Utilizziamo i cookie per migliorare la nostra pagina web. Leggi la nostra Informativa sui cookie .

NAS 471

Introduzione a Windows ACL

Imparare a usare Windows ACL per gestire le autorizzazioni di accesso ai dati sul NAS ASUSTOR.

2024-06-17

OBIETTIVI DEL CORSO

Al termine di questo corso si dovrebbe essere in grado di:

  1. Comprendere i principi di base dell'uso di Windows ACL con il NAS ASUSTOR.
  2. Utilizzare Windows ACL per gestire le autorizzazioni di accesso ai dati sul NAS ASUSTOR.

PREREQUISITI

Prerequisiti del corso:

NAS 106: Usare il NAS con Microsoft Windows

Gli studenti devono avere una conoscenza pratica di:

Cartelle condivisa, Controllo accessi


SCHEMA

1. Introduzione a Windows ACL

1.1 È necessario abilitare l'ACL di Windows?

2. Configurazione di Windows ACL

2.1 Abilitazione dell'ACL di Windows

2.2 Configurazione delle autorizzazioni ACL di Windows con ADM File Explorer

2.3 Configurazione delle autorizzazioni ACL di Windows con Windows Explorer

2.4 Regole e precauzioni per le autorizzazioni ACL di Windows

2.5 Spostare gli oggetti sul NAS mantenendo le autorizzazioni ACL





1. Introduzione a Windows ACL

Le ACL di Windows sono 13 tipi diversi di autorizzazioni per i file progettati da Microsoft per i file system NTFS che possono essere applicati a utenti e gruppi specifici. All'interno di questo tipo di infrastruttura, gli amministratori possono configurare in modo più dettagliato e preciso i permessi di accesso.

Inoltre, nell'infrastruttura di dominio Windows AD (ampiamente utilizzata dalle aziende), le autorizzazioni Windows ACL possono essere applicate a tutti gli utenti e gruppi del dominio. Gli utenti possono utilizzare qualsiasi computer della rete per accedere e, finché utilizzano lo stesso nome di account, tutte le autorizzazioni rimangono invariate. Il personale IT non dovrà configurare le autorizzazioni per ogni singolo server e workstation PC, aumentando in modo significativo l'efficienza della gestione.

Per integrare più strettamente ASUSTOR NAS con i domini AD, semplificando la gestione IT e aumentando la produttività, ASUSTOR ha integrato profondamente il sistema di autorizzazioni ACL di Windows con ADM, fornendo le seguenti caratteristiche uniche:

  1. Possibilità di abilitare Windows ACL per singole cartelle condivise.
  2. Supporto completo per tutti i 13 tipi di autorizzazioni ACL di Windows.
  3. Possibilità di visualizzare in dettaglio le autorizzazioni effettive di Windows ACL dall'interno di ADM.
  4. Supporto per utenti e gruppi di rete.
  5. Possibilità di applicare le autorizzazioni ACL ai protocolli di trasferimento file Samba, File Explorer, AFP, FTP, WebDAV e Rsync.


1.1 È necessario abilitare l'ACL di Windows?

Come descritto nella sezione precedente, Windows ACL fornisce fino a 13 diverse impostazioni di autorizzazione che possono essere applicate a tutti gli utenti e gruppi sul NAS e sul dominio (se il NAS è stato aggiunto a un dominio Windows AD). In caso di pianificazione o configurazione impropria dei permessi, è possibile che tutti gli utenti non siano in grado di accedere a una determinata cartella o file. Ovviamente, questo tipo di errore può essere risolto utilizzando un account di amministratore, ma la quantità di tempo sprecato dal momento in cui il problema si verifica per la prima volta a quello in cui viene risolto può essere considerata un costo intangibile significativo per le aziende.

ASUSTOR NAS è stato sviluppato sulla base del sistema operativo Linux, quindi le impostazioni native di ADM utilizzano il meccanismo di gestione dei permessi di Linux:

  • Permessi applicabili: RW (Lettura e scrittura), RO (Sola lettura), DA (Rifiuto di accesso).
  • I permessi possono essere applicati a: "Proprietario", il gruppo di cui fa parte il proprietario e "Altro".

