Delen via

Map- en bestandsmachtigingen configureren voor Azure-bestandsshares

  • Artikel

Voordat u aan dit artikel begint, moet u machtigingen op shareniveau toewijzen aan een identiteit lezen om ervoor te zorgen dat uw machtigingen op shareniveau zijn ingesteld met op rollen gebaseerd toegangsbeheer (RBAC) van Azure.

Nadat u machtigingen op shareniveau hebt toegewezen, kunt u Toegangsbeheerlijsten (ACL's) van Windows configureren, ook wel NTFS-machtigingen genoemd, op het niveau van de hoofdmap, map of bestand. Hoewel machtigingen op shareniveau fungeren als een gatekeeper op hoog niveau die bepaalt of een gebruiker toegang heeft tot de share, werken Windows ACL's op een gedetailleerder niveau om te bepalen welke bewerkingen de gebruiker op map- of bestandsniveau kan uitvoeren.

Machtigingen op shareniveau en bestand/mapniveau worden afgedwongen wanneer een gebruiker probeert toegang te krijgen tot een bestand/map. Als er een verschil is tussen beide, wordt alleen het meest beperkende toegepast. Als een gebruiker bijvoorbeeld lees-/schrijftoegang heeft op bestandsniveau, maar alleen kan lezen op shareniveau, dan kunnen ze dat bestand alleen lezen. Hetzelfde geldt als het omgekeerd is: als een gebruiker lees-/schrijftoegang had op shareniveau, maar alleen op bestandsniveau kan lezen, kunnen ze het bestand nog steeds alleen lezen.

Belangrijk

Als u Windows ACL's wilt configureren, hebt u een clientcomputer met Windows nodig met een niet-gempte netwerkverbinding met de domeincontroller. Als u verificatie uitvoert met Azure Files met behulp van Active Directory-domein Services (AD DS) of Microsoft Entra Kerberos voor hybride identiteiten, betekent dit dat u geen beperkte netwerkconnectiviteit met de on-premises AD nodig hebt. Als u Microsoft Entra Domain Services gebruikt, moet de clientcomputer een niet-gempte netwerkverbinding hebben met de domeincontrollers voor het domein dat wordt beheerd door Microsoft Entra Domain Services, die zich in Azure bevinden.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Ja Nee
Standaardbestandsshares (GPv2), GRS/GZRS Ja Nee
Premium bestandsshares (FileStorage), LRS/ZRS Ja Nr.

Ondersteunde Windows ACL's

Azure Files ondersteunt de volledige set basis- en geavanceerde Windows-ACL's.

Gebruikers Definitie
BUILTIN\Administrators Ingebouwde beveiligingsgroep die beheerders van de bestandsserver vertegenwoordigt. Deze groep is leeg en niemand kan eraan worden toegevoegd.
BUILTIN\Users Ingebouwde beveiligingsgroep die gebruikers van de bestandsserver vertegenwoordigt. Deze bevat NT AUTHORITY\Authenticated Users standaard. Voor een traditionele bestandsserver kunt u de lidmaatschapsdefinitie per server configureren. Voor Azure Files is er geen hostingserver, dus BUILTIN\Users bevat dezelfde set gebruikers als NT AUTHORITY\Authenticated Users.
NT AUTHORITY\SYSTEM Het serviceaccount van het besturingssysteem van de bestandsserver. Dit serviceaccount is niet van toepassing in de Context van Azure Files. Het is opgenomen in de hoofdmap om consistent te zijn met windows Files Server-ervaring voor hybride scenario's.
NT AUTHORITY\Authenticated Users Alle gebruikers in AD die een geldig Kerberos-token kunnen krijgen.
CREATOR OWNER Elk object, map of bestand, heeft een eigenaar voor dat object. Als er ACL's zijn toegewezen aan CREATOR OWNER dat object, heeft de gebruiker die de eigenaar van dit object is de machtigingen voor het object dat is gedefinieerd door de ACL.

