前言
在文章
雲存儲網關結合Active Directory服務搭建Windows檔案共享伺服器中,筆者已經對如何利用雲存儲網關結合AD服務搭建檔案共享伺服器做了一個初步的介紹,包括雲存儲網關的一些基本操作,AD服務相關的配置,以及Windows用戶端對權限的驗證等。文章也提到了前文中的方法對某個使用者的權限配置是在共享級别的粒度控制,也就是說單個使用者對共享裡面所有的檔案和檔案夾都具有同樣的權限。如果想要讓同一個使用者對不同的檔案夾擁有不同的權限,就需要用到雲存儲網關Windows權限控制相關的功能。筆者将在本篇文章中對雲存儲網關的這一功能做一下詳細的介紹,并展示說明一下相關的配置實踐及注意事項。
Windows權限控制功能是雲存儲網關在1.1.0版本推出的新特性,旨在給使用者提供更加靈活的使用者權限配置,滿足不同使用者的需求,具體來說它能夠允許使用者進行精細到每個檔案或者檔案夾粒度的權限控制,能夠有效的保證資料安全性。對雲存儲網關的SMB共享而言,現在能夠提供多種權限配置的方法供使用者根據自身情況做選擇,這裡我們也做一個簡單的總結,具體如下:
- 檔案共享目錄所有的人可見,這種情況建立完共享目錄之後不需要進行任何權限配置。
- 檔案共享目錄對部分人可以,能夠接受為這部分人建立新的SMB使用者并進行權限配置,單個使用者對共享目錄的權限隻有三種情況:讀寫權限、隻讀權限、無權限。具體可以參見 利用雲存儲網關在Windows上挂載OSS 這篇文章的權限管理那一部分。
- 檔案共享目錄對部分人可見,并且想利用AD域裡面的賬号進行權限配置,單個使用者對共享目錄的權限也是隻需要讀寫、隻讀和無權限其中的一種。這條其實和上一條很類似,不同的是和AD域服務進行了結合。具體的話可以參見筆者的上一篇文章 。
- 如果共享級别的權限設定無法滿足客戶的需求,客戶需要的是能夠對同一使用者在不同檔案夾或檔案上配置不同的權限。這個就需要本文中提到的Windows權限控制相關功能了,接下來我們就去體驗一下該功能。
準備工作
Windows權限控制功能是需要結合AD域服務一起使用的,是以前期的準備工作就是要将檔案網關加入到AD域,具體步驟見上一篇文章,這裡跳過具體的操作步驟,下圖是已經配置好DNS和AD域相關資訊之後的截圖。
接下來就是建立SMB檔案共享了,這裡需要注意的是“Windows權限支援”和“基于通路權限的枚舉”這兩個選項。“Windows權限支援”就是對應于這裡說的Windows權限控制的功能,是以是要勾選上的。“基于通路權限的枚舉”是說可以對通路者隐藏沒有通路權限的檔案夾和檔案,進而做到進一步的隔離。
下圖是已經建立好的用來操作的共享,這裡沒有啟用基于通路權限的枚舉這一選項。
使用者權限配置
共享建立成功之後,接下來就可以使用啦。前面筆者沒有通過阿裡雲控制台配置任何的權限,因為接下來我們可以通過右鍵對單個檔案夾和檔案進行權限設定了。首先登入一台在域裡面的機器,筆者的用戶端是Windows 2012 R2,剛開始這個檔案夾肯定是可以通路的啦,畢竟沒有設定任何權限。目前我們是以非管理者賬号user2登入的,嘗試建立了一個檔案夾,完全沒有任何問題。
右鍵這個檔案夾安全->進階就可以看到目前這個目錄的具體的權限配置資訊。user2是目前檔案夾的所有者,是以他對這個檔案夾有完全的控制權限。“Domain Users"是user2所在的使用者組,對目前檔案夾擁有讀和執行的權限,Everyone具有相同的權限配置。“CREATOR OWNER”和“CREATOR GROUP“是會被子檔案夾和子檔案繼承的權限,指建立出來的子檔案或者檔案夾的預設所有者以及對應組的權限。
是以目前這個建立的檔案夾對域裡面的其它使用者而言還是有讀權限的。接下來會示範如何對這個檔案夾進行設定,讓這個檔案夾隻能被user2通路。很自然的做法是隻要将Everyone和“Domain Users”這兩個組的權限删除掉就好了。不過報錯了!