Il numero ridotto di opzioni consente una configurazione più semplice. Tuttavia, la flessibilità e la modificabilità dei permessi è molto limitata. Ad esempio, quando si utilizza il meccanismo dei permessi di Linux, non è possibile dare a un utente la possibilità di modificare un file senza dargli il permesso di cancellarlo.

Se il NAS viene utilizzato solo tra sé e un numero limitato di familiari e amici, si consiglia di utilizzare il meccanismo di gestione delle autorizzazioni originale di ADM. Tuttavia, se il NAS viene utilizzato per l'archiviazione di dati aziendali, si consiglia di consultare prima il personale IT per decidere se è opportuno abilitare le autorizzazioni Windows ACL e quindi completare un piano di distribuzione delle autorizzazioni se si decide di utilizzarlo.

Abbiamo previsto la possibilità di abilitare o disabilitare Windows ACL per singole cartelle condivise, il che è molto utile per la valutazione e la pianificazione. È possibile creare una cartella condivisa per il test, abilitare Windows ACL e configurare le impostazioni delle autorizzazioni. Successivamente è possibile verificare se i risultati sono quelli attesi. Una volta ottenuti i risultati desiderati, è possibile applicare le impostazioni alla cartella condivisa di propria scelta. In questo modo è possibile evitare errori di pianificazione che potrebbero impedire l'accesso a dati importanti, compromettendo il funzionamento dell'azienda.




2. Configurazione di Windows ACL


2.1 Abilitazione dell'ACL di Windows


Creare una nuova cartella condivisa:

  • Accedere all'ADM con un account amministratore utilizzando il browser web.
  • Seleziona Cartelle condivisa all'interno del Controllo accessi.
  • Clicca su Aggiungi.


  • Immettere un nome per la nuova cartella e fare clic su [Avanti].


  • Dopo aver impostato i diritti di accesso per la cartella condivisa, selezionare la casella di controllo [Abilita Windows ACL] e fare clic su [Avanti].

    Nota: i diritti di accesso alle cartelle condivise sono il primo livello di controllo delle autorizzazioni. Se a un utente o a un gruppo non sono state assegnate le autorizzazioni di "Lettura e scrittura", tutte le autorizzazioni di Windows ACL ad esso assegnate saranno bloccate. Pertanto, si consiglia di configurare diritti di accesso più blandi per le cartelle condivise con Windows ACL abilitato e di utilizzare Windows ACL per configurare successivamente autorizzazioni più specifiche.


  • Selezionare [Salta] e fare clic su [Avanti].


  • Conferma le tue impostazioni e fare clic su [Fine].


Abilitazione dell'ACL di Windows per le cartelle condivise già esistenti:

  • Seleziona Cartelle condivisa all'interno del Controllo accessi.
  • Selezionare la cartella condivisa per la quale si desidera attivare Windows ACL, quindi fare clic su [Modifica].


  • Selezionare [Windows ACL].
  • Selezionare [Abilita Windows ACL] e fare clic su [Chiudi].

Informazioni su Windows ACL

  1. Dopo aver abilitato Windows ACL per una cartella condivisa, alla cartella condivisa e a tutte le sottocartelle e i file contenuti in essa possono essere assegnati autorizzazioni utente o gruppo.
  2. Le seguenti cartelle condivise non supportano autorizzazioni Windows ACL: Home, User Homes, PhotoGallery, Web, Surveillance, MyArchive, Cestino di rete, dispositivi virtuali, dispositivi esterni (dischi rigidi USB, unità ottiche).
  3. Una volta abilitato Windows ACL, sarà possibile utilizzare File Explorer di ADM o Microsoft Windows Explorer per configurare autorizzazioni. Una volta dislitato Windows ACL, sarà possibile configurare autorizzazioni solo da File Explorer di ADM.
  4. Se si abilita Windows ACL e in seguito si decide di disabilitarlo, tutti i file e le cartelle vengono riassegnate con autorizzazioni di Lettura e scrittura per tutti gli utenti.
  5. Indipendentemente dall'utilizzo o meno di Windows ACL, per accedere ai file gli utenti necessitano di autorizzazioni alla cartella o al file condivisi.


