We gebruiken cookies om onze webpagina te verbeteren. Raadpleeg ons cookiebeleid .

NAS 471

Inleiding tot Windows ACL

Leren om Windows ACL te gebruiken om gegevenstoegangsrechten te beheren op uw ASUSTOR NAS.

2024-06-17

CURSUSDOELSTELLINGEN

Na het afwerken van deze cursus moet u het volgende kunnen:

  1. De basisprincipes begrijpen van het gebruik van Windows ACL met uw ASUSTOR NAS.
  2. Windows ACL gebruiken om gegevenstoegangsrechten te beheren op uw ASUSTOR NAS.

VOORWAARDEN

Cursusvoorwaarden:

NAS 106: NAS gebruiken met Microsoft Windows

Van studenten wordt verwacht dat zij beschikken over een actieve kennis van:

Gedeelde mappen, Toegangsbeheer


OVERZICHT

1. Inleiding tot Windows ACL

1.1 Moet ik Windows ACL inschakelen?

2. Windows ACL configureren

2.1 Windows ACL inschakelen

2.2 Windows ACL-machtigingen configureren met ADM Bestandsverkenner

2.3 Windows ACL-machtigingen configureren met Windows Verkenner

2.4 Windows ACL toestemmingsregels en voorzorgsmaatregelen

2.5 Objecten verplaatsen naar uw NAS met behoud van ACL-machtigingen





1. Inleiding tot Windows ACL

Windows ACL zijn de 13 verschillende soorten bestandsrechten die Microsoft ontworpen heeft voor NTFS bestandssystemen en die toegepast kunnen worden op specifieke gebruikers en groepen. Binnen dit type infrastructuur kunnen beheerders meer gedetailleerde en precieze toegangsrechten configureren.

In de Windows AD-domeininfrastructuur (veel gebruikt door bedrijven) kunnen Windows ACL-toestemmingen worden toegepast op alle gebruikers en groepen in het domein. Gebruikers kunnen elke computer in het netwerk gebruiken om in te loggen en zolang ze dezelfde accountnaam gebruiken, blijven alle rechten hetzelfde. IT-medewerkers hoeven geen machtigingen te configureren voor elke afzonderlijke server en pc-werkstation, waardoor de efficiëntie van het beheer aanzienlijk toeneemt.

Om ASUSTOR NAS beter te integreren met AD-domeinen, het IT-beheer te vereenvoudigen en de productiviteit te verhogen, heeft ASUSTOR het Windows ACL-machtigingssysteem diepgaand geïntegreerd met ADM, en biedt het de volgende unieke functies:

  1. De mogelijkheid om Windows ACL in te schakelen voor individuele gedeelde mappen.
  2. Uitgebreide ondersteuning voor alle 13 soorten Windows ACL-machtigingen.
  3. Mogelijkheid om Windows ACL effectieve machtigingen in detail te bekijken vanuit ADM.
  4. Ondersteuning voor netwerkgebruikers en -groepen.
  5. Mogelijkheid om ACL-machtigingen toe te passen op Samba, Bestandsverkenner, AFP, FTP, WebDAV, Rsync protocollen voor bestandsoverdracht.


1.1 Moet ik Windows ACL inschakelen?

Zoals beschreven in het vorige hoofdstuk, biedt Windows ACL tot 13 verschillende machtigingsinstellingen die kunnen worden toegepast op alle gebruikers en groepen op de NAS en op het domein (als de NAS is toegevoegd aan een Windows AD-domein). In het geval van onjuiste planning of configuratie van machtigingen, bestaat de mogelijkheid dat niet alle gebruikers toegang hebben tot een bepaalde map of een bepaald bestand. Uiteraard kan dit type fout worden opgelost door een beheerdersaccount te gebruiken, maar de hoeveelheid verspilde tijd vanaf het moment dat het probleem zich voor het eerst voordoet tot het moment dat het wordt opgelost, kan worden gezien als een aanzienlijke immateriële kostenpost voor bedrijven.