這是因為這倆權限實際上是從父目錄繼承下來的,是以我們需要首先禁止掉目前檔案夾的繼承功能,并将目前繼承的權限控制條目轉為非繼承的。
接下來就可以删除這兩個權限了,這次選中再删除就不會報錯啦。現在user2這個檔案夾隻有user2有權限可以通路了,“CREATOR OWNER”和“CREATOR GROUP“是會被子檔案夾和子檔案繼承的權限,可以留着。試一下,使用者user2在目前檔案夾下建立子檔案夾和檔案完全沒有問題。
接下來我們切換成域裡的另一個使用者user1,嘗試登入看看有沒有什麼不同。禁止通路!
用同樣的步驟,我們可以再建立一個user1的目錄,并配置成這個檔案夾隻有user1可以通路。這樣我們共享裡面的兩個檔案夾就可以分别給不同的使用者使用了,權限上做到了隔離,安全性有了保障。
通過前面的例子我們做到了在共享裡面建立了兩個檔案夾,并且兩個不同的使用者對這兩個檔案夾具有不同的控制權限。雖然前面的例子比較簡單,但是它展示了如何對檔案夾和檔案配置權限的完整過程。使用者可以根據自己的選擇将某個檔案夾授予給更多的使用者或者使用者組,隻需要右鍵安全->編輯對某個檔案夾添加新的使用者即可。
如果需要新使用者也具有完整的控制權限,需要将下列選項都勾選上。
Windows權限控制的權限控制粒度非常的細緻,前面的例子雖然很簡單,但是已經能夠做到對不同檔案夾配置不同的讀寫權限,對大部分人來說已經足夠使用了。
基于通路權限的控制
在前面建立SMB共享的時候,我們提到過和Windows權限控制功能相關的選項有兩個。一個是啟用Windows權限控制,這個比較好了解并且我們前面介紹的内容都是和這個相關的。另一個就是基于通路權限的控制。在前面我們發現了即使user1對user2的檔案夾完全沒有權限,但是這個檔案夾還是能夠被看到,隻是在嘗試點選這個檔案夾的時候才會報錯。如果我們想隐藏完全沒有權限的檔案夾,隻看到自己有權限進行操作的檔案和檔案夾應該怎麼辦呢?這個時候“基于通路權限的控制”這個功能就能派上用場了,我們對前面的共享打開這個功能,然後再以user1登陸,看看發生了什麼。
user1沒有權限通路的user2檔案夾消失啦,是以相信大家已經明白了這個選項該如何使用了吧。因為Windows會緩存一部分資訊,是以在共享頁面打開這個選項後,有時候需要等一會兒才能看到視圖的變化,筆者這裡也是等了一小會兒才看到user2這個檔案夾的消失。是以在切換這個選項的時候,大家如果還是能看到不想看到的檔案夾或者檔案,請不要着急,稍等一會兒。
注意事項
最後這裡也提下使用雲存儲網關Windows權限控制功能的一些關鍵點,具體可見雲存儲網關的幫助文檔。
啟用Windows權限控制時,檔案或檔案夾的權限資訊儲存在其對應OSS對象的中繼資料中。
對于每個檔案或者檔案夾,建議不要設定超過10條通路控制條目。
SMB檔案共享的根目錄的預設權限為所有人可以完全通路。建議您不要修改根目錄的權限,而是對根目錄下的頂級檔案夾進行設定。根目錄的權限隻儲存在網關本地。無法儲存在OSS對象中。
使用者設定AD資訊時輸入的管理者賬号仍然擁有管理者權限,可以通路所有共享裡面的檔案夾和檔案。是以在權限配置有誤的時候,可以使用管理者賬号重新設定。
總結
Windows權限控制功能是雲存儲網關新推出的功能,能夠讓使用者做到在共享内的檔案夾和檔案上進行精細的權限控制,進而滿足不同的使用者需求。本文通過具體的例子展示了如何在網關上啟用該功能和如何在Windows用戶端上進行權限設定的詳細步驟。