2.2 Configurazione delle autorizzazioni ACL di Windows con ADM File Explorer


  • Dal desktop di ADM, selezionare [File Explorer].
  • Selezionare una cartella condivisa (o una sottocartella o un file) per la quale è stato attivato Windows ACL. Fare clic con il pulsante destro del mouse sulla cartella condivisa e selezionare [Proprietà].


  • Selezionare la scheda [Permessi]. Qui è possibile vedere le autorizzazioni attualmente configurate per la cartella. È inoltre possibile gestire le autorizzazioni per la cartella.


Dopo aver abilitato le ACL di windows per una cartella condivisa, il sistema assegnerà per impostazione predefinita le autorizzazioni di "lettura e scrittura, ma non di eliminazione" a "Tutti", "amministratori" e all'account "admin". Queste autorizzazioni saranno applicate solo alla cartella condivisa e non saranno ereditate dagli oggetti sottostanti. Queste autorizzazioni predefinite possono essere modificate utilizzando i pulsanti [Modifica] o [Rimuovi].

Nota: Un singolo file o una cartella possono utilizzare fino a un massimo di 250 autorizzazioni di Windows ACL (comprese le autorizzazioni ereditate).


  • Includi autorizzazioni ereditabili dal genitore di questo oggetto:
    questa opzione è attivata per impostazione predefinita. Il sistema configura automaticamente le sottocartelle e i file in modo che ereditino le autorizzazioni dall'oggetto che li precede. Disabilitando questa opzione, si rifiutano tutti i permessi ereditabili e si mantengono solo i permessi aggiunti di recente.
  • Sostituisci tutte le autorizzazioni degli oggetti figli con le autorizzazioni ereditabili da questo oggetto:
    Abilitando questa opzione, tutte le autorizzazioni delle sottocartelle e dei file verranno sostituite con quelle dell'oggetto padre.

Le funzioni di gestione che si possono utilizzare sono le seguenti:

Aggiungi:

  • Fare clic sul pulsante [Aggiungi] per creare una nuova autorizzazione per l'oggetto.


  • Utente o gruppo:
    Specificare l'utente o il gruppo a cui si desidera applicare l'autorizzazione.


  • Tipo:
    Selezionare [Consenti] o [Rifiuta] per concedere o negare l'autorizzazione all'utente o al gruppo.
  • Applica a:
    Questa opzione appare solo quando si aggiungono permessi a una cartella. Dal menu a discesa, è possibile selezionare dove verrà applicata l'autorizzazione. Il modo in cui l'autorizzazione verrà applicata è determinato dalla selezione o meno della casella di controllo [Applicare tali autorizzazioni solo ad oggetti e/o contenitori all'interno del contenitore].
  • Applicare tali autorizzazioni solo ad oggetti e/o contenitori all'interno del contenitore:
    • Quando l'opzione è deselezionata:
      Applica a Applicare l'autorizzazione alla cartella corrente Applicare l'autorizzazione alle sottocartelle all'interno della cartella corrente Applicare l'autorizzazione ai file all'interno della cartella corrente Applicare l'autorizzazione a tutte le sottocartelle successive Applicare l'autorizzazione ai file all'interno di tutte le sottocartelle successive
      Questa cartella è solo
      Questa cartella, le sottocartelle e i file
      Questa cartella e le sottocartelle
      Questa cartella e i file
      Solo sottocartelle e file
      Solo sottocartelle
      Solo file
    • Quando l'opzione è selezionata:
      Applica a Applicare l'autorizzazione alla cartella corrente Applicare l'autorizzazione alle sottocartelle all'interno della cartella corrente Applicare l'autorizzazione ai file all'interno della cartella corrente Applicare l'autorizzazione a tutte le sottocartelle successive Applicare l'autorizzazione ai file all'interno di tutte le sottocartelle successive
      Questa cartella è solo
      Questa cartella, le sottocartelle e i file
      Questa cartella e le sottocartelle
      Questa cartella e i file
      Solo sottocartelle e file
      Solo sottocartelle
      Solo file

Di seguito sono descritti i 13 tipi di autorizzazioni ACL di Windows:

  • Attraversa cartella/esegui file: Traverse Folder consente o nega lo spostamento attraverso le cartelle per raggiungere altri file o cartelle, anche se l'utente non ha i permessi per le cartelle attraversate (si applica solo alle cartelle). Esegui file consente o nega l'esecuzione di file di programma (solo per i file).
  • Elenco cartelle/lettura dati: Elenco cartella consente o nega la visualizzazione dei nomi dei file e delle sottocartelle all'interno della cartella (solo per le cartelle). Leggi dati consente o nega la visualizzazione dei dati nei file (solo per i file).
  • Leggi attributi: Consente o nega la visualizzazione degli attributi di un file o di una cartella, come quelli di sola lettura, nascosti, compressi e crittografati.
  • Leggi attributi estesi: Consente o nega la visualizzazione degli attributi estesi di un file o di una cartella. Gli attributi estesi sono definiti dai programmi e possono variare a seconda del programma.
  • Crea file/Scrivi dati: Crea file consente o nega la creazione di file all'interno della cartella (si applica solo alle cartelle). Scrivi dati consente o meno di apportare modifiche al file e di sovrascrivere il contenuto esistente (solo per i file).
  • Creare cartelle/aggiungere dati: Crea cartelle consente o nega la creazione di cartelle all'interno della cartella (si applica solo alle cartelle). Aggiungi dati consente o nega di apportare modifiche alla fine del file, ma non di modificare, eliminare o sovrascrivere i dati esistenti (solo per i file).
  • Scrivi attributi: Consente o nega la modifica degli attributi di un file o di una cartella.
  • Scrivi attributi estesi: Consente o nega la modifica degli attributi estesi di un file o di una cartella. Gli attributi estesi sono definiti dai programmi e possono variare a seconda del programma.
  • Elimina sottocartelle e file: Consente o nega l'eliminazione di sottocartelle e file, anche se l'autorizzazione a eliminare non è stata concessa alla sottocartella o al file (si applica alle cartelle).
  • Elimina: Consente o nega l'eliminazione del file o della cartella.
  • Autorizzazioni di lettura: Consente o nega i permessi di lettura del file o della cartella.
  • Modifica permessi: Consente o nega la modifica dei permessi del file o della cartella.
  • Assumi proprietà: Consente o nega l'acquisizione della proprietà del file o della cartella. Il proprietario di un file o di una cartella può sempre modificare le autorizzazioni, indipendentemente dalle autorizzazioni esistenti che proteggono il file o la cartella.

Modifica:

  • Selezionando un'autorizzazione e facendo clic sul pulsante [Modifica] è possibile modificarla.



Rimuovi:

  • Selezionando un'autorizzazione e facendo clic su [Rimuovi] si rimuove l'autorizzazione dall'oggetto corrente.

Permessi effettivi:

  • Facendo clic sul pulsante [Permessi effettivi] e selezionando un utente dall'elenco, è possibile visualizzare i permessi effettivi dell'utente in relazione alla cartella o al file specificato. Le autorizzazioni effettive sono determinate dalla combinazione delle autorizzazioni ACL di Windows e dei diritti di accesso alle cartelle condivise.



2.3 Configurazione delle autorizzazioni ACL di Windows con Windows Explorer

Innanzitutto, utilizzare un account amministratore di Windows per mappare una cartella condivisa abilitata per Windows ACL come unità di rete. Per ulteriori informazioni, consultare NAS 106: Usare il NAS con Microsoft Windows.


  • Fare clic con il pulsante destro del mouse su qualsiasi file o sottocartella all'interno della cartella condivisa e selezionare [Proprietà].


  • Selezionare quindi la scheda [Sicurezza]. Qui è possibile visualizzare un elenco di utenti e gruppi e le relative autorizzazioni ACL per il file o la sottocartella.


Se un oggetto ha contemporaneamente permessi ereditati dal suo genitore e permessi espliciti, i permessi ereditati saranno controllati in grigio, mentre i permessi espliciti saranno controllati in nero.


  • Cliccare su [Modifica] [Aggiungi].


  • Nel campo [Da questa posizione:] dovrebbero essere visualizzate le seguenti informazioni:
    • Se il NAS è stato aggiunto a un dominio Windows AD, si vedrà il nome del dominio AD.
    • Se il NAS non è stato aggiunto a un dominio Windows AD, si vedrà l'indirizzo IP del NAS.


  • Nel campo [Inserire i nomi degli oggetti da selezionare], inserire le seguenti informazioni:
    • Se il NAS è stato aggiunto a un dominio Windows AD, inserire il nome dell'utente o del gruppo del dominio e poi fare clic su [Controlla nomi] per verificare il nome dell'utente/gruppo. Quindi, fare clic su [OK].
    • Se il NAS non è stato aggiunto ad un dominio Windows AD, inserire il nome dell'utente o del gruppo locale ADM e poi fare clic su [Controlla nome] per verificare il nome dell'utente/gruppo. Quindi, fare clic su [OK].


  • A questo punto, si dovrebbe essere in grado di vedere l'utente o il gruppo appena aggiunto nell'elenco [Nomi di gruppi o utenti:]. Selezionare l'utente o il gruppo e utilizzare le caselle di controllo [Consenti] e [Rifiuta] per configurare le autorizzazioni di accesso all'oggetto. Al termine, fare clic su [Applica].



2.4 Regole e precauzioni per le autorizzazioni ACL di Windows


ACL Permessi ACL in conflitto:

  • Se le autorizzazioni ACL di Windows sono in conflitto, le autorizzazioni esplicite dell'oggetto avranno la priorità. Ad esempio, se l'utente "testuser" eredita le autorizzazioni "Consenti lettura ed esecuzione" per un file, ma le autorizzazioni esplicite date al file sono "Rifiuta lettura ed esecuzione", "testuser" non potrà accedere al file.
  • Al contrario, se "testuser" eredita i permessi di "Rifiuta lettura" ma i permessi espliciti assegnati al file sono "Consenti lettura", "testuser" potrà accedere al file.



Regole per lo spostamento di file e cartelle:

Copia Muoversi
Spostamento all'interno della stessa cartella condivisa A1. ACL Disabilitato Mantenere le autorizzazioni esistenti Mantenere le autorizzazioni esistenti
A2. ACL Abilitato
  • Rimuovere le autorizzazioni ACL ereditate dalla cartella di origine
  • Rimuovere le autorizzazioni ACL esplicite
  • Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione
  • Rimuovere le autorizzazioni ACL ereditate dalla cartella di origine
  • Mantenere le autorizzazioni ACL esplicite
  • Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione
Spostamento tra diverse cartelle condivise B1. ACL Disabilitato ACL Disabilitato Mantenere le autorizzazioni esistenti Mantenere le autorizzazioni esistenti
B2. ACL Disabilitato ACL Abilitato Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione
B3. ACL Abilitato ACL Disabilitatod
  • Rimuovere tutte le autorizzazioni ACL
  • Le autorizzazioni saranno ripristinate come "Accesso completo per tutti gli utenti"
  • Rimuovere tutte le autorizzazioni ACL
  • Le autorizzazioni saranno ripristinate come "Accesso completo per tutti gli utenti"
B4. ACL Abilitato ACL Abilitato
  • Rimuovere le autorizzazioni ACL ereditate dalla cartella di origine
  • Rimuovere le autorizzazioni ACL esplicite
  • Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione
  • Rimuovere le autorizzazioni ACL ereditate dalla cartella di origine
  • Rimuovere le autorizzazioni ACL esplicite
  • Applicare le autorizzazioni ACL ereditate dalla cartella di destinazione

Eccezioni: Quando i dati vengono eliminati da una cartella condivisa abilitata all'ACL e spostati nel Cestino di rete, non si applicano le regole di cui al punto "B3" del grafico precedente. Questo per evitare che i file con autorizzazioni [Rifiuta accesso] vengano eliminati e spostati nel Cestino di rete e diventino quindi completamente accessibili a tutti gli utenti. Tenendo conto della privacy e della sicurezza, ai file delle cartelle abilitate ACL spostati nel Cestino di rete verrà assegnata l'autorizzazione [Lettura e scrittura per i proprietari, Accesso negato per tutti gli altri utenti].


Permessi di cancellazione dei file:

Esistono due autorizzazioni associate all'eliminazione dei file::

  1. L'utente dispone di un'autorizzazione esplicita per l'eliminazione del file.
  2. L'utente dispone dell'autorizzazione "Elimina sottocartelle e file" per la cartella madre del file.

Se una delle autorizzazioni di cui sopra è configurata come "Rifiuta", l'utente non potrà eliminare il file. Solo se nessuna delle autorizzazioni di cui sopra è stata configurata come "Rifiuta" e almeno una di esse è stata configurata come "Consenti", l'utente potrà eliminare il file.


Diritto di accesso agli oggetti:

Dopo che Windows ACL è stato abilitato per una cartella condivisa, ogni oggetto (sottocartelle e file) contenuto nella cartella avrà un diritto di accesso.

  • È possibile visualizzare i diritti di accesso per un oggetto selezionandolo da ADM File Explorer, facendo clic con il tasto destro del mouse e selezionando [Proprietà]. Nella sezione [Diritti di accesso alla cartella condivisa] della scheda [Generale] sarà presente un link di modifica.



Le persone che hanno il diritto di accesso potranno configurare i permessi ACL. Ad esempio, l'utente admin nel grafico precedente è il proprietario della cartella "ACL_Test". Pertanto, admin potrà configurare i permessi ACL per la cartella e le sottocartelle e i file in essa contenuti.
Per ogni nuovo oggetto aggiunto, il creatore dell'oggetto sarà impostato come diritto di accesso predefinito. Inoltre, gli utenti del gruppo amministratore potranno modificare i diritti di accesso. Ad esempio, se si volesse trasferire la proprietà della cartella "ACL_Test" nel grafico precedente ad altri utenti (ad esempio, testuser), admin e tutti gli utenti del gruppo di amministratori avrebbero la possibilità di trasferire la proprietà. Una volta diventata proprietaria della cartella "ACL_Test", testuser sarà in grado di riconfigurare le autorizzazioni per le sottocartelle e i file, anche se in origine non disponeva delle autorizzazioni di accesso.




2.5 Spostare gli oggetti sul NAS mantenendo le autorizzazioni ACL

Quando tutti i PC Windows e i dispositivi NAS in un ambiente di rete sono stati aggiunti allo stesso dominio Windows AD, tutti gli account utente e le autorizzazioni del dominio possono essere combinati insieme. Tuttavia, quando si spostano file o cartelle da un server PC a un NAS, le autorizzazioni ACL esistenti non vengono mantenute (utilizzando le regole della sezione precedente). Ciò comporta la necessità per il personale IT di riconfigurare le autorizzazioni.

Se si desidera mantenere i permessi ACL esistenti quando si spostano file o cartelle sul NAS, è possibile utilizzare Fastcopy, un software di terze parti. Nell'esempio che segue, dimostreremo come utilizzare questa Fastcopy.


  • Innanzitutto, utilizzare un account amministratore di Windows per mappare una cartella condivisa abilitata per Windows ACL come unità di rete. Per ulteriori informazioni, consultare NAS 106: Usare il NAS con Microsoft Windows.


  • Aprire Fastcopy.
  • [Fonte]: Specificare qui la cartella di origine.
  • [DestDir]: Specificare qui la cartella di destinazione (l'unità di rete mappata nel passaggio precedente).
  • Selezionare la casella di controllo [ACL] per garantire che Fastcopy mantenga i permessi ACL originali dei file durante lo spostamento.
  • Cliccare su [Esegui] per iniziare lo spostamento della cartella.


  • Dopo che la cartella è stata spostata con successo, tutti i dati spostati nella destinazione avranno mantenuto le autorizzazioni ACL dell'origine (comprese tutte le autorizzazioni esplicite ed ereditate). Questi dati non erediteranno alcuna autorizzazione dall'oggetto padre dell'origine.

L'articolo è stato utile? / No