ASUSTOR NAS werd ontwikkeld op basis van het Linux-besturingssysteem, dus de eigen instellingen van ADM maken gebruik van het Linux-mechanisme voor rechtenbeheer:

  • Toepasbare machtigingen: RW (lezen & schrijven), RO (alleen lezen), DA (toegang weigeren)
  • Toestemmingen kunnen worden toegepast op: "Eigenaar", de groep waar de eigenaar deel van uitmaakt en "Overig".

Het kleinere aantal opties maakt een eenvoudigere configuratie mogelijk. De flexibiliteit en aanpasbaarheid van de permissies is echter zeer beperkt. Als u bijvoorbeeld het toestemmingsmechanisme van Linux gebruikt, is het niet mogelijk om een gebruiker de mogelijkheid te geven om een bestand te bewerken en hem tegelijkertijd geen toestemming te geven om het bestand te verwijderen.

Als u uw NAS alleen gebruikt tussen uzelf en een beperkt aantal familieleden en vrienden, dan wordt het aanbevolen om het oorspronkelijke mechanisme voor machtigingenbeheer van ADM te gebruiken. Als uw NAS echter wordt gebruikt voor het opslaan van zakelijke gegevens, wordt het aanbevolen dat u eerst overlegt met uw IT-personeel om te beslissen of het gepast is om Windows ACL-machtigingen in te schakelen en vervolgens een implementatieplan voor machtigingen uit te voeren mocht u besluiten om het te gebruiken.

We hebben je de flexibiliteit gegeven om Windows ACL in of uit te schakelen voor afzonderlijke gedeelde mappen, wat erg handig is voor beoordeling en planning. Je kunt een gedeelde map maken om te testen, Windows ACL inschakelen en dan de machtigingsinstellingen configureren. Daarna kun je controleren of de resultaten zijn wat je ervan verwacht had. Zodra je de gewenste resultaten hebt, kun je de instellingen toepassen op de gedeelde map van je keuze. Zo voorkom je fouten of vergissingen in de planning die de toegang tot belangrijke gegevens kunnen ontzeggen en de werking van je bedrijf kunnen beïnvloeden.




2. Windows ACL configureren


2.1 Windows ACL inschakelen


Een nieuwe gedeelde map maken:

  • Meld u met uw webbrowser aan bij uw ADM met een beheerdersaccount.
  • Selecteer Gedeelde mappen binnen Toegangsbeheer.
  • Klik op Toevoegen.


  • Voer een naam in voor de nieuwe map en klik vervolgens op [Volgende].


  • Nadat u de toegangsrechten voor de gedeelde map hebt ingesteld, schakelt u het selectievakje [Windows ACL inschakelen] in en klikt u vervolgens op [Volgende].

    Opmerking: Gedeelde maptoegangsrechten zijn de eerste laag van de rechtencontrole. Als een gebruiker of groep hier geen "Lees & Schrijf" rechten heeft gekregen, zullen alle Windows ACL rechten die aan hen zijn toegewezen worden geblokkeerd. Daarom is het aanbevolen dat je mildere toegangsrechten configureert voor gedeelde mappen waarvoor Windows ACL is ingeschakeld en dan later Windows ACL gebruikt om meer specifieke rechten te configureren.


  • Selecteer [Overslaan] en klik op [Volgende].


  • Bevestig uw instellingen en klik dan op [Voltooien].


Windows ACL inschakelen voor reeds bestaande gedeelde mappen:

  • Selecteer Gedeelde mappen binnen Toegangsbeheer.
  • Selecteer de gedeelde map waarvoor u Windows ACL wilt inschakelen en klik vervolgens op [Bewerken].


  • Selecteer [Windows ACL].
  • Selecteer [Windows ACL inschakelen] en klik vervolgens op [Sluiten].

