Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем начать эту статью, убедитесь, что вы прочитали Назначьте разрешения на уровне общего ресурса удостоверению, чтобы ваши разрешения на уровне общего доступа были установлены с помощью управления доступом на основе ролей Azure (RBAC).
После назначения разрешений на уровне общего доступа можно настроить списки управления доступом Windows (ACL), также называемые разрешениями NTFS, на корневом, каталоге или на уровне файлов. Хотя разрешения на уровне общего ресурса действуют как высокоуровневый барьер, который определяет, может ли пользователь получить доступ к ресурсу, списки управления доступом Windows работают на более детальном уровне, чтобы контролировать операции, которые пользователь может выполнять на уровне каталога или файла.
При попытке пользователя получить доступ к файлу или каталогу применяются разрешения уровня общего доступа и файла или каталога. Если между ними есть разница, будет применена только самая ограничительная. Например, если у пользователя есть доступ на чтение и запись на уровне файла, но только чтение на уровне общего ресурса, то он может считывать только этот файл. То же самое было бы верно, если бы это было наоборот: если пользователь имел доступ на чтение и запись на уровне общего ресурса, но только на чтение на уровне файла, он все равно может только читать файл.
Внимание
Чтобы настроить списки управления доступом Windows, вам потребуется клиентский компьютер под управлением Windows с беспрепятственным сетевым подключением к контроллеру домена. Если вы выполняете проверку подлинности в Azure Files с помощью служб доменных имен Active Directory (AD DS) или Microsoft Entra Kerberos для гибридных удостоверений, это означает, вам потребуется беспрепятственное сетевое подключение к локальной AD. Если вы используете доменные службы Microsoft Entra, клиентский компьютер должен иметь неоднократное сетевое подключение к контроллерам домена для домена, управляемого доменными службами Microsoft Entra, которые находятся в Azure.
Применяется к
| Модель управления | Модель выставления счетов | Уровень медиа | Избыточность | малый и средний бизнес (МСБ) | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | GeoZone (GZRS) |
|
|
Поддерживаемые списки управления доступом (ACL) Windows
Служба "Файлы Azure" поддерживает полный набор базовых и расширенных списков управления доступом (ACL) Windows.
| Пользователи | Определение |
|---|---|
BUILTIN\Administrators |
Встроенная группа безопасности, представляющая администраторов файлового сервера. Эта группа пуста, и в нее никого нельзя добавить. |
BUILTIN\Users |
Встроенная группа безопасности, представляющая пользователей файлового сервера. Он включает NT AUTHORITY\Authenticated Users по умолчанию. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для файлов Azure нет хост-сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM |
Учетная запись службы операционной системы файлового сервера. В контексте файлов Azure такая служебная учетная запись не применяется. Она добавляется в корневой каталог, чтобы соответствовать интерфейсу файлового сервера Windows для гибридных сценариев. |
NT AUTHORITY\Authenticated Users |
Все пользователи в Active Directory, которые могут получить действительный билет Kerberos. |
CREATOR OWNER |
У каждого объекта — либо каталога, либо файла — есть свой владелец. Если есть ACL, назначенные CREATOR OWNER для этого объекта, то пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Для корневой папки файлового ресурса доступен следующий набор разрешений:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
Дополнительные сведения об этих расширенных разрешениях смотрите в справочнике командной строки для icacls.
Принцип работы
Существует два подхода, которые можно использовать для настройки и редактирования списков управления доступом Windows.
Войдите с именем пользователя и ключом учетной записи хранения каждый раз: в любое время, когда вы хотите настроить списки контроля доступа, подключите общую папку с помощью ключа учетной записи хранения на компьютере с безпрепятственным сетевым подключением к контроллеру домена.
Настройка одноразового имени пользователя и ключа учетной записи хранения:
Примечание.
Эта настройка работает для только что созданных общих папок, так как любой новый файл или каталог наследует настроенное корневое разрешение. Для общих папок, перенесенных вместе с существующими списками управления доступом, или при переносе локальных файлов или каталогов с существующими разрешениями в новой общей папке этот подход может не работать, так как перенесенные файлы не наследуют настроенный корневой ACL.
- Войдите с именем пользователя и ключом учетной записи хранилища на компьютере с беспрепятственной сетевой связью с контроллером домена и предоставьте некоторым пользователям (или группам) разрешение редактировать разрешения на корневом уровне общего ресурса.
- Назначьте этим пользователям роль Повышенные привилегии участника общего доступа к файлам SMB-хранилища Azure RBAC.
- В будущем, в любое время, когда вы захотите обновить списки управления доступом, вы можете использовать одного из авторизованных пользователей для входа с компьютера, имеющего неограниченное сетевое подключение к контроллеру домена, и изменять списки управления доступом.
