阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile

本文介紹兩個經典的AD/ACL使用場景：Home Directory以及User Profile。

說明 AD/ACL功能預設關閉，有需要的使用者請提請

工單 打開該功能。

1. Home Directory

AD管理者可以給域使用者設定登入即可見的檔案卷。每個使用者登入後可以看到自己的檔案夾，可以把個人檔案放在上面進行長久儲存。除了管理者以外的其他使用者沒有權限進入該檔案夾。

1.1. 示例

1.1.1. 給NAS SMB檔案卷添加AD域路徑

參考

安裝并啟用Active Directory域服務與DNS服務

。

NAS SMB檔案卷的路徑必須變成AD域路徑，否則Home Directory在使用者登入時會出現加載失敗。

需要在DNS伺服器中添加一條CNAME别名把挂載點映射到AD域路徑：

1.1.2 注冊NAS檔案系統挂載點AD域内域名

1.1.3. 檔案卷上建立使用者目錄

在AD域伺服器上挂載通過mklink方式挂載NAS SMB檔案卷。然後給使用者cat建立一個cat檔案夾，cat擁有全部權限：

1.1.4. 将使用者目錄設定為使用者Profile path

在AD管理器（ADAC）上輕按兩下選擇該使用者，然後選擇Profile設定Home Folder：

1.1.5. 使用者登入即可見到自己的檔案夾已經自動挂載

用cat登入之後即可看到檔案卷已挂載，并且指向自己的檔案夾：

用類似手法給使用者kid設定檔案夾，然後用kid登入，看到的是kid的檔案夾：

如果同一台客戶機上有mklink的方式建立的c:\myshare檔案卷映射，當進入c:\myshare時，cat無法進入kid的檔案夾：

2. User Profile

與上面的操作非常類似，我們還可以對使用者設定配置檔案路徑（Profile Path）到NAS SMB卷。設定之後使用者登入時，該檔案卷位置就會出現一個使用者名.V2（或者V6）的檔案夾，使用者登出再登入之後，檔案夾就會有一份該使用者在該機器下的配置的拷貝。

使用者名.V2 (V6)目錄

V2目錄内容

值得注意的是預設情況下Profile功能隻是在使用者登出時對配置檔案進行備份，下次登入時讀取，中間的修改不會随時儲存。管理者也可以配置其他的同步規則，具體可以參考：

https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/folder-redirection-rup-overview#always-offline-mode

阿裡雲檔案存儲AD/ACL相關文章

1. 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ，總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。

2. Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援 ，介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。

3. ，介紹如何在VPC中安裝并啟用AD域服務和DNS服務。

4. 将Windows系統機器加入AD域 ，介紹如何将windows機器加入AD域。

5. 将阿裡雲SMB協定檔案系統挂載點接入AD域 ，介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。

6. 從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。

7. 從LinuxAD以域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。

8. 阿裡雲SMB協定檔案系統ACL權限控制使用指南 ，介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。

9. 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ，介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。