Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ файловые хранилища SMB Azure
Перед началом работы с этой статьей убедитесь, что вы назначили разрешения на уровне общего ресурса объекту идентификации с помощью управления доступом на основе ролей Azure (RBAC).
После назначения разрешений на уровне общего доступа можно настроить списки управления доступом Windows (ACL), также называемые разрешениями NTFS, на корневом, каталоге или на уровне файлов.
Внимание
Чтобы настроить списки управления доступом Windows, вам потребуется клиентский компьютер под управлением Windows с бесперебойным сетевым подключением к контроллеру домена. Если вы выполняете проверку подлинности файлов Azure через доменные службы Active Directory (AD DS) или Microsoft Entra Kerberos для гибридных удостоверений, вам потребуется непрерывное соединение с локальным AD. Если вы используете доменные службы Microsoft Entra, клиентский компьютер должен иметь бесперебойное сетевое подключение к контроллерам домена, управляемого Microsoft Entra Domain Services, которые находятся в Azure.
Совместная работа Azure RBAC и списков управления доступом Windows
Хотя разрешения на уровне доступа к общим ресурсам (RBAC) действуют как высокоуровневый контролёр доступа, который определяет, может ли пользователь получить доступ к общей папке, списки управления доступом Windows (списки ACL/разрешения NTFS) работают на более детальном уровне, чтобы управлять операциями, которые пользователь может осуществлять на уровне каталога или файла.
Когда пользователь пытается получить доступ к файлу или каталогу, применяются разрешения уровня общего доступа и файлов или каталогов. Если между ними есть разница, применяется только самый строгий. Например, если у пользователя есть доступ на чтение и запись на уровне файла, но только чтение на уровне общего ресурса, то он может считывать только этот файл. То же правило применяется, если разрешения отменяются: если у пользователя есть доступ на чтение и запись на уровне общего ресурса, но только чтение на уровне файла, они по-прежнему могут читать только файл.
В следующей таблице показано, как сочетание разрешений на уровне общей папки и списков управления доступом Windows работают вместе, чтобы определить доступ к файлу или каталогу в Azure Files.
| Нет роли RBAC | RBAC — средство чтения общих ресурсов SMB | RBAC — участник общих ресурсов SMB | RBAC — участник SMB с повышенными привилегиями | |
|---|---|---|---|---|
| NTFS — нет | доступ запрещен | доступ запрещен | доступ запрещен | доступ запрещен |
| NTFS — чтение данных | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — запуск и выполнение | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — папка списка | доступ запрещен | Читайте | Читайте | Читайте |
| NTFS — запись данных | доступ запрещен | Читайте | Чтение, запуск, запись | Чтение и запись |
| NTFS — изменение | доступ запрещен | Читайте | Чтение, запись, запуск, удаление | Чтение, запись, запуск, удаление, применение разрешений к собственной папке и файлам |
| NTFS: полный | доступ запрещен | Читайте | Чтение, запись, запуск, удаление | Чтение, запись, запуск, удаление, применение разрешений для всех папок и файлов |
Примечание.
Для конфигурации ACL, требующей приёма прав собственности на папки или файлы, необходимо дополнительное разрешение RBAC. С помощью модели разрешений Windows для администратора SMB вы можете предоставить это, назначив встроенную роль RBAC Storage File Data SMB Admin, которая включает takeOwnership разрешение.
Поддерживаемые списки управления доступом (ACL) Windows
Служба "Файлы Azure" поддерживает полный набор базовых и расширенных списков управления доступом (ACL) Windows.
| Пользователи | Определение |
|---|---|
BUILTIN\Administrators |
Встроенная группа безопасности, представляющая администраторов файлового сервера. Эта группа пуста, и в нее никого нельзя добавить. |
BUILTIN\Users |
Встроенная группа безопасности, представляющая пользователей файлового сервера. Он включает NT AUTHORITY\Authenticated Users по умолчанию. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для Azure Files нет выделенного сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Учетная запись службы операционной системы файлового сервера. В контексте файлов Azure такая служебная учетная запись не применяется. Он включен в корневой каталог, чтобы быть согласован с интерфейсом Windows Files Server для гибридных сценариев. |
NT AUTHORITY\Authenticated Users |
Все пользователи в Active Directory, которые могут получить действительный билет Kerberos. |
CREATOR OWNER |
Каждый объект, каталог или файл, имеет владельца для этого объекта. Если для этого объекта назначены CREATOR OWNER списки управления доступом, пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Корневой каталог общей папки включает следующие разрешения:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Дополнительные сведения об этих разрешениях см. в справочнике командной строки icacls.