Over Windows ACL

  1. Na het inschakelen van Windows ACL voor een gedeelde map, kan de gedeelde map en alle submappen en bestanden daarin gebruikers- of groepsrechten worden toegewezen.
  2. De volgende gedeelde mappen ondersteunen geen Windows ACL-rechten: Home, Home gebruiker, Fotogalerij, Web, Toezicht, MyArchive, Prullenbak netwerk, virtuele apparaten, externe apparaten (harde USB-stations, optische stations).
  3. Na het inschakelen van Windows ACL, kunt u Bestandsverkenner van ADM of Microsoft Windows Explorer gebruiken om rechten te configureren: Na het uitschakelen van Windows ACL kunt u alleen rechten configureren vanuit Bestandsverkenner van ADM.
  4. Als u Windows ACL inschakelt en vervolgens later besluit om dit uit te schakelen, worden alle bestanden en mappen opnieuw toegewezen met lezen & schrijven-rechten voor alle gebruikers.
  5. Ongeacht of u wel of niet Windows ACL gebruikt, hebben gebruikers nog steeds rechten voor gedeelde mappen en bestanden nodig om bestanden te openen.


2.2 Windows ACL-machtigingen configureren met ADM Bestandsverkenner


  • Selecteer [Bestandsverkenner] op het ADM-bureaublad.
  • Selecteer vervolgens een gedeelde map (of submap of bestand) waarvoor je Windows ACL hebt ingeschakeld. Klik met de rechtermuisknop op de gedeelde map en selecteer vervolgens [Eigenschappen].


  • Selecteer in het eigenschappenvenster het tabblad [Toestemming]. Hier zie je de momenteel geconfigureerde machtigingen voor de map. Je kunt hier ook de machtigingen voor de map beheren.


Na het inschakelen van windows ACL voor een gedeelde map, zal het systeem standaard "Lees & schrijf, maar kan niet verwijderen" rechten toekennen aan "Iedereen", "beheerders" en de "admin" account. Deze rechten worden alleen toegepast op de gedeelde map en worden niet geërfd door objecten eronder. Deze standaardmachtigingen kunnen worden gewijzigd met de knoppen [Bewerken] of [Verwijderen].

Opmerking: Een individueel bestand of map kan gebruikmaken van maximaal 250 Windows ACL-rechten (inclusief overneembare rechten).


  • Overerfbare rechten van de ouder van dit object opnemen:
    deze optie is standaard ingeschakeld. Het systeem zal automatisch submappen en bestanden configureren om rechten te erven van het object erboven. Het uitschakelen van deze optie zal alle overerfbare rechten weigeren en alleen de nieuw toegevoegde rechten behouden.
  • Vervang alle kinderobjectmachtigingen door overerfbare machtigingen van dit object:
    Het inschakelen van deze optie zal alle submap- en bestandspermissies vervangen door die van het bovenliggende object.

De beheerfuncties die je hier kunt gebruiken zijn de volgende:

Toevoegen:

  • Klik op de knop [Toevoegen] om een nieuwe machtiging aan te maken voor het object.


  • Gebruiker of groep:
    Specificeer de gebruiker of groep waarop je de toestemming wilt toepassen.


  • Type:
    Selecteer [Toestaan] of [Weigeren] om de toestemming toe te kennen of te weigeren aan de gebruiker of groep.
  • Toepassen op:
    Deze optie verschijnt alleen bij het toevoegen van machtigingen aan een map. Vanuit het uitklapmenu kun je selecteren waar de permissie zal worden toegepast. De manier waarop de rechten worden toegepast, wordt bepaald door het selectievakje [Pas deze rechten alleen toe op objecten en/of bakken binnen de bak].
  • Pas deze rechten alleen toe op objecten en/of bakken binnen de bak:
    • Wanneer de optie niet is aangevinkt:
      Toepassen op Toestemming toepassen op huidige map Toestemming toepassen op submappen binnen de huidige map Toestemming toepassen op bestanden in de huidige map Toestemming toepassen op alle volgende submappen Toestemming toepassen op bestanden in alle volgende submappen
      Deze map bevat alleen
      Deze map, submappen en bestanden
      Deze map en submappen
      Deze map en bestanden
      Alleen submappen en bestanden
      Alleen submappen
      Alleen bestanden
    • Wanneer de optie is aangevinkt:
      Toepassen op Toestemming toepassen op huidige map Toestemming toepassen op submappen binnen de huidige map Toestemming toepassen op bestanden in de huidige map Toestemming toepassen op alle volgende submappen Toestemming toepassen op bestanden in alle volgende submappen
      Deze map bevat alleen
      Deze map, submappen en bestanden
      Deze map en submappen
      Deze map en bestanden
      Alleen submappen en bestanden
      Alleen submappen
      Alleen bestanden

