Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ файловые хранилища SMB Azure
Перед началом работы с этой статьей убедитесь, что вы назначили разрешения на уровне общего ресурса объекту идентификации с помощью управления доступом на основе ролей Azure (RBAC).
После назначения разрешений на уровне общего доступа можно настроить списки управления доступом Windows (ACL), также называемые разрешениями NTFS, на корневом, каталоге или на уровне файлов.
Внимание
Чтобы настроить списки управления доступом Windows для гибридных удостоверений, вам потребуется клиентский компьютер под управлением Windows с бесперебойным сетевым подключением к контроллеру домена. Если вы выполняете проверку подлинности файлов Azure через доменные службы Active Directory (AD DS) или Microsoft Entra Kerberos для гибридных удостоверений, вам потребуется непрерывное соединение с локальным AD. Если вы используете доменные службы Microsoft Entra, клиентский компьютер должен иметь бесперебойное сетевое подключение к контроллерам домена, управляемого Microsoft Entra Domain Services, которые находятся в Azure. Для облачных удостоверений (предварительная версия) нет зависимости от контроллеров домена, но устройство должно быть присоединено к идентификатору Microsoft Entra.
Совместная работа Azure RBAC и списков управления доступом Windows
Хотя разрешения на уровне доступа к общим ресурсам (RBAC) действуют как высокоуровневый контролёр доступа, который определяет, может ли пользователь получить доступ к общей папке, списки управления доступом Windows (списки ACL/разрешения NTFS) работают на более детальном уровне, чтобы управлять операциями, которые пользователь может осуществлять на уровне каталога или файла.
Когда пользователь пытается получить доступ к файлу или каталогу, применяются разрешения уровня общего доступа и файлов или каталогов. Если между ними есть разница, применяется только самый строгий. Например, если у пользователя есть доступ на чтение и запись на уровне файла, но только чтение на уровне общего ресурса, то он может считывать только этот файл. То же правило применяется, если разрешения отменяются: если у пользователя есть доступ на чтение и запись на уровне общего ресурса, но только чтение на уровне файла, они по-прежнему могут читать только файл.
В следующей таблице показано, как сочетание разрешений на уровне общей папки и списков управления доступом Windows работают вместе, чтобы определить доступ к файлу или каталогу в Azure Files.
| Нет роли RBAC | RBAC — средство чтения общих ресурсов SMB | RBAC — участник общих ресурсов SMB | RBAC — участник SMB с повышенными привилегиями | |
|---|---|---|---|---|
| NTFS — нет | доступ запрещен | доступ запрещен | доступ запрещен | доступ запрещен |
| NTFS — чтение данных | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — запуск и выполнение | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — папка списка | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — запись данных | доступ запрещен | Читайте | Чтение, запуск, запись | Чтение и запись |
| NTFS — изменение | доступ запрещен | Читайте | Чтение, запись, запуск, удаление | Чтение, запись, запуск, удаление, применение разрешений к собственной папке и файлам |
| NTFS: полный | доступ запрещен | Читайте | Чтение, запись, запуск, удаление | Чтение, запись, запуск, удаление, применение разрешений для всех папок и файлов |
Примечание.
Для конфигурации ACL, требующей приёма прав собственности на папки или файлы, необходимо дополнительное разрешение RBAC. С помощью модели разрешений Windows для администратора SMB вы можете предоставить это, назначив встроенную роль RBAC Storage File Data SMB Admin, которая включает takeOwnership разрешение.
Поддерживаемые списки управления доступом (ACL) Windows
Служба "Файлы Azure" поддерживает полный набор базовых и расширенных списков управления доступом (ACL) Windows.
| Пользователи | Определение |
|---|---|
BUILTIN\Administrators |
Встроенная группа безопасности, представляющая администраторов файлового сервера. Эта группа пуста, и в нее никого нельзя добавить. |
BUILTIN\Users |
Встроенная группа безопасности, представляющая пользователей файлового сервера. Он включает NT AUTHORITY\Authenticated Users по умолчанию. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для Azure Files нет выделенного сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Учетная запись службы операционной системы файлового сервера. В контексте файлов Azure такая служебная учетная запись не применяется. Он включен в корневой каталог, чтобы быть согласован с интерфейсом Windows Files Server для гибридных сценариев. |
NT AUTHORITY\Authenticated Users |
Все пользователи в Active Directory, которые могут получить действительный билет Kerberos. |
CREATOR OWNER |
Каждый объект, каталог или файл, имеет владельца для этого объекта. Если для этого объекта назначены CREATOR OWNER списки управления доступом, пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Корневой каталог общей папки включает следующие разрешения:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Дополнительные сведения об этих разрешениях см. в справочнике командной строки icacls.
Монтирование общей папки с доступом на уровне администратора
Перед настройкой списков управления доступом windows подключите общую папку с доступом на уровне администратора. Вы можете воспользоваться двумя способами:
Используйте модель разрешений Windows для администратора SMB (рекомендуется): назначьте встроенную роль RBAC Storage File Data SMB Admin, которая включает необходимые разрешения для пользователей, настраивающих ACL. Затем подключите файловый ресурс с помощью проверки подлинности на основе удостоверений и настройте списки контроля доступа. Этот подход более безопасный, так как для подключения общей папки не требуется ключ учетной записи хранения.
