Настройка разрешений хранилища SMB

Внимание

Предстоящее изменение в Windows Server, включенное в обновление за апрель 2026 г., заключается в том, что по умолчанию тип шифрования Kerberos изменяется с RC4 на AES-SHA1.

Общие папки, в которых размещаются контейнеры FSLogix, которые не обновляются до AES-SHA1 могут иметь проблемы с доступом после применения этого изменения. Чтобы избежать сбоев, выполните обновление до AES-SHA1 перед установкой обновления.

Клиенты, которые уже обновились до AES-SHA1, не затронуты.

Дополнительные сведения см. в блоге FSLogix: Требуемое действие: ужесточение Windows Kerberos (RC4) может повлиять на профили FSLogix в хранилище SMB.

FSLogix работает с системами хранения SMB для хранения контейнеров Profile или ODFC. Хранилище SMB используется в стандартных конфигурациях, где в VHDLocations указан UNC-путь к местам хранения. Поставщики хранилища SMB также можно использовать в конфигурациях облачного кэша, где CCDLocations используется вместо VHDLocations.

Разрешения хранилища SMB используют традиционные списки контроль доступа NTFS, применяемые на уровне файлов или папок, чтобы обеспечить правильную безопасность хранимых данных. При использовании с Azure Files необходимо включить источник Active Directory (AD), а затем назначить разрешения на уровне доступа к общему ресурсу. Существует два способа назначения разрешений на уровне общего ресурса. Вы можете назначить их определенным пользователям и группам Entra ID, а также всем удостоверениям, прошедшим проверку подлинности, как разрешение уровня общего доступа по умолчанию.

Прежде чем начать

Прежде чем настраивать разрешения хранилища SMB, необходимо сначала создать поставщика хранилища SMB и правильно связаться с правильным центром идентификации для организации и типа поставщика хранилища.

Внимание

Вы должны понимать процессы, требуемые для использования Azure Files или Azure NetApp Files в качестве SMB хранилища в вашей среде.

Файлы Azure

Структура предоставляет начальные понятия, необходимые при использовании Azure Files в качестве поставщика SMB-хранилища. Независимо от выбранной конфигурации Active Directory рекомендуется настроить разрешение уровня общего доступа по умолчанию с помощью участника SMB-ресурсов хранилища файловых данных SMB, который назначается всем удостоверениям, прошедшим проверку подлинности. Чтобы иметь возможность настраивать Windows ACL, убедитесь, что вы назначаете разрешения на уровне общего доступа для конкретных пользователей или групп Entra ID с ролью Повыше́нного Участника Доступа к Файловым Данных Хранилища SMB, и проверьте Настройку разрешений на уровне каталога и файлов через SMB.

  1. Создайте файловое хранилище SMB Azure.

Azure NetApp Files

Azure NetApp Files зависит исключительно от ACL Windows.

  1. Создайте учетную запись NetApp.
  2. Ознакомьтесь с рекомендациями по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files.
  3. Создайте пул емкости для Azure NetApp Files.
  4. Создайте том SMB для Azure NetApp Files.

Настройте ACL Windows

Windows ACL(s) важно настроить правильно, чтобы только пользователь (CREATOR OWNER) получил доступ к каталогу профилей или файлу VHD(x). Кроме того, необходимо убедиться, что любые другие административные группы имеют полный контроль с точки зрения работы. Эта концепция называется доступом на основе учетных записей пользователей и является рекомендуемой конфигурацией.

Любой общий файловый ресурс SMB имеет набор ACL по умолчанию. Эти примеры являются тремя (3) наиболее распространенными типами общих папок SMB и их ACL по умолчанию.

Списки управления доступом файлового сервера Azure Files Azure NetApp Files
ACL файлового сервера Файлы Azure общий доступ к ACL ACL для Azure NetApp Files

Внимание

Применение ACL к общим папкам Azure может потребовать одного (1) из двух (2) методов:

  1. Предоставьте пользователю или группе роль Storage File Data SMB Share Elevated Contributor в учётной записи хранилища или системе контроля доступа к общей папке (IAM).
  2. Подключите файловый ресурс с помощью ключа учетной записи хранения.