De 13 soorten Windows ACL rechten worden hieronder beschreven:

  • Map doorkruisen/bestand uitvoeren: Traverse Folder staat toe of weigert het verplaatsen door mappen om andere bestanden of mappen te bereiken, zelfs als de gebruiker geen rechten heeft voor de doorkruiste mappen (geldt alleen voor mappen). Bestand uitvoeren staat het uitvoeren van programmabestanden toe of weigert dit (geldt alleen voor bestanden).
  • Map weergeven/gegevens lezen: Map weergeven staat het bekijken van bestandsnamen en namen van submappen in de map toe of weigert dit (geldt alleen voor mappen). Read Data (Gegevens lezen) staat het bekijken van gegevens in bestanden toe of weigert dit (alleen van toepassing op bestanden).
  • Attributen lezen: Hiermee kunt u de kenmerken van een bestand of map bekijken, zoals alleen-lezen, verborgen, gecomprimeerd en gecodeerd.
  • Uitgebreide kenmerken lezen: Staat het bekijken van de uitgebreide kenmerken van een bestand of map toe of weigert dit. Uitgebreide kenmerken worden gedefinieerd door programma's en kunnen per programma verschillen.
  • Bestanden maken/gegevens schrijven: Bestanden maken staat het maken van bestanden in de map toe of weigert dit (alleen van toepassing op mappen). Gegevens schrijven staat toe of weigert het aanbrengen van wijzigingen in het bestand en het overschrijven van bestaande inhoud (alleen van toepassing op bestanden).
  • Mappen maken/gegevens toevoegen: Mappen maken staat het maken van mappen in de map toe of weigert dit (alleen van toepassing op mappen). Gegevens toevoegen staat toe of weigert het aanbrengen van wijzigingen aan het einde van het bestand, maar niet het wijzigen, verwijderen of overschrijven van bestaande gegevens (alleen van toepassing op bestanden).
  • Attributen schrijven: Het wijzigen van de attributen van een bestand of map toestaan of weigeren.
  • Uitgebreide kenmerken schrijven: Het wijzigen van de uitgebreide kenmerken van een bestand of map toestaan of weigeren. Uitgebreide kenmerken worden gedefinieerd door programma's en kunnen per programma verschillen.
  • Submappen en bestanden verwijderen: Staat het verwijderen van submappen en bestanden toe of weigert dit, zelfs als de machtiging Verwijderen niet is toegekend aan de submap of het bestand (geldt voor mappen).
  • Verwijderen: Staat het verwijderen van het bestand of de map toe of weigert dit.
  • Leesrechten: Staat lezen van het bestand of de map toe of weigert dit.
  • Machtigingen wijzigen: Machtigingen van het bestand of de map wijzigen: Machtigingen van het bestand of de map wijzigen toestaan of weigeren.
  • Eigendom nemen: Eigendom nemen van het bestand of de map toestaan of weigeren. De eigenaar van een bestand of map kan altijd machtigingen wijzigen, ongeacht bestaande machtigingen die het bestand of de map beschermen.

Bewerken:

  • Als je een toestemming selecteert en vervolgens op de knop [Bewerken] klikt, kun je de toestemming wijzigen.



Verwijderen:

  • Door een permissie te selecteren en vervolgens op [Verwijderen] te klikken, wordt de permissie van het huidige object verwijderd.

Effectieve rechten:

  • Door op de knop [Effectieve rechten] te klikken en vervolgens een gebruiker uit de lijst te selecteren, kun je de effectieve machtigingen van de gebruiker met betrekking tot de gespecificeerde map of het gespecificeerde bestand bekijken. Effectieve machtigingen worden bepaald door de combinatie van Windows ACL machtigingen en toegangsrechten voor gedeelde mappen.



2.3 Windows ACL-machtigingen configureren met Windows Verkenner

Gebruik eerst een Windows-beheerdersaccount om een gedeelde map met Windows ACL in te stellen als netwerkstation. Zie voor meer informatie NAS 106: NAS gebruiken met Microsoft Windows.


  • Klik met de rechtermuisknop op een bestand of submap in de gedeelde map en selecteer vervolgens [Eigenschappen].


  • Selecteer het tabblad [Beveiliging]. Hier ziet u een lijst met gebruikers en groepen en hun ACL-machtigingen voor het bestand of de submap.


Als een object tegelijkertijd overgeërfde rechten heeft van zijn ouder en ook expliciete rechten, dan worden de overgeërfde rechten grijs gecontroleerd terwijl de expliciete rechten zwart worden gecontroleerd.


  • Klik op [Bewerken] [Toevoegen].


  • In het veld [Vanaf deze locatie:] moet u de volgende informatie zien:
    • Als de NAS is toegevoegd aan een Windows AD-domein, ziet u de AD-domeinnaam.
    • Als de NAS niet is toegevoegd aan een Windows AD-domein, ziet u het IP-adres van de NAS.


  • Voer de volgende informatie in het veld [Voer de te selecteren objectnamen in] in:
    • Als de NAS is toegevoegd aan een Windows AD-domein, voert u de naam van de domeingebruiker of -groep in en klikt u vervolgens op [Namen controleren] om de naam van de gebruiker/groep te controleren. Klik vervolgens op [OK].
    • Als de NAS niet is toegevoegd aan een Windows AD-domein, voert u de lokale ADM-gebruikers- of groepsnaam in en klikt u vervolgens op [Naam controleren] om de gebruikers-/groepsnaam te controleren. Klik vervolgens op [OK].


  • Nu zou je de nieuw toegevoegde gebruiker of groep moeten kunnen zien in de [Groep of gebruikersnamen:] lijst. Selecteer de gebruiker of groep en gebruik de selectievakjes [Toestaan] en [Weigeren] om hun toegangsrechten voor het object in te stellen. Klik op [Toepassen] als u klaar bent.



2.4 Windows ACL toestemmingsregels en voorzorgsmaatregelen


ACL Conflicterende ACL rechten:

  • Als je tegenstrijdige Windows ACL permissies tegenkomt, zullen de expliciete permissies van het object voorrang krijgen. Bijvoorbeeld, als de gebruiker "testuser" [Lezen en uitvoeren toestaan] permissies erft voor een bestand, maar de expliciete permissies voor het bestand zijn [Lezen en uitvoeren weigeren], dan heeft "testuser" geen toegang tot het bestand.
  • Omgekeerd, als "testuser" de rechten [Lezen weigeren] erft, maar de expliciete rechten voor het bestand zijn [Lezen toestaan], dan heeft "testuser" toegang tot het bestand.



Regels voor het verplaatsen van bestanden en mappen:

Kopie Verplaats
Verplaatsen binnen dezelfde gedeelde map A1. ACL uitgeschakeld Bestaande machtigingen behouden Bestaande machtigingen behouden
A2. ACL ingeschakeld
  • Verwijder ACL rechten geërfd van de bronmap
  • Expliciete ACL rechten verwijderen
  • ACL-rechten toepassen die zijn overgenomen van de doelmap
  • Verwijder ACL rechten geërfd van de bronmap
  • Behoud expliciete ACL rechten
  • ACL-rechten toepassen die zijn overgenomen van de doelmap
Verplaatsen tussen verschillende gedeelde mappen B1. ACL uitgeschakeld ACL uitgeschakeld Bestaande machtigingen behouden Bestaande machtigingen behouden
B2. ACL uitgeschakeld ACL ