Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di iniziare questo articolo, assicurarsi di aver letto Assegnare autorizzazioni a livello di condivisione a un'identità per assicurarsi che le autorizzazioni a livello di condivisione siano applicate con il controllo degli accessi in base al ruolo di Azure.
Dopo aver assegnato le autorizzazioni a livello di condivisione, è possibile configurare elenchi di controllo di accesso di Windows (ACL), noti anche come autorizzazioni NTFS, a livello di radice, directory o file. Mentre le autorizzazioni a livello di condivisione fungono da gatekeeper di alto livello che determina se un utente può accedere alla condivisione, gli ACL di Windows operano a un livello più granulare per controllare le operazioni che l'utente può eseguire a livello di directory o file.
Le autorizzazioni a livello di condivisione e file/a livello di directory vengono applicate quando un utente tenta di accedere a un file o a una directory. Se esiste una differenza tra di esse, verrà applicata solo quella più restrittiva. Ad esempio, se un utente ha accesso in lettura/scrittura a livello di file, ma legge solo a livello di condivisione, può leggere solo tale file. Lo stesso vale se fosse stato invertito: se un utente aveva accesso in lettura/scrittura a livello di condivisione, ma legge solo a livello di file, può comunque leggere solo il file.
Importante
Per configurare gli ACL di Windows, è necessario un computer client che esegua Windows con connettività di rete senza impedimenti al controller di dominio. Se si esegue l'autenticazione con File di Azure usando Active Directory Domain Services (AD DS) o Microsoft Entra Kerberos per le identità ibride, sarà necessaria la connettività di rete senza restrizioni per Active Directory locale. Se si usa Microsoft Entra Domain Services, il computer client deve avere connettività di rete senza ostacoli ai controller di dominio del dominio gestito da Microsoft Entra Domain Services, che si trovano in Azure.
Si applica a
| Modello di gestione | Modello di fatturazione | Livello supporti | Ridondanza | SMB | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Locale |  |
 |
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Della zona | |
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Geografica | |
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | GeoZone (GZRS) | |
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Locale | |
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Della zona | |
|
| Microsoft.Storage | Con pagamento in base al consumo | HDD (standard) | Locale | |
|
| Microsoft.Storage | Con pagamento in base al consumo | HDD (standard) | Della zona | |
|
| Microsoft.Storage | Con pagamento in base al consumo | HDD (standard) | Geografica | |
|
| Microsoft.Storage | Con pagamento in base al consumo | HDD (standard) | GeoZone (GZRS) | |
|
ACL di Windows supportati
File di Azure supporta il set completo di ACL di Windows di base e avanzati.
| Utenti | Definizione |
|---|---|
BUILTIN\Administrators |
Gruppo di sicurezza predefinito che rappresenta gli amministratori del file server. Questo gruppo è vuoto e non è possibile aggiungerlo. |
BUILTIN\Users |
Gruppo di sicurezza predefinito che rappresenta gli utenti del file server. NT AUTHORITY\Authenticated Users è incluso per impostazione predefinita. Per un file server tradizionale, è possibile configurare la definizione di appartenenza per server. Per i File di Azure, non esiste un server di hosting, quindi BUILTIN\Users include lo stesso set di utenti di NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
L'account di servizio del sistema operativo del file server. Questo account di servizio non si applica nel contesto di File di Azure. È incluso nella directory radice per essere coerente con l'esperienza di Windows Files Server per gli scenari ibridi. |
NT AUTHORITY\Authenticated Users |
Tutti gli utenti di Active Directory che possono ottenere un ticket Kerberos valido. |
CREATOR OWNER |
Ogni oggetto o directory o file ha un proprietario per tale oggetto. Se sono presenti elenchi di controllo di accesso assegnati a CREATOR OWNER su tale oggetto, l'utente proprietario di questo oggetto dispone delle autorizzazioni per l'oggetto definito dall'ACL. |
Nella directory radice di una condivisione file sono incluse le autorizzazioni seguenti:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Per altre informazioni su queste autorizzazioni avanzate, vedere le informazioni di riferimento sulla riga di comando per icacls.
Funzionamento
Esistono due approcci che è possibile adottare per configurare e modificare gli ACL di Windows:
Accedere con nome utente e chiave dell'account di archiviazione ogni volta: ogni volta che si desidera configurare gli elenchi di controllo di accesso, montare la condivisione file usando la chiave dell'account di archiviazione in un computer con connettività di rete senza restrizioni al controller di dominio.
Configurazione monouso di nome utente/chiave account di archiviazione:
Nota
Questa configurazione funziona per le nuove condivisioni di file create, poiché qualsiasi nuovo file o directory erediterà i permessi della radice configurata. Per le condivisioni file migrate insieme agli ACL esistenti o se si esegue la migrazione di file/directory locali con autorizzazioni esistenti in una nuova condivisione file, questo approccio potrebbe non funzionare perché i file migrati non ereditano l'ACL radice configurato.
- Accedere con un nome utente e una chiave dell'account di archiviazione su un computer con connettività di rete senza restrizioni al controller di dominio e dare ad alcuni utenti (o gruppi) il permesso di modificare le autorizzazioni alla radice della condivisione file.
- Assegnare agli utenti il ruolo Controllo degli accessi in base al ruolo di Azure per il Collaboratore privilegiato per la condivisione file SMB dei dati del file di archiviazione.
- In futuro, ogni volta che si desidera aggiornare gli elenchi di controllo di accesso, è possibile usare uno di questi utenti autorizzati per accedere da un computer con connettività di rete non implementata al controller di dominio e modificare gli elenchi di controllo di accesso.