Монтирование общей папки с доступом на уровне администратора
Перед настройкой списков управления доступом windows подключите общую папку с доступом на уровне администратора. Вы можете воспользоваться двумя способами:
Используйте модель разрешений Windows для администратора SMB: назначьте встроенную роль RBAC Storage File Data SMB Admin, которая включает необходимые разрешения для пользователей, настраивающих списки управления доступом. Затем подключите файловый ресурс с помощью проверки подлинности на основе удостоверений и настройте списки контроля доступа. Этот подход более безопасный, так как для подключения общей папки не требуется ключ учетной записи хранения.
Используйте ключ учетной записи хранения (не рекомендуется): используйте ключ учетной записи хранения для подключения общей папки и настройки списков управления доступом. Ключ учетной записи хранения — это конфиденциальные учетные данные. По соображениям безопасности используйте этот параметр только в том случае, если не удается использовать проверку подлинности на основе удостоверений.
Примечание.
Если у пользователя есть ACL Полного Управления, а также роль Участника Для Файлов Хранилища SMB С Повышенными Привилегиями (или пользовательская роль с необходимыми разрешениями), они могут настроить ACL (списки управления доступом) без использования модели разрешений Windows для администратора SMB или ключа учетной записи хранения.
Использование модели разрешений Windows для администратора SMB
Мы рекомендуем использовать модель разрешений Windows для администратора SMB вместо использования ключа учетной записи хранения. Эта функция позволяет назначать пользователям роль RBAC Storage File Data SMB Admin, что позволяет им взять на себя ответственность за файл или каталог для настройки списков управления доступом (ACLs).
Роль администратора данных файлов SMB в RBAC включает следующие три действия с данными.
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
Чтобы использовать модель разрешений Windows для администратора SMB, выполните следующие действия.
Назначьте пользователям, которые настраивают ACL, роль RBAC Storage File Data SMB Admin. Инструкции по назначению роли см. в статье "Назначение ролей Azure" с помощью портала Azure.
Пользователи должны подключить общую папку, используя свой идентификатор домена. Если для учетной записи хранения настроена идентификационная проверка подлинности, вы можете подключить общую папку и настроить и изменять списки управления доступом Windows без использования ключа учетной записи хранения.
Войдите на устройство, присоединенное к домену, или устройство, которое имеет свободное сетевое подключение к контроллерам домена (как пользователь Microsoft Entra, если ваш источник AD — доменные службы Microsoft Entra). Откройте командную строку Windows и подключите общую папку, выполнив следующую команду. Замените
<YourStorageAccountName>и<FileShareName>собственными значениями. Если буква диска "Z:" уже используется, замените её на доступную.Используйте команду
net useдля подключения общей папки на этом этапе, вместо PowerShell. Если вы используете PowerShell для подключения сетевого диска, этот диск не отображается в Проводнике Windows или в cmd.exe, и у вас возникнут сложности с настройкой списков управления доступом Windows (ACL).net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Подключите общую папку с помощью ключа учетной записи хранения (не рекомендуется)
Предупреждение
По возможности используйте модель разрешений Windows для администрирования SMB для подключения общей папки вместо использования ключа учетной записи хранения.
Войдите в устройство, присоединенное к домену, или в устройство, которое имеет неограниченное сетевое подключение к контроллерам домена (в качестве пользователя Microsoft Entra, если вашим источником AD являются доменные службы Microsoft Entra). Откройте командную строку Windows и подключите общую папку, выполнив следующую команду. Замените <YourStorageAccountName>, <FileShareName> и <YourStorageAccountKey> собственными значениями. Если буква диска "Z:" уже используется, замените её на доступную. Ключ учетной записи хранения можно найти в портале Azure, перейдя в учетную запись хранения и выбрав Безопасность и сетевое взаимодействие>Ключи доступа, или вы можете использовать командлет PowerShell.
Используйте команду net use, чтобы подключить общую папку на этом этапе, а не используйте PowerShell. Если вы используете PowerShell для подключения общей папки, общий ресурс не отображается в Проводнике Windows или cmd.exe, и у вас возникают трудности с управлением списками управления доступом (ACL) в Windows.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Настройка Windows ACL
Списки управления доступом Windows можно настроить с помощью icacls или Windows Проводник. Вы также можете использовать команду Set-ACL PowerShell.
Если у вас есть каталоги или файлы на локальных файловых серверах с списками управления доступом Windows, настроенными для удостоверений AD DS, их можно скопировать в файлы Azure при сохранении списков управления доступом с помощью традиционных средств копирования файлов, таких как Robocopy или Azure AzCopy версии 10.4+. Если каталоги и файлы передаются на уровень в службу "Файлы Azure" с помощью службы "Синхронизация файлов Azure", ваши списки управления доступом переносятся и сохраняются в собственном формате.
Внимание
Если вы используете Microsoft Entra Kerberos в качестве источника AD, учётные записи должны быть синхронизированы с Microsoft Entra, чтобы списки управления доступом (ACL) применялись корректно. Списки управления доступом (ACL) на уровне файлов и каталогов можно задать для удостоверений, не синхронизированных с Microsoft Entra ID. Однако эти списки управления доступом не применяются, так как токен Kerberos, используемый для проверки подлинности и авторизации, не содержит несинхронизированных удостоверений. Если в качестве источника AD вы используете локальную службу AD DS, вы можете включить несинхронизированные удостоверения в списки управления доступом (ACL). AD DS помещает эти идентификаторы безопасности (SID) в билет Kerberos, а списки управления доступом (ACL) применяются.
Настройка списков управления доступом Windows с помощью icacls
Чтобы предоставить полные разрешения всем каталогам и файлам в общей папке, включая корневой каталог, выполните следующую команду Windows с компьютера, имеющего бесперебойное сетевое подключение к контроллеру домена AD. Не забудьте заменить значения заполнителей в примере собственными значениями. Если источник AD является доменными службами Microsoft Entra, то это <user-upn><user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Дополнительные сведения об использовании icacls для настройки списков Windows ACL и поддерживаемых типах разрешений см. в руководстве по использованию icacls в командной строке.
Настройка списков управления доступом Windows с помощью Проводника Windows
Если вы вошли в клиент Windows, присоединенный к домену, можно использовать проводник Windows для предоставления полного разрешения всем каталогам и файлам в общей папке, включая корневой каталог.
Внимание
Если клиент не присоединен к домену или если в вашей среде несколько лесов AD, не используйте проводник Windows для настройки списков управления доступом. Вместо этого используйте icacls . Это ограничение существует, поскольку конфигурация ACL проводника файлов Windows требует, чтобы клиент был присоединен к тому же домену AD, к которому принадлежит учетная запись хранения.
Выполните следующие действия, чтобы настроить ACL (списки управления доступом) с помощью Проводника Windows.
- Откройте проводник Windows, щелкните правой кнопкой мыши файл или каталог и выберите пункт "Свойства".
- Выберите вкладку Безопасность.
- Чтобы изменить разрешения, нажмите Изменить.
- Измените разрешения существующих пользователей или нажмите кнопку "Добавить", чтобы предоставить разрешения новым пользователям.
- В окне приглашения для добавления новых пользователей введите имя пользователя, которому вы хотите предоставить разрешения, в поле Введите имена объектов и выберите Проверить имена, чтобы найти полное имя нужного пользователя. Возможно, вам потребуется указать доменное имя и GUID домена для локальной службы AD. Эти сведения можно получить от администратора домена или локального клиента, присоединенного к AD.
- Нажмите ОК.
- На вкладке Безопасность выберите все разрешения, которые необходимо предоставить новому пользователю.
- Выберите Применить.
Следующий шаг
После настройки разрешений на уровне каталога и файлов можно подключить общую папку.