Настройка разрешений на уровне каталога и файлов для общих папок Azure
Прежде чем начать эту статью, убедитесь, что вы прочитали назначение разрешений на уровне общего ресурса для удостоверения , чтобы убедиться, что ваши разрешения на уровне общего доступа установлены с помощью управления доступом на основе ролей Azure (RBAC).
После назначения разрешений на уровне общего доступа можно настроить списки управления доступом Windows (ACL), также называемые разрешениями NTFS, на корневом, каталоге или на уровне файлов. Хотя разрешения на уровне общего доступа действуют как высокоуровневый вратарь, который определяет, может ли пользователь получить доступ к общей папке, списки управления доступом Windows работают на более детальном уровне, чтобы управлять операциями, которые пользователь может выполнять на уровне каталога или файла.
При попытке пользователя получить доступ к файлу или каталогу применяются разрешения уровня общего доступа и файла или каталога. Если между ними есть разница, будет применена только самая ограничительная. Например, если у пользователя есть доступ на чтение и запись на уровне файла, но только чтение на уровне общего ресурса, то он может считывать только этот файл. То же самое было бы верно, если он был изменен: если пользователь имел доступ на чтение и запись на уровне общего ресурса, но только чтение на уровне файла, они по-прежнему могут читать только файл.
Внимание
Чтобы настроить списки управления доступом Windows, вам потребуется клиентский компьютер под управлением Windows с неодновременным сетевым подключением к контроллеру домена. Если вы выполняете проверку подлинности с помощью Файлы Azure с помощью служб домен Active Directory (AD DS) или Microsoft Entra Kerberos для гибридных удостоверений, это означает, что вам потребуется единое сетевое подключение к локальной ad. Если вы используете доменные службы Microsoft Entra, клиентский компьютер должен иметь неоднократное сетевое подключение к контроллерам домена для домена, управляемого доменными службами Microsoft Entra, которые находятся в Azure.
Применяется к
| Тип общей папки | SMB | NFS |
|---|---|---|
| Стандартные общие папки (GPv2), LRS/ZRS |  |
 |
| Стандартные общие папки (GPv2), GRS/GZRS | |
|
| Общие папки уровня "Премиум" (FileStorage), LRS/ZRS | |
|
Поддерживаемые списки управления доступом Windows
Служба "Файлы Azure" поддерживает полный набор основных и дополнительных списков Windows ACL.
| Пользователи | Определение |
|---|---|
BUILTIN\Administrators |
Встроенная группа безопасности, представляющая администраторов файлового сервера. Эта группа пуста, и в нее никого нельзя добавить. |
BUILTIN\Users |
Встроенная группа безопасности, представляющая пользователей файлового сервера. Он включает NT AUTHORITY\Authenticated Users по умолчанию. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для файлов Azure нет хост-сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Учетная запись службы операционной системы файлового сервера. Такая учетная запись службы не применяется в контексте файлов Azure. Она добавляется в корневой каталог, чтобы соответствовать интерфейсу файлового сервера Windows для гибридных сценариев. |
NT AUTHORITY\Authenticated Users |
Все пользователи в AD, которые могут получить действительный маркер безопасности Kerberos. |
CREATOR OWNER |
У каждого объекта — либо каталога, либо файла — есть свой владелец. Если есть ACL, назначенные CREATOR OWNER для этого объекта, то пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Для корневой папки файлового ресурса доступен следующий набор разрешений:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Дополнительные сведения об этих расширенных разрешениях см . в справочнике по командной строке для icacls.
Принцип работы
Существует два подхода, которые можно использовать для настройки и редактирования списков управления доступом Windows.
Войдите с помощью ключа имени пользователя и учетной записи хранения каждый раз: в любое время, когда вы хотите настроить списки управления доступом, подключите общую папку с помощью ключа учетной записи хранения на компьютере с неуклюжим сетевым подключением к контроллеру домена.
Настройка ключа единовременной учетной записи хранения и имени пользователя:
Примечание.
Эта настройка работает для только что созданных общих папок, так как любой новый файл или каталог наследует настроенное корневое разрешение. Для общих папок, перенесенных вместе с существующими списками управления доступом, или при переносе локальных файлов или каталогов с существующими разрешениями в новой общей папке этот подход может не работать, так как перенесенные файлы не наследуют настроенный корневой ACL.
- Войдите с помощью ключа имени пользователя и учетной записи хранения на компьютере с неуниверсированным сетевым подключением к контроллеру домена и предоставьте некоторым пользователям (или группам) разрешение на изменение разрешений на корне общей папки.
- Назначьте этим пользователям роль SMB-файла данных SMB с повышенными привилегиями участника Azure RBAC.
- В будущем, когда вы хотите обновить списки управления доступом, вы можете использовать одного из авторизованных пользователей для входа с компьютера, который не удалял сетевое подключение к контроллеру домена и изменять списки управления доступом.