Montare la condivisione di file usando la chiave dell'account di archiviazione
Prima di configurare gli elenchi di controllo di accesso di Windows, è necessario montare la condivisione file usando la chiave dell'account di archiviazione. A tale scopo, accedere a un dispositivo aggiunto a un dominio (come utente di Microsoft Entra se l'origine AD è Microsoft Entra Domain Services), aprire un prompt dei comandi di Windows ed eseguire il comando seguente. Ricordarsi di sostituire <YourStorageAccountName>, <FileShareName> e <YourStorageAccountKey> con i propri valori. Se Z: è già in uso, sostituirlo con una lettera di unità disponibile. È possibile trovare la chiave dell'account di archiviazione nella portale di Azure passando all'account di archiviazione e selezionando >oppure è possibile usare il Get-AzStorageAccountKey cmdlet di PowerShell.
È importante usare il comando Windows net use per montare la condivisione in questa fase e non PowerShell. Se si usa PowerShell per montare la condivisione, la condivisione non sarà visibile a Windows Esplora file o cmd.exe e si avrà difficoltà a configurare gli elenchi di controllo di accesso di Windows.
Nota
È possibile che venga visualizzato l'elenco di controllo di accesso con controllo completo applicato già a un ruolo. Questo in genere offre già la possibilità di assegnare autorizzazioni. Tuttavia, poiché sono presenti controlli di accesso a due livelli (il livello di condivisione e il livello di file/directory), questa operazione è limitata. Solo gli utenti che hanno il ruolo Collaboratore elevato di condivisione file di archiviazione SMB e creano un nuovo file o una nuova directory possono assegnare autorizzazioni a tali nuovi file o directory senza usare la chiave dell'account di archiviazione. Per tutte le altre autorizzazioni di file/directory è necessario connettersi alla condivisione usando prima la chiave dell'account di archiviazione.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Configurare elenchi di controllo di accesso (ACL) Windows
È possibile configurare gli elenchi di controllo di accesso di Windows usando icacls o Windows Esplora file. È anche possibile usare il comando PowerShell Set-ACL .
Se si dispone di directory o file in file server locali con ACL di Windows configurati in base alle identità di Active Directory Domain Services, è possibile copiarli in File di Azure rendere persistenti gli elenchi di controllo di accesso con strumenti di copia file tradizionali come Robocopy o Azure AzCopy v 10.4+. Se le directory e i file sono archiviati su Azure Files tramite Azure File Sync, i loro elenchi di controllo di accesso vengono trasferiti e mantenuti nel loro formato nativo.
Importante
Se si usa Microsoft Entra Kerberos come origine Active Directory, le identità devono essere sincronizzate con l'ID Microsoft Entra per applicare gli ACL. È possibile impostare elenchi di controllo di accesso a livello di file/directory per le identità non sincronizzate con Microsoft Entra ID. Tuttavia, questi elenchi di controllo di accesso non verranno applicati perché il ticket Kerberos usato per l'autenticazione/autorizzazione non conterrà le identità non sincronizzate. Se si usa Active Directory Domain Services in locale come origine di Active Directory, è possibile avere identità non sincronizzate negli elenchi di controllo di accesso. Active Directory Domain Services inserisce tali SID nel ticket Kerberos e gli elenchi di controllo di accesso verranno applicati.
Configurare elenchi di controllo di accesso di Windows con icacl
Per concedere autorizzazioni complete a tutte le directory e a tutti i file nella condivisione file, inclusa la directory radice, eseguire il seguente comando di Windows da una macchina con connettività di rete senza restrizioni al controller di dominio di Active Directory. Ricordarsi di sostituire i valori segnaposto nell'esempio con i valori personalizzati. Se l'origine di AD è Microsoft Entra Domain Services, <user-upn> sarà <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Per altre informazioni su come usare icacls per impostare ACL di Windows e sui diversi tipi di autorizzazioni supportate, vedere le informazioni di riferimento della riga di comando per icacls.
Configurare gli elenchi di controllo di accesso di Windows con Esplora file di Windows
Se si è connessi a un client Windows aggiunto a un dominio, è possibile usare Esplora file di Windows per concedere l'autorizzazione completa a tutte le directory e i file nella condivisione file, inclusa la directory radice.
Importante
Se il client non è associato a un dominio o se l'ambiente ha più foreste di Active Directory, non usare Esplora file per configurare gli elenchi di controllo di accesso. Usare icacls invece. Ciò è dovuto al fatto che la configurazione ACL di Esplora file di Windows richiede che il client sia aggiunto al dominio di Active Directory a cui è aggiunto l'account di archiviazione.
Seguire questa procedura per configurare gli elenchi di controllo di accesso tramite Esplora file di Windows.
- Aprire Windows Esplora file, fare clic con il pulsante destro del mouse sul file o sulla directory e scegliere Proprietà.
- Seleziona la scheda Sicurezza.
- Selezionare Modifica.. per modificare le autorizzazioni.
- È possibile modificare le autorizzazioni degli utenti esistenti o selezionare Aggiungi... per concedere le autorizzazioni ai nuovi utenti.
- Nella finestra di richiesta di aggiunta di nuovi utenti immettere il nome utente di destinazione a cui si desidera concedere le autorizzazioni nella casella Immettere i nomi degli oggetti da selezionare e selezionare Controlla nomi per trovare il nome UPN completo dell'utente di destinazione. Potrebbe essere necessario specificare il nome di dominio e il GUID di dominio per AD locale. È possibile ottenere queste informazioni dall'amministratore di dominio o da un client aggiunto a AD locale.
- Seleziona OK.
- Nella scheda Sicurezza selezionare tutte le autorizzazioni da concedere al nuovo utente.
- Selezionare Applica.
Passaggio successivo
Dopo aver configurato le autorizzazioni a livello di directory e file, è possibile montare la condivisione di file.