Используйте ключ учетной записи хранения (менее безопасный): используйте его для подключения общей папки, а затем настройте списки управления доступом (ACLs). Ключ учетной записи хранения — это конфиденциальные учетные данные. По соображениям безопасности используйте этот параметр только в том случае, если не удается использовать проверку подлинности на основе удостоверений.
Примечание.
Если у пользователя есть ACL Полного Управления, а также роль Участника Для Файлов Хранилища SMB С Повышенными Привилегиями (или пользовательская роль с необходимыми разрешениями), они могут настроить ACL (списки управления доступом) без использования модели разрешений Windows для администратора SMB или ключа учетной записи хранения.
Использование модели разрешений Windows для администратора SMB
Мы рекомендуем использовать модель разрешений Windows для администратора SMB вместо использования ключа учетной записи хранения. Эта функция позволяет назначать пользователям роль RBAC Storage File Data SMB Admin, что позволяет им взять на себя ответственность за файл или каталог для настройки списков управления доступом (ACLs).
Роль администратора данных файлов SMB в RBAC включает следующие три действия с данными.
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Чтобы использовать модель разрешений Windows для администратора SMB, выполните следующие действия.
Назначьте пользователям, которые настраивают ACL, роль RBAC Storage File Data SMB Admin. Инструкции по назначению роли см. в статье "Назначение ролей Azure" с помощью портала Azure.
Пользователи должны подключить общую папку, используя свой идентификатор домена. Если для учетной записи хранения настроена идентификационная проверка подлинности, вы можете подключить общую папку и настроить и изменять списки управления доступом Windows без использования ключа учетной записи хранения.
Войдите на устройство, присоединенное к домену, или устройство, которое имеет свободное сетевое подключение к контроллерам домена (как пользователь Microsoft Entra, если ваш источник AD — доменные службы Microsoft Entra). Откройте командную строку Windows и подключите общую папку, выполнив следующую команду. Замените
<YourStorageAccountName>и<FileShareName>собственными значениями. Если буква диска "Z:" уже используется, замените её на доступную.Используйте команду
net useдля подключения общей папки на этом этапе, вместо PowerShell. Если вы используете PowerShell для подключения сетевого диска, этот диск не отображается в Проводнике Windows или в cmd.exe, и у вас возникнут сложности с настройкой списков управления доступом Windows (ACL).net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Подключите общую папку с помощью ключа учетной записи хранения (не рекомендуется)
Предупреждение
По возможности используйте модель разрешений Windows для администрирования SMB для подключения общей папки вместо использования ключа учетной записи хранения.
Войдите на устройство, присоединенное к домену, или устройство, которое имеет свободное сетевое подключение к контроллерам домена (как пользователь Microsoft Entra, если ваш источник AD — доменные службы Microsoft Entra). Откройте командную строку Windows и подключите общую папку, выполнив следующую команду. Замените <YourStorageAccountName>, <FileShareName> и <YourStorageAccountKey> собственными значениями. Если буква диска "Z:" уже используется, замените её на доступную. Ключ учетной записи хранения можно найти в портале Azure, перейдя в учетную запись хранения и выбрав Безопасность и сетевое взаимодействие>Ключи доступа, или вы можете использовать командлет PowerShell.
Используйте команду net use для подключения общей папки на этом этапе, вместо PowerShell. Если вы используете PowerShell для подключения сетевого диска, этот диск не отображается в Проводнике Windows или в cmd.exe, и у вас возникнут сложности с настройкой списков управления доступом Windows (ACL).
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Настройка Windows ACL
Процесс настройки списков управления доступом Windows отличается в зависимости от того, выполняется ли проверка подлинности гибридных или облачных удостоверений.
Для облачных удостоверений (предварительная версия) необходимо использовать портал Azure или PowerShell. Проводник Windows и icacls в настоящее время не поддерживаются для учетных записей, существующих только в облаке.
Для гибридных идентичностей можно настроить списки управления доступом Windows с помощью icacls или использовать Проводник Windows. Вы также можете использовать команду Set-ACL PowerShell. Если у вас есть каталоги или файлы на локальных файловых серверах с списками управления доступом Windows, настроенными для удостоверений AD DS, их можно скопировать в файлы Azure при сохранении списков управления доступом с помощью традиционных средств копирования файлов, таких как Robocopy или последняя версия Azure AzCopy. Если каталоги и файлы передаются на уровень в службу "Файлы Azure" с помощью службы "Синхронизация файлов Azure", ваши списки управления доступом переносятся и сохраняются в собственном формате.
Внимание
Если вы используете Microsoft Entra Kerberos для проверки подлинности гибридных удостоверений, гибридные удостоверения должны быть синхронизированы с идентификатором Microsoft Entra для принудительного применения списков управления доступом. Списки управления доступом (ACL) на уровне файлов и каталогов можно задать для удостоверений, не синхронизированных с Microsoft Entra ID. Однако эти списки управления доступом не применяются, так как токен Kerberos, используемый для проверки подлинности и авторизации, не содержит несинхронизированных удостоверений. Если в качестве источника AD вы используете локальную службу AD DS, вы можете включить несинхронизированные удостоверения в списки управления доступом (ACL). AD DS помещает эти идентификаторы безопасности (SID) в билет Kerberos, а списки управления доступом (ACL) применяются.
Настройка списков управления доступом Windows с помощью портала Azure
Если вы настроили Microsoft Entra Kerberos в качестве источника удостоверений, вы можете настроить списки управления доступом Windows для каждого пользователя или группы Entra с помощью портала Azure. Этот метод работает как для гибридных, так и облачных удостоверений, только если Microsoft Entra Kerberos используется в качестве источника удостоверений.
Войдите на портал Azure с помощью этого конкретного URL-адреса: https://aka.ms/portal/fileperms
Перейдите к общей папке, для которой требуется настроить списки управления доступом Windows.
В меню сервиса выберите Обзор. Если вы хотите задать ACL в корневой папке, выберите "Управление доступом " в верхнем меню.
Чтобы задать ACL для файла или каталога, щелкните правой кнопкой мыши файл или каталог, а затем выберите "Управление доступом".
Теперь вы увидите доступных пользователей и групп. При необходимости можно добавить нового пользователя или группу. Щелкните значок карандаша в правом углу любого пользователя или группы, чтобы добавить или изменить разрешения для пользователя или группы, чтобы получить доступ к указанному файлу или каталогу.
Измените разрешения. Запрет всегда имеет приоритет над Разрешением, если оба установлены. Если ни одно из них не задано, разрешения по умолчанию наследуются.
Нажмите кнопку "Сохранить", чтобы задать ACL.
Настройка списков управления доступом (ACL) Windows для идентичностей в облаке с помощью PowerShell
Если вам нужно назначить списки управления доступом пользователям, работающим только в облаке, можно использовать модуль RestSetAcls PowerShell для автоматизации процесса с помощью REST API файлов Azure.
Например, если вы хотите задать корневой ACL, который позволит пользователю [email protected] только в облаке иметь доступ на чтение:
$AccountName = "<storage-account-name>" # replace with the storage account name
$AccountKey = "<storage-account-key>" # replace with the storage account key
$context = New-AzStorageContext -StorageAccountName $AccountName -StorageAccountKey $AccountKey
Add-AzFileAce -Context $context -FileShareName test -FilePath "/" -Type Allow -Principal "[email protected]" -AccessRights Read,Synchronize -InheritanceFlags ObjectInherit,ContainerInherit
Настройка списков управления доступом Windows с помощью icacls
Внимание
Использование icacls не работает для облачных удостоверений.
Чтобы предоставить полные разрешения всем каталогам и файлам в общей папке, включая корневой каталог, выполните следующую команду Windows с компьютера, имеющего бесперебойное сетевое подключение к контроллеру домена AD. Не забудьте заменить значения заполнителей в примере собственными значениями. Если источник AD является доменными службами Microsoft Entra, то это <user-upn><user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Дополнительные сведения об использовании icacls для настройки списков Windows ACL и поддерживаемых типах разрешений см. в руководстве по использованию icacls в командной строке.
Настройка списков управления доступом Windows с помощью Проводника Windows
Если вы вошли в клиент Windows, присоединенный к домену, можно использовать проводник Windows для предоставления полного разрешения всем каталогам и файлам в общей папке, включая корневой каталог. Использование Проводника работает только для гибридных идентичностей. он не работает с облачными идентичностями.
Внимание
Использование проводника Windows не работает для удостоверений, существующих только в облаке. Если клиент не присоединен к домену или если в вашей среде несколько лесов AD, не используйте проводник Windows для настройки списков управления доступом. Вместо этого используйте icacls . Это ограничение существует, поскольку конфигурация ACL проводника файлов Windows требует, чтобы клиент был присоединен к тому же домену AD, к которому принадлежит учетная запись хранения.
Выполните следующие действия, чтобы настроить ACL (списки управления доступом) с помощью Проводника Windows.
- Откройте проводник Windows, щелкните правой кнопкой мыши файл или каталог и выберите пункт "Свойства".
- Выберите вкладку Безопасность.
- Чтобы изменить разрешения, нажмите Изменить.
- Измените разрешения существующих пользователей или нажмите кнопку "Добавить", чтобы предоставить разрешения новым пользователям.
- В окне приглашения для добавления новых пользователей введите имя пользователя, которому вы хотите предоставить разрешения, в поле Введите имена объектов и выберите Проверить имена, чтобы найти полное имя нужного пользователя. Возможно, вам потребуется указать доменное имя и GUID домена для локальной службы AD. Эти сведения можно получить от администратора домена или локального клиента, присоединенного к AD.
- Нажмите ОК.
- На вкладке Безопасность выберите все разрешения, которые необходимо предоставить новому пользователю.
- Выберите Применить.
Следующий шаг
После настройки разрешений на уровне каталога и файлов можно подключить общую папку SMB в Windows или Linux.