De volgende machtigingen zijn opgenomen in de hoofdmap van een bestandsshare:

  • BUILTIN\Administrators:(OI)(CI)(F)
  • BUILTIN\Users:(RX)
  • BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
  • NT AUTHORITY\Authenticated Users:(OI)(CI)(M)
  • NT AUTHORITY\SYSTEM:(OI)(CI)(F)
  • NT AUTHORITY\SYSTEM:(F)
  • CREATOR OWNER:(OI)(CI)(IO)(F)

Zie de opdrachtregelverwijzing voor icacls voor meer informatie over deze geavanceerde machtigingen.

Hoe het werkt

U kunt op twee manieren Windows ACL's configureren en bewerken:

  • Meld u elke keer aan met de sleutel van de gebruikersnaam en het opslagaccount: Wanneer u ACL's wilt configureren, koppelt u de bestandsshare met behulp van uw opslagaccountsleutel op een computer met een niet-gempte netwerkverbinding met de domeincontroller.

  • Eenmalige installatie van gebruikersnaam/opslagaccountsleutel:

Notitie

Deze installatie werkt voor zojuist gemaakte bestandsshares omdat een nieuw bestand/map de geconfigureerde hoofdmachtiging overneemt. Voor bestandsshares die samen met bestaande ACL's zijn gemigreerd of als u een on-premises bestand/map migreert met bestaande machtigingen in een nieuwe bestandsshare, werkt deze benadering mogelijk niet omdat de gemigreerde bestanden de geconfigureerde basis-ACL niet overnemen.

  1. Meld u aan met een gebruikersnaam en opslagaccountsleutel op een computer met niet-gempte netwerkconnectiviteit met de domeincontroller en geef sommige gebruikers (of groepen) toestemming om machtigingen voor bewerken in de hoofdmap van de bestandsshare te bewerken.
  2. Wijs deze gebruikers de azure RBAC-rol Met verhoogde inzender voor opslagbestandsgegevens voor SMB-share toe.
  3. In de toekomst kunt u, wanneer u ACL's wilt bijwerken, een van deze geautoriseerde gebruikers gebruiken om u aan te melden vanaf een computer met niet-gempte netwerkconnectiviteit met de domeincontroller en ACL's te bewerken.

De bestandsshare koppelen met behulp van uw opslagaccountsleutel

Voordat u Windows ACL's configureert, moet u eerst de bestandsshare koppelen met behulp van uw opslagaccountsleutel. Hiervoor meldt u zich aan bij een apparaat dat lid is van een domein (als Microsoft Entra-gebruiker als uw AD-bron Microsoft Entra Domain Services is), opent u een Windows-opdrachtprompt en voert u de volgende opdracht uit. Vergeet niet om uw eigen waarden te vervangen <YourStorageAccountName>, <FileShareName>en <YourStorageAccountKey> door uw eigen waarden. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. U vindt de sleutel van uw opslagaccount in Azure Portal door naar het opslagaccount te gaan en Beveiligings- en netwerktoegangssleutels> te selecteren, of u kunt de Get-AzStorageAccountKey PowerShell-cmdlet gebruiken.

Het is belangrijk dat u in deze fase de Windows-opdrachtnet use gebruikt om de share te koppelen, en niet PowerShell. Als u PowerShell gebruikt om de share te koppelen, is de share niet zichtbaar voor Windows Bestandenverkenner of cmd.exe en hebt u problemen met het configureren van Windows ACL's.

Notitie

Mogelijk ziet u dat de ACL voor volledig beheer al is toegepast op een rol. Dit biedt doorgaans al de mogelijkheid om machtigingen toe te wijzen. Omdat er echter toegangscontroles zijn op twee niveaus (op shareniveau en op het niveau van het bestand/de map), is dit aan beperkingen onderhevig. Alleen gebruikers met de rol Inzender met verhoogde bevoegdheden voor opslagbestandsgegevens voor SMB-share en een nieuw bestand of een nieuwe map maken, kunnen machtigingen toewijzen voor deze nieuwe bestanden of mappen zonder de sleutel van het opslagaccount te gebruiken. Voor alle overige toewijzingen van bestands-/mapmachtigingen moet eerst verbinding worden gemaakt met de share met behulp van de opslagaccountsleutel.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Windows ACL's configureren

U kunt de Windows ACL's configureren met behulp van icacls of Windows Bestandenverkenner. U kunt ook de PowerShell-opdracht Set-ACL gebruiken.