Подключение общей папки с помощью ключа учетной записи хранения
Перед настройкой списков управления доступом Windows необходимо сначала подключить сетевое хранилище с помощью ключа учетной записи для хранилища. Для этого войдите на устройство, присоединенное к домену (как пользователь Microsoft Entra, если ваш источник AD — доменные службы Microsoft Entra), откройте командную строку Windows и выполните следующую команду. Не забудьте заменить <YourStorageAccountName>, <FileShareName>а <YourStorageAccountKey> также собственными значениями. Если буква диска "Z:" уже используется, замените её на доступную. Ключ учетной записи хранения можно найти в портале Azure, перейдя в учетную запись хранения и выбрав Безопасность и сетевое взаимодействие>Ключи доступа, или вы можете использовать командлет PowerShell.
На данном этапе важно использовать команду net use Windows для подключения общего ресурса, а не PowerShell. Если вы используете PowerShell для подключения общей папки, то общий ресурс не будет отображаться в Проводнике Windows или cmd.exe, и у вас будут трудности с настройкой списков управления доступом Windows.
Примечание.
Вы можете увидеть, что ACL с полным доступом уже применен к роли. Обычно это уже предоставляет возможность назначать разрешения. Но есть определенные ограничения, поскольку проверки доступа выполняются на двух уровнях: общей папки и файла или каталога. Только пользователи, у которых есть роль участника SMB файлов хранилища с повышенными привилегиями и создающие новый файл или каталог, могут назначать разрешения на эти новые файлы или каталоги без использования ключа учетной записи хранения. Для назначения остальных разрешений для файлов и каталогов необходимо сначала подключиться к ресурсу общего доступа, используя ключ учетной записи хранения.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Настройка Windows ACL
Списки управления доступом Windows можно настроить с помощью icacls или Windows Проводник. Вы также можете использовать команду Set-ACL PowerShell.
Если у вас есть каталоги или файлы на локальных файловых серверах с установленными списками управления доступом Windows ACL для удостоверений AD DS, их можно скопировать в Файлы Azure, сохраняя списки управления доступом с помощью традиционных инструментов копирования файлов, таких как Robocopy или Azure AzCopy версии 10.4+. Если каталоги и файлы распределены по уровням в службе "Файлы Azure" с помощью Синхронизации файлов Azure, списки ACL переносятся и сохраняются в собственном формате.
Внимание
Если вы используете Microsoft Entra Kerberos в качестве источника AD, учётные записи должны быть синхронизированы с Microsoft Entra, чтобы списки управления доступом (ACL) применялись корректно. Вы можете задать списки управления доступом на уровне файлов и каталогов для удостоверений, которые не синхронизируются с идентификатором Microsoft Entra. Однако эти списки управления доступом не будут применяться, так как токен Kerberos, используемый для проверки подлинности или авторизации, не будет содержать несинхронизированные учетные записи. Если вы используете службу AD DS на локальной стороне в качестве источника AD, в списке управления доступом могут присутствовать не синхронизированные удостоверения. AD DS поместит эти идентификаторы безопасности (SID) в билет Kerberos, и списки управления доступом будут применены.
Настройка списков управления доступом Windows с помощью icacls
Чтобы предоставить полные разрешения всем каталогам и файлам в общей папке, включая корневой каталог, выполните следующую команду Windows с компьютера, имеющего бесперебойное сетевое подключение к контроллеру домена AD. Не забудьте заменить значения заполнителей в примере собственными значениями. Если ваш AD источник — это Microsoft Entra Domain Services, то <user-upn> будет <user-email>.
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
Дополнительные сведения об использовании icacls для настройки списков Windows ACL и поддерживаемых типах разрешений см. в руководстве по использованию icacls в командной строке.
Настройка списков управления доступом Windows с помощью Проводника Windows
Если Вы вошли в клиент Windows, присоединенный к домену, Вы можете использовать Проводник Windows для предоставления полных разрешений всем каталогам и файлам в общей папке файлов, включая корневой каталог.
Внимание
Если клиент не присоединен к домену или если в вашей среде несколько лесов AD, не используйте проводник Windows для настройки списков управления доступом. Вместо этого используйте icacls . Это связано с тем, что конфигурация ACL Проводника Windows требует, чтобы клиент был присоединён к домену AD, к которому присоединена учетная запись хранения.
Выполните следующие действия, чтобы настроить ACL (списки управления доступом) с помощью Проводника Windows.
- Откройте Windows проводник, щелкните правой кнопкой мыши файл или каталог и выберите пункт "Свойства".
- Выберите вкладку Безопасность.
- Чтобы изменить разрешения, нажмите Изменить.
- Здесь можно изменить разрешения имеющихся пользователей или нажать кнопку Добавить..., чтобы предоставить разрешения новым пользователям.
- В окне приглашения для добавления новых пользователей введите имя пользователя, которому вы хотите предоставить разрешения, в поле Введите имена объектов и выберите Проверить имена, чтобы найти полное имя нужного пользователя. Возможно, вам потребуется указать доменное имя и GUID домена для локальной службы AD. Эти сведения можно получить от администратора домена или локального клиента, присоединенного к AD.
- Нажмите ОК.
- На вкладке Безопасность выберите все разрешения, которые необходимо предоставить новому пользователю.
- Выберите Применить.
Следующий шаг
Теперь, когда вы настроили разрешения на уровне каталога и файлов, вы можете подключить общую папку.