Подключение общей папки с помощью ключа учетной записи хранения
Перед настройкой списков управления доступом Windows необходимо сначала подключить общую папку с помощью ключа учетной записи хранения. Для этого войдите на присоединенное к домену устройство (как пользователь Microsoft Entra, если ваш источник AD — доменные службы Microsoft Entra), откройте командную строку Windows и выполните следующую команду. Не забудьте заменить <YourStorageAccountName>, <FileShareName>а <YourStorageAccountKey> также собственными значениями. Если носитель "Z:" уже используется, укажите букву доступного диска. Ключ учетной записи хранения можно найти в портал Azure, перейдя к учетной записи хранения и выбрав ключи безопасности и сетевого>Get-AzStorageAccountKey доступа или командлет PowerShell.
На этом этапе важно использовать команду net use Windows для подключения общей папки, а не PowerShell. Если вы используете PowerShell для подключения общей папки, общий ресурс не будет отображаться в Windows проводник или cmd.exe, и у вас возникнут проблемы с настройкой списков управления доступом Windows.
Примечание.
Вы можете увидеть ACL полного элемента управления , примененного к роли. Обычно это разрешение включает возможность назначать разрешения. Но есть определенные ограничения, поскольку проверки доступа выполняются на двух уровнях: общей папки и файла или каталога. Только пользователи, у которых есть роль участника SMB файлов хранилища с повышенными привилегиями и создающие новый файл или каталог, могут назначать разрешения на эти новые файлы или каталоги без использования ключа учетной записи хранения. Для остальных назначенных разрешений на уровне каталога/файлов требуется подключение к общей папке с помощью ключа учетной записи хранения.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Настройка Windows ACL
Списки управления доступом Windows можно настроить с помощью icacls или Windows проводник. Вы также можете использовать команду Set-ACL PowerShell.
Если у вас есть каталоги или файлы на локальных файловых серверах с списками управления доступом Windows, настроенными для удостоверений AD DS, их можно скопировать в Файлы Azure сохранение списков управления доступом с традиционными средствами копирования файлов, такими как Robocopy или Azure AzCopy версии 10.4+. Если каталоги и файлы распределены по уровням в службе "Файлы Azure" с помощью Синхронизации файлов Azure, списки ACL переносятся и сохраняются в собственном формате.
Внимание
Если вы используете Microsoft Entra Kerberos в качестве источника AD, удостоверения должны быть синхронизированы с идентификатором Microsoft Entra для принудительного применения списков управления доступом. Вы можете задать списки управления доступом на уровне файлов и каталогов для удостоверений, которые не синхронизируются с идентификатором Microsoft Entra. Однако эти списки управления доступом не будут применяться, так как билет Kerberos, используемый для проверки подлинности или авторизации, не будет содержать не синхронизированные удостоверения. Если в качестве источника AD используется локальная служба AD DS, в списке управления доступом не синхронизируются удостоверения. AD DS помещает эти идентификаторы в билет Kerberos, а списки управления доступом будут применены.
Настройка списков управления доступом Windows с помощью icacls
Чтобы предоставить полные разрешения всем каталогам и файлам в общей папке, в том числе корневому каталогу, выполните следующую команду Windows с компьютера, который не удалял сетевое подключение к контроллеру домена AD. Не забудьте заменить значения заполнителей в примере собственными значениями. Если источник AD является доменными службами Microsoft Entra, то <user-upn> будет <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Дополнительные сведения об использовании icacls для настройки списков Windows ACL и поддерживаемых типах разрешений см. в руководстве по использованию icacls в командной строке.
Настройка списков управления доступом Windows с помощью проводника Windows
Если вы вошли в клиент Windows, присоединенный к домену, вы можете использовать Windows проводник для предоставления полного разрешения всем каталогам и файлам в общей папке, включая корневой каталог.
Внимание
Если клиент не присоединен к домену или если в вашей среде несколько лесов AD, не используйте проводник Windows для настройки списков управления доступом. Вместо этого используйте icacls . Это связано с тем, что конфигурация ACL для Windows проводник требует, чтобы клиент был присоединен к домену AD, к которому присоединена учетная запись хранения.
Выполните следующие действия, чтобы настроить списки управления доступом с помощью Windows проводник.
- Откройте Windows проводник, щелкните правой кнопкой мыши файл или каталог и выберите пункт "Свойства".
- Выберите вкладку Безопасность.
- Чтобы изменить разрешения, нажмите Изменить.
- Здесь можно изменить разрешения имеющихся пользователей или нажать кнопку Добавить..., чтобы предоставить разрешения новым пользователям.
- В окне запроса для добавления новых пользователей введите целевое имя пользователя, которому нужно предоставить разрешения, в поле Введите имена объектов для выбора и выберите Проверить имена, чтобы найти полное имя нужного пользователя. Возможно, вам потребуется указать доменное имя и GUID домена для локальной службы AD. Эти сведения можно получить от администратора домена или локального клиента, присоединенного к AD.
- Нажмите ОК.
- На вкладке Безопасность выберите все разрешения, которые необходимо предоставить новому пользователю.
- Выберите Применить.
Следующий шаг
Теперь, когда вы настроили разрешения на уровне каталога и файлов, вы можете подключить общую папку.