Als u mappen of bestanden hebt op on-premises bestandsservers met Windows ACL's die zijn geconfigureerd voor de AD DS-identiteiten, kunt u deze kopiƫren naar Azure Files die de ACL's persistent maken met traditionele hulpprogramma's voor bestandskopieƫn, zoals Robocopy of Azure AzCopy v 10.4+. Als uw mappen en bestanden via Azure File Sync worden gelaagd naar Azure Files, worden uw ACL's overgedragen en bewaard in hun eigen indeling.

Belangrijk

Als u Microsoft Entra Kerberos als uw AD-bron gebruikt, moeten identiteiten worden gesynchroniseerd met Microsoft Entra-id om ACL's af te dwingen. U kunt ACL's op bestand-/mapniveau instellen voor identiteiten die niet worden gesynchroniseerd met Microsoft Entra-id. Deze ACL's worden echter niet afgedwongen omdat het Kerberos-ticket dat wordt gebruikt voor verificatie/autorisatie niet de niet-gesynchroniseerde identiteiten bevat. Als u on-premises AD DS als uw AD-bron gebruikt, kunt u geen gesynchroniseerde identiteiten in de ACL's hebben. AD DS plaatst deze SID's in het Kerberos-ticket en ACL's worden afgedwongen.

Windows ACL's configureren met icacls

Als u volledige machtigingen wilt verlenen aan alle mappen en bestanden onder de bestandsshare, met inbegrip van de hoofdmap, voert u de volgende Windows-opdracht uit vanaf een computer die geen netwerkverbinding met de AD-domeincontroller heeft. Vergeet niet om de waarden van de tijdelijke aanduidingen in het voorbeeld te vervangen door uw eigen waarden. Als uw AD-bron Microsoft Entra Domain Services is, is <user-email>dat <user-upn> .

icacls <mapped-drive-letter>: /grant <user-upn>:(f)

Zie de opdrachtregelnaslaginformatie voor icacls voor meer informatie over het gebruik van icacls om Windows-ACL's in te stellen en over de verschillende typen ondersteunde machtigingen.

Windows ACL's configureren met Windows Bestandenverkenner

Als u bent aangemeld bij een Windows-client die lid is van een domein, kunt u Windows Bestandenverkenner gebruiken om volledige machtigingen te verlenen aan alle mappen en bestanden onder de bestandsshare, inclusief de hoofdmap.

Belangrijk

Als uw client geen lid is van een domein of als uw omgeving meerdere AD-forests heeft, gebruikt u Windows Verkenner niet om ACL's te configureren. Gebruik in plaats daarvan icacls . Dit komt doordat windows Bestandenverkenner ACL-configuratie vereist dat de client lid is van het AD-domein waaraan het opslagaccount is gekoppeld.

Volg deze stappen om ACL's te configureren met Windows Bestandenverkenner.

  1. Open Windows Bestandenverkenner, klik met de rechtermuisknop op het bestand/de map en selecteer Eigenschappen.
  2. Selecteer het tabblad Beveiliging.
  3. Selecteer Bewerken.. om machtigingen te wijzigen.
  4. U kunt de machtigingen van bestaande gebruikers wijzigen of Toevoegen selecteren om machtigingen te verlenen aan nieuwe gebruikers.
  5. Voer in het promptvenster voor het toevoegen van nieuwe gebruikers de doelgebruikersnaam in waarvoor u machtigingen wilt verlenen in het vak De objectnamen invoeren om het selectievakje in te schakelen en selecteer Namen controleren om de volledige UPN-naam van de doelgebruiker te vinden. Mogelijk moet u een domeinnaam en domein-GUID opgeven voor uw on-premises AD. U kunt deze informatie ophalen van uw domeinbeheerder of van een on-premises AD-gekoppelde client.
  6. Selecteer OK.
  7. Selecteer op het tabblad Beveiliging alle machtigingen die u aan uw nieuwe gebruiker wilt verlenen.
  8. Selecteer Toepassen.

Volgende stap

Nu u machtigingen voor mappen en bestanden hebt geconfigureerd, kunt u de bestandsshare koppelen.