設定SMB記憶體許可權
FSLogix 可與 SMB 記憶體系統搭配運作,以儲存配置檔或 ODFC 容器。 SMB 記憶體用於標準組態,其中 VHDLocations 會保存記憶體位置的 UNC 路徑。 SMB 記憶體提供者也可用於使用 CCDLocations 而不是 VHDLocations 的雲端快取組態。
SMB 記憶體許可權依賴在檔案或資料夾層級套用的傳統NTFS 存取控制清單 (ACL),以確保儲存資料的適當安全性。 搭配 Azure 檔案儲存體 使用時,您必須啟用 Active Directory (AD) 來源,然後將共用層級許可權指派給資源。 您可以透過兩種方式來指派共用層級權限。 您可以將他們指派給 特定的 Entra ID 使用者/群組,並將它們指派給所有已驗證的身分識別作為 預設共享層級許可權。
開始之前
設定 SMB 記憶體許可權之前,您必須先建立 SMB 記憶體提供者,並適當地與組織的正確身分識別授權單位和記憶體提供者類型產生關聯。
重要
您必須瞭解在環境中使用 Azure 檔案儲存體 或 Azure NetApp Files for SMB 記憶體所需的程式。
Azure 檔案
大綱提供使用 Azure 檔案儲存體 作為SMB記憶體提供者時所需的初始概念。 不論選取的 Active Directory 組態為何,建議使用記憶體檔案數據 SMB 共用參與者來設定預設共用層級許可權,這會指派給所有已驗證的身分識別。 若要能夠設定 Windows ACL(s),請確定您使用記憶體檔案資料 SMB 共用提升參與者角色指派特定 Entra ID 使用者或群組的共用層級許可權,並檢閱透過 SMB 設定目錄和檔案層級許可權。
Azure NetApp Files
Azure NetApp Files 完全依賴 Windows ACL(s)。
- 建立 NetApp 帳戶。
- 瞭解 Azure NetApp Files Active Directory 網域服務 網站設計和規劃的指導方針。
- 建立 Azure NetApp Files 的容量集區。
- 建立適用於 Azure NetApp Files 的 SMB 磁碟區。
設定 Windows ACL(s)
Windows ACL(s) 對於正確設定很重要,因此只有使用者 (CREATOR OWNER) 才能存取其配置檔目錄或 VHD(x) 檔案。 此外,您必須確保任何其他系統管理群組都從操作的觀點來看具有「完全控制」。 這個概念稱為使用者型存取,而且是建議的組態。
任何SMB檔案共用都有一組預設的 ACL(s)。 這些範例是三種最常見的SMB檔案共享類型,以及其預設 ACL。
檔案伺服器 ACL(s) | Azure 檔案儲存體 共用 ACL(s) | Azure NetApp Files ACL(s) |
重要
將 ACL 套用至 Azure 檔案共用 可能需要兩個 (2) 方法的一個 (1) 個:
- 在記憶體帳戶或檔案共用 存取控制 (IAM) 上,提供具有記憶體檔案數據 SMB 共用提升參與者角色的使用者或群組。
- 使用記憶體帳戶金鑰掛接檔案共用。
因為有兩個層級的存取檢查(共享層級和檔案/目錄層級),因此套用 ACL(s) 會受到限制。 只有具有 記憶體檔案數據 SMB 共用提升 參與者角色的使用者,才能指派檔案共用根目錄或其他檔案或目錄的許可權,而不需使用記憶體帳戶密鑰。 所有其他檔案/目錄權限指派都需要先使用記憶體帳戶金鑰連線到共用。
建議的 ACL(s)
下表概述要設定的建議 ACL(s)。
主體 | 存取 | 適用於 | 描述 |
---|---|---|---|
CREATOR OWNER | 變更 (讀取/寫入) | 子資料夾及檔案 | 確保使用者所建立的配置檔目錄只有該用戶的正確許可權。 |
CONTOSO\Domain Admins | 完全控制 | 這個資料夾、子資料夾及檔案 | 將取代為用於系統管理用途的組織群組。 |
CONTOSO\Domain Users | 變更 (讀取/寫入) | 只有這個資料夾 | 可讓授權的使用者建立其配置檔目錄。 將取代為需要建立配置檔存取權的組織使用者。 |
使用 icacls 套用 Windows ACL(s)
使用下列 Windows 命令來設定 檔案共用下所有目錄和檔案的建議 許可權,包括根目錄。
注意
請記得使用您自己的值取代預留位置值。
icacls \\contosoanf-1408.contoso.com\fsl-profiles /inheritance:r
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CREATOR OWNER":(OI)(CI)(IO)(M)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Admins":(OI)(CI)(F)
icacls \\contosoanf-1408.contoso.com\fsl-profiles /grant:r "CONTOSO\Domain Users":(M)
如需如何使用 icacls 來設定 Windows ACL 和不同類型支援許可權的詳細資訊, 請參閱 icacls 的命令行參考。
使用 Windows 檔案總管套用 Windows ACL
使用 Windows 檔案總管,將建議的許可權套用至檔案共用下的所有目錄和檔案,包括根目錄。
開啟 Windows 檔案總管 至檔案共用的根目錄。
在右窗格的 開啟區域中 按下滑鼠右鍵,然後選取 [ 屬性]。
選取安全性索引標籤。
選取進階。
選取 [ 停用繼承]。
注意
如果出現提示,請移除繼承的許可權,而不是複製
選取 [新增]。
選取 [選取主體]。
輸入 「CREATOR OWNER」,然後選取 [檢查名稱],然後選取 [確定]。
針對 [適用於:'],選取 [僅限子資料夾和檔案]。
針對 [基本許可權:],選取 [修改]。
選取 [確定]。
根據建議的 ACL 重複步驟 6 - 11。
再次選取 [確定] 和 [確定],以完成套用許可權。
使用 SIDDirSDDL 組態套用 Windows ACL(s)
或者,FSLogix 提供組態設定,可在建立程式期間於目錄上設定 Windows ACL。 SIDDirSDDL 組態設定接受 SDDL 字串串,定義在建立時要套用至目錄的 ACL(s)。
建立 SDDL 字串
在 SMB 檔案共用上建立 'Test' 資料夾。
修改許可權以符合您的組織。
開啟 PowerShell 終端機。
輸入
Get-Acl -Path \\contosoanf-1408.contoso.com\fsl-profiles\Test | Select-Object Sddl
。將輸出複製到 [記事本]。
將取代
O:BAG
為 (將使用者的 SID 設定為資料夾擁有者)。O:%sid%
將取代
(A;OICIIO;0x1301bf;;;CO)
為(A;OICIIO;0x1301bf;;;%sid%)
(將使用者的 SID 修改許可權提供給所有專案)。在您的 FSLogix 設定中,套用 SIDDirSDDL 設定。
- 數值名稱: SIDDirSDDL
- 實值類型: REG_SZ
- 值:
O:%sid%G:DUD:PAI(A;OICIIO;0x1301bf;;;%sid%)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-3260294598-3507968424-1365985680-2602)
當使用者第一次登入時,會使用這些許可權建立其目錄。