Так как есть проверки доступа на двух уровнях (уровень общего доступа и уровень файла или каталога), применение ACL ограничено. Только пользователи, обладающие ролью повышенного участника SMB-поделенного доступа к данным файлов хранилища, могут назначать разрешения на корневой каталог файлового общего ресурса или на другие файлы и каталоги без использования ключа учетной записи хранения. Для назначения любых других разрешений для файлов и каталогов сначала требуется подключение к общему ресурсу с использованием ключа учетной записи хранения.

В таблице описаны рекомендуемые ACL, которые необходимо настроить.

Главный объект Доступ Относится к Описание
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Изменить (чтение и запись) Только вложенные папки и файлы Гарантирует, что каталог профилей, созданный пользователем, имеет правильные разрешения только для этого пользователя.
CONTOSO\Domain Admins Полный доступ Эта папка, её вложенные папки и файлы Замените группой вашей организации, используемой для административных целей.
CONTOSO\Пользователи домена Изменить (чтение и запись) Только эта папка Позволяет авторизованным пользователям создавать каталог профилей. Замените пользователей организации, которым требуется доступ к созданию профилей.

Применение ACL Windows с помощью icacls

Используйте следующую команду Windows, чтобы настроить рекомендуемые разрешения для всех каталогов и файлов в общей папке, включая корневой каталог.

Примечание.

Не забудьте заменить значения заполнителей в примере собственными значениями.

icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)

Дополнительные сведения об использовании icacls для задания ACL Windows и различных типов поддерживаемых разрешений см. в справочнике командной строки для icacls.

Примените списки управления доступом (ACL) Windows с помощью Проводника Windows

Используйте Проводник Windows, чтобы применить рекомендуемые разрешения ко всем каталогам и файлам в файловом общем ресурсе, включая корневую директорию.

  1. Откройте Проводник Windows и перейдите к корню общей папки.

  2. Щелкните правой кнопкой мыши открытую область на правой панели и выберите пункт "Свойства".

  3. Выберите вкладку Безопасность.

  4. Выберите Дополнительно.

  5. Выберите "Отключить наследование".

    Примечание.

    При появлении запроса удалите унаследованные разрешения вместо копирования

  6. Выберите Добавить.

  7. Выберите "Выбрать главного".

  8. Введите "CREATOR OWNER" и выберите Проверить имя, затем ОК.

  9. Для параметра "Применимо к:", выберите "Только подпапки и файлы".

  10. Для параметра "Основные разрешения:" выберите "Изменить".

  11. Нажмите ОК.

  12. Повторите шаги 6 – 11 на основе рекомендуемых ACL.

  13. Нажмите кнопку "ОК" и "ОК", чтобы завершить применение разрешений.

    Обозреватель рекомендуемых разрешений

Применение Windows ACL с помощью конфигурации SIDDirSDDL

В качестве альтернативы, FSLogix предоставляет параметр конфигурации, который задает списки управления доступом (ACL) Windows в директории во время процесса создания. Параметр конфигурации SIDDirSDDL принимает строку SDDL, которая определяет ACL(s) для применения к каталогу после его создания.

Создание строки SDDL

  1. Создайте папку Test в общей папке SMB.

    тестовая папка

  2. Измените разрешения, чтобы они соответствовали потребностям вашей организации.

    Разрешения sddl

  3. Откройте терминал PowerShell.

  4. Введите Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl.

    sddl PowerShell

  5. Скопируйте выходные данные в Блокнот.

  6. Замените O:BAG на O:%sid% (устанавливает SID пользователя в качестве владельца папки).

  7. Замените (A;OICIIO;0x1301bf;;;CO) на (A;OICIIO;0x1301bf;;;%sid%) (предоставляет идентификатору безопасности пользователя права на изменение всех элементов).

  8. В конфигурации FSLogix примените параметр SIDDirSDDL.

    • Имя значения: SIDDirSDDL
    • Тип значения: REG_SZ
    • Значение: O:%sid%G:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)

  9. При первом входе пользователя их каталог создается с этими разрешениями.

  • Last updated on