RBAC-behörigheter
Följande tabell innehåller De Azure RBAC-behörigheter som är relaterade till den här konfigurationen. Om du använder Azure Storage Explorer behöver du även rollen Läsare och dataåtkomst för att kunna läsa/komma åt filresursen.
| Behörighet på resursnivå (inbyggd roll) | NTFS-behörighet | Resulterande åtkomst |
|---|---|---|
| Storage-fildata för SMB-resursläsare | Fullständig kontroll, ändra, läsa, skriva, köra | Läs och kör |
| Lästa | Läsa | |
| Storage-fildata för SMB-resursdeltagare | Fullständig kontroll | Ändra, läsa, skriva, köra |
| Ändra | Ändra | |
| Läs och kör | Läs och kör | |
| Lästa | Lästa | |
| Skriv | Skriva | |
| Storage-fildata för upphöjd SMB-resursdeltagare | Fullständig kontroll | Ändra, läsa, skriva, redigera (ändra behörigheter), Kör |
| Ändra | Ändra | |
| Läs och kör | Läs och kör | |
| Lästa | Lästa | |
| Skriv | Skriva |
Windows-ACL:er som stöds
Azure Files stöder den fullständiga uppsättningen grundläggande och avancerade Windows-ACL:er.
| Användare | Definition |
|---|---|
BUILTIN\Administrators |
Inbyggd säkerhetsgrupp som representerar administratörer för filservern. Den här gruppen är tom och ingen kan läggas till i den. |
BUILTIN\Users |
Inbyggd säkerhetsgrupp som representerar användare av filservern. Den innehåller NT AUTHORITY\Authenticated Users som standard. För en traditionell filserver kan du konfigurera medlemskapsdefinitionen per server. För Azure Files finns det ingen värdserver, och därför BUILTIN\Users innehåller samma uppsättning användare som NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Tjänstkontot för filserverns operativsystem. Ett sådant tjänstkonto gäller inte i Azure Files-kontexten. Den ingår i rotkatalogen för att vara konsekvent med Windows Files Server-upplevelsen för hybridscenarier. |
NT AUTHORITY\Authenticated Users |
Alla användare i AD som kan hämta en giltig Kerberos-token. |
CREATOR OWNER |
Varje objekt, antingen katalog eller fil, har en ägare för objektet. Om det finns ACL:er som tilldelats för CREATOR OWNER objektet har användaren som är ägare till det här objektet behörigheterna till det objekt som definierats av ACL:en. |
Följande behörigheter ingår i rotkatalogen för en filresurs:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Mer information om dessa avancerade behörigheter finns i kommandoradsreferensen för icacls.
Hur det fungerar
Det finns två sätt att konfigurera och redigera Windows-ACL:er:
Logga in med användarnamn och lagringskontonyckel varje gång: När du vill konfigurera ACL:er monterar du filresursen med hjälp av din lagringskontonyckel på en dator som har obehindrat nätverksanslutning till domänkontrollanten.
Konfiguration av engångsanvändar-/lagringskontonyckel:
Kommentar
Den här konfigurationen fungerar för nyligen skapade filresurser eftersom alla nya filer/kataloger ärver den konfigurerade rotbehörigheten. För filresurser som migrerats tillsammans med befintliga ACL:er, eller om du migrerar en lokal fil/katalog med befintliga behörigheter i en ny filresurs, kanske den här metoden inte fungerar eftersom de migrerade filerna inte ärver den konfigurerade rot-ACL:n.
- Logga in med ett användarnamn och en lagringskontonyckel på en dator som har obehindrat nätverksanslutning till domänkontrollanten och ge vissa användare (eller grupper) behörighet att redigera behörigheter i roten på filresursen.
- Tilldela dessa användare azure RBAC-rollen Storage File Data SMB Share Elevated Contributor .
- När du vill uppdatera ACL:er i framtiden kan du använda en av de behöriga användarna för att logga in från en dator som har obehindrat nätverksanslutning till domänkontrollanten och redigera ACL:er.
