Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
适用于: ✔️ SMB 文件共享
必须先将共享级别权限分配给具有Azure基于角色的访问控制(RBAC)的标识,然后才能配置目录级和文件级权限。 共享级权限传播后,可以配置Windows访问控制列表(ACL),也称为 NTFS 权限,如本文所述。
在配置 Windows ACL 之前,需要装载具有管理员级访问权限的文件共享。
重要
若要为hybrid 标识配置 Windows ACL,您需要一台运行 Windows 的客户端计算机,该计算机具有与域控制器无阻碍的网络连接。
如果使用 Active Directory 域服务 (AD DS) 或 Microsoft Entra Kerberos 对 Azure 文件存储 的混合身份进行身份验证,则需要与本地 Active Directory 保持不受阻碍的网络连接。 如果使用Microsoft Entra 域服务,则客户端计算机必须对Microsoft Entra 域服务管理的域的域控制器进行未限制的网络连接。 这些域控制器位于Azure中。
Azure RBAC 和 Windows ACL 如何协同工作
共享级别权限(RBAC)充当高级守护程序,用于确定用户是否可以访问共享。 Windows ACL(NTFS 权限)在更精细的级别运行,以控制用户可以在目录或文件级别执行的操作。 可以在根、目录或文件级别设置Windows ACL。
当用户尝试访问文件或目录时,将强制实施共享级别、文件级和目录级权限。 如果它们之间存在差异,则仅应用限制性最大的一个。
例如,如果用户在文件级别具有读/写访问权限,但只有共享级别的读取访问权限,则只能读取该文件。 如果权限被撤消,则应用相同的规则:如果用户在共享级别具有读/写访问权限,但只有文件级别的读取访问权限,则他们仍只能读取文件。
下表显示了共享级别权限和Windows ACL 如何协同工作,以确定对Azure 文件存储中的文件或目录的访问权限。
| 无 RBAC 角色 | RBAC - SMB 共享读取器 | RBAC - SMB 共享贡献者 | RBAC - SMB 共享高级贡献者 | |
|---|---|---|---|---|
| NTFS - 无 | 访问被拒绝 | 访问被拒绝 | 访问被拒绝 | 访问被拒绝 |
| NTFS - 读取 | 访问被拒绝 | 读取 | 读取 | 读取 |
| NTFS - 读取和执行 | 访问被拒绝 | 读取 | 读取 | 读取 |
| NTFS - 列表文件夹 | 访问被拒绝 | 读取 | 读取 | 读取 |
| NTFS - 写入 | 访问被拒绝 | 读取 | 读取和写入 | 读取和写入 |
| NTFS - 修改 | 访问被拒绝 | 读取 | 读取、写入、删除 | 读取、写入、删除、将权限应用于自己的文件夹/文件 |
| NTFS - 完整 | 访问被拒绝 | 读取 | 读取、写入、删除 | 读取、写入、删除、对他人文件夹/文件应用权限 |
注意
获取 ACL 配置的文件夹或文件的所有权需要额外的 RBAC 权限。 通过使用 SMB 管理员的 Windows 权限模型,可以通过分配内置 RBAC 角色 Storage 文件数据 SMB 管理员来授予此权限。此角色包括 takeOwnership 权限。
支持的 Windows ACL
Azure 文件存储支持整套基本和高级Windows ACL。
| 用户 | 定义 |
|---|---|
BUILTIN\Administrators |
代表文件服务器的管理员的内置安全组。 对于Azure 文件存储,此组为空,无法将其添加到其中。 |
BUILTIN\Users |
表示文件服务器用户的内置安全组。 默认情况下,它包括 NT AUTHORITY\Authenticated Users。 对于传统的文件服务器,可以为每个服务器配置成员身份定义。 对于Azure 文件存储,没有托管服务器,因此BUILTIN\Users包含与 NT AUTHORITY\Authenticated Users 相同的用户组。 |
NT AUTHORITY\SYSTEM |
文件服务器操作系统的服务帐户。 此服务帐户不适用于Azure 文件存储上下文。 它包含在根目录中,以便与混合方案的Windows文件服务器体验保持一致。 |
NT AUTHORITY\Authenticated Users |
Active Directory中可以获取有效 Kerberos 票证的所有用户。 |
CREATOR OWNER |
对象所有者。 每个对象(目录或文件)都有一个所有者。 如果将 ACL 分配给 CREATOR OWNER 某个对象,则作为对象的所有者的用户具有对该对象的 ACL 定义权限。 |
文件共享的根目录包含以下权限:
BUILTIN\Administrators:(OI)(CI)(F)BUILTIN\Users:(RX)BUILTIN\Users:(OI)(CI)(IO)(GR,GE)NT AUTHORITY\Authenticated Users:(OI)(CI)(M)NT AUTHORITY\SYSTEM:(OI)(CI)(F)NT AUTHORITY\SYSTEM:(F)CREATOR OWNER:(OI)(CI)(IO)(F)
有关这些权限的详细信息,请参阅 icacls 的命令行参考。
使用管理员级访问权限装载文件共享
在配置 Windows ACL 之前,请装载具有管理员级访问权限的文件共享。 可以采用两种方法:
使用 Windows 权限模型管理 SMB 管理员(推荐):分配内置的 RBAC 角色 Storage File Data SMB Admin。此角色包含配置 ACL 所需的用户权限。 然后使用 基于标识的身份验证 并配置 ACL 来装载文件共享。 此方法更安全,因为它不需要存储帐户密钥来装载文件共享。
使用存储帐户密钥(不太安全):使用存储帐户密钥装载文件共享,然后配置 ACL。 存储帐户密钥是敏感凭据。 出于安全原因,仅当无法使用基于标识的身份验证时,才使用此选项。
如果用户具有完全控制 ACL 和 Storage 文件数据 SMB 共享高级贡献者角色(或具有所需权限的自定义角色),则可以在不使用 SMB 管理员或存储帐户密钥 Windows 权限模型的情况下配置 ACL。
使用 Windows 权限模型来管理 SMB 管理员
请使用 Windows 权限模型来替代存储帐户密钥进行 SMB 管理。 此功能使你可以向用户分配内置的 RBAC 角色 存储文件数据 SMB 管理员 ,以便他们可以获取文件或目录的所有权来配置 ACL。
如果在目标文件或目录的 ACL 中未授予标识适当的权限(例如修改或完全控制),则存储文件数据 SMB 管理 RBAC 角色不会将标识的直接访问权限授予该文件或目录。 但是,具有存储文件数据 SMB 管理员 RBAC 角色的标识可以使用 Windows takeown 命令获取目标文件或目录的所有权,然后修改 ACL 以授予适当的访问权限。
存储文件数据 SMB 管理员 RBAC 角色包含以下三个数据操作:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/takeOwnership/action
若要为 SMB 管理员使用Windows权限模型,请执行以下步骤:
将 存储文件数据 SMB 管理员 RBAC 角色分配给配置 ACL 的用户。 有关如何分配角色的说明,请参阅使用 Azure 门户分配Azure角色。
让用户使用其域标识装载文件共享。 只要为存储帐户配置了基于 identity 身份验证,就可以在不使用存储帐户密钥的情况下装载共享并配置和编辑Windows ACL。
登录到已加入域的设备或具有畅通无阻网络连接到域控制器的设备。 如果您的身份源是 Microsoft Entra 域服务,请以 Microsoft Entra 用户身份登录。
通过运行以下命令打开Windows命令提示符并装载文件共享。 将
<YourStorageAccountName>和<FileShareName>替换为自己的值。 如果驱动器 Z 已在使用中,请将其替换为可用的驱动器号。使用
net use命令在此阶段挂载共享,而不要使用 PowerShell。 如果使用 PowerShell 装载共享,则Windows文件资源管理器或 cmd.exe看不到该共享,并且很难配置Windows ACL。net use Z: \\<YourStorageAccountName>.file.core.chinacloudapi.cn\<FileShareName>
使用存储帐户密钥装载文件共享(不建议)
警告
如果可能,请使用 SMB 管理员的 Windows 权限模型装载共享,而不是使用存储帐户密钥。
登录到已加入域的设备或具有畅通无阻网络连接到域控制器的设备。 如果您的身份源是 Microsoft Entra 域服务,请以 Microsoft Entra 用户身份登录。
打开Windows命令提示符,并通过运行以下命令装载文件共享。 将 、 和 替换为自己的值<YourStorageAccountName><FileShareName><YourStorageAccountKey>。 如果驱动器 Z 已在使用中,请将其替换为可用的驱动器号。 可以通过 Azure 门户进入存储帐户,然后选择 Security + networking>访问密钥找到您的存储帐户密钥,或者可以使用 Get-AzStorageAccountKey PowerShell命令。
使用net use命令在此阶段挂载共享,而不要使用 PowerShell。 如果使用 PowerShell 装载共享,则Windows文件资源管理器或 cmd.exe看不到该共享,并且很难配置Windows ACL。
net use Z: \\<YourStorageAccountName>.file.core.chinacloudapi.cn\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
配置Windows ACL
可以使用 icacls 配置Windows ACL,也可以使用Windows文件资源管理器。 还可以使用 Set-ACL PowerShell 命令。
如果本地文件服务器中有针对 AD DS 标识配置的Windows ACL 的文件,则可以将其复制到 Azure 文件存储,同时使用传统文件复制工具(如 Robocopy 或最新版本的 Azure AzCopy)来保留 ACL。 如果通过 Azure 文件同步 将目录和文件分层到 Azure 文件存储,ACL 将保持其本机格式,并予以保留。
重要
如果使用 Microsoft Entra Kerberos 对混合标识进行身份验证,则必须将混合标识同步到Microsoft Entra ID才能强制实施 ACL。
可以为未同步到Microsoft Entra ID的标识设置文件级和目录级 ACL。 但是,不会强制实施这些 ACL,因为用于身份验证和授权的 Kerberos 票证不包含尚未同步的身份标识。 如果使用本地 AD DS 作为标识源,则可以在 ACL 中包含未同步的标识。 AD DS 将这些安全标识符(SID)置于 Kerberos 票证中,并强制实施 ACL。
使用 Azure 门户配置 Windows ACL
如果将 Entra Kerberos 配置为标识源,则可以使用 Azure 门户为每个 Entra 用户或组配置Windows ACL。
登录到Azure门户。
请前往需要配置 Windows ACL 的文件共享位置。
在服务菜单上,选择“ 浏览”。 如果要在根文件夹中设置 ACL,请从顶部菜单中选择 “管理访问权限 ”。
Azure门户的截图,显示如何管理文件共享的根文件夹的访问权限。
若要为文件或目录设置 ACL,请右键单击文件或目录,然后选择“ 管理访问权限”。
Azure门户的
该窗格显示可用的用户和组。 可以选择性地添加新用户或组。 选择任何用户或组最右侧的铅笔图标,添加或编辑用户或组访问指定文件或目录的权限。
Azure门户的截图,显示了Entra用户和组的列表。
编辑权限。 拒绝始终优先于允许,当两者都设置时。 如果未设置,则继承默认权限。
Azure门户的
选择 “保存” 以设置 ACL。
使用 icacls 配置Windows ACL
若要向文件共享下的所有目录和文件(包括根目录)授予完全权限,请在具有无障碍网络连接到 Active Directory 域控制器的计算机上运行以下 Windows 命令。 请务必将示例中的占位符值替换为你自己的值。 如果标识源Microsoft Entra 域服务,则 <user-upn> 为 <user-email>。
icacls <mapped-drive-letter>: /grant <user-upn>:(f)
有关如何使用 icacls 设置 Windows ACL 和受支持的权限类型的详细信息,请参阅 icacls 的命令行参考。
使用Windows文件资源管理器配置Windows ACL
如果登录到已加入域Windows客户端,可以使用Windows文件资源管理器向文件共享下的所有目录和文件(包括根目录)授予完全权限。
重要
如果客户端未加入域中,或者你的环境有多个 Active Directory 林,请不要使用文件资源管理器配置 ACL。 请改用 icacls。 因为 Windows 文件资源管理器的 ACL 配置要求,客户机必须加入到存储帐户所在的 Active Directory 域,这存在此限制。
若要使用Windows文件资源管理器配置 ACL,请执行以下步骤:
打开Windows文件资源管理器,右键单击文件或目录,然后选择Properties。
选择“安全”选项卡。
选择 “编辑” 以更改权限。
更改现有用户的权限,或选择“ 添加” 以向新用户授予权限。
在提示窗口中添加新用户,输入想要在 “输入对象名称以选中 ”框中授予权限的目标用户名。 若要查找目标用户的完整用户主体名称(UPN),请选择“ 检查名称”。
您可能需要为本地部署的 Active Directory 指定域名和域 GUID。 可以从域管理员或已加入本地 Active Directory的客户端获取此信息。
选择“确定”。
在“ 安全 ”选项卡上,选择要授予新用户的所有权限。
选择“应用”。