Montera filresursen med hjälp av lagringskontonyckeln
Innan du konfigurerar Windows-ACL:er måste du först montera filresursen med hjälp av lagringskontonyckeln. Det gör du genom att logga in på en domänansluten enhet, öppna en Windows-kommandotolk och köra följande kommando. Kom ihåg att ersätta <YourStorageAccountName>, <FileShareName>och <YourStorageAccountKey> med dina egna värden. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Du hittar din lagringskontonyckel i Azure-portalen genom att gå till lagringskontot och välja Åtkomstnycklar för säkerhet och nätverk>, eller så kan du använda PowerShell-cmdletenGet-AzStorageAccountKey.
Det är viktigt att du använder net use Windows-kommandot för att montera resursen i det här skedet och inte PowerShell. Om du använder PowerShell för att montera resursen visas inte resursen för Windows Utforskaren eller cmd.exe, och du har svårt att konfigurera Windows-ACL:er.
Kommentar
Du kan se att ACL: en för fullständig kontroll redan har tillämpats på en roll. Detta ger vanligtvis redan möjlighet att tilldela behörigheter. Men eftersom det finns åtkomstkontroller på två nivåer (resursnivån och fil-/katalognivån) är detta begränsat. Endast användare som har rollen Storage File Data SMB Share Elevated Contributor och skapar en ny fil eller katalog kan tilldela behörigheter för dessa nya filer eller kataloger utan att använda lagringskontonyckeln. Alla andra fil-/katalogbehörighetstilldelningar kräver att du ansluter till resursen med hjälp av lagringskontonyckeln först.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Konfigurera Windows-ACL:er
Du kan konfigurera Windows-ACL:er med icacls eller Windows Utforskaren. Du kan också använda PowerShell-kommandot Set-ACL .
Viktigt!
Om din miljö har flera AD DS-skogar ska du inte använda Utforskaren för att konfigurera ACL:er. Använd icacls i stället.
Om du har kataloger eller filer på lokala filservrar med Windows-ACL:er konfigurerade mot AD DS-identiteterna kan du kopiera dem till Azure Files och spara ACL:er med traditionella filkopieringsverktyg som Robocopy eller Azure AzCopy v 10.4+. Om dina kataloger och filer är nivåindelade i Azure Files via Azure File Sync överförs dina ACL:er och sparas i sitt interna format.
Kom ihåg att synkronisera dina identiteter för att de angivna behörigheterna ska börja gälla. Du kan ange ACL:er för icke-synkroniserade identiteter, men dessa ACL:er tillämpas inte eftersom de inte synkroniserade identiteterna inte finns i Kerberos-biljetten som används för autentisering/auktorisering.
Konfigurera Windows-ACL:er med icacls
Om du vill bevilja fullständig behörighet till alla kataloger och filer under filresursen, inklusive rotkatalogen, kör du följande Windows-kommando från en dator som har åtkomst till AD-domänkontrollanten. Kom ihåg att ersätta platshållarvärdena i exemplet med dina egna värden.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
I kommandoradsreferensen för icacls hittar du mer information om hur du använder icacls för att ange Windows-åtkomstkontrollistor och om de olika typerna av behörigheter som stöds.
Konfigurera Windows-ACL:er med Windows Utforskaren
Om du är inloggad på en domänansluten Windows-klient kan du använda Windows Utforskaren för att ge fullständig behörighet till alla kataloger och filer under filresursen, inklusive rotkatalogen. Om klienten inte är domänansluten använder du icacls för att konfigurera Windows-ACL:er.
- Öppna Windows Utforskaren och högerklicka på filen/katalogen och välj Egenskaper.
- Välj fliken Säkerhet.
- Välj Redigera.. om du vill ändra behörigheter.
- Du kan ändra behörigheter för befintliga användare eller välja Lägg till... för att bevilja behörigheter till nya användare.
- I promptfönstret för att lägga till nya användare anger du det målanvändarnamn som du vill bevilja behörigheter till i rutan Ange objektnamn som ska markeras och väljer Kontrollera namn för att hitta målanvändarens fullständiga UPN-namn.
- Välj OK.
- På fliken Säkerhet väljer du alla behörigheter som du vill bevilja den nya användaren.
- Välj Använd.
Gå vidare
Nu när du har aktiverat och konfigurerat identitetsbaserad autentisering med AD DS kan du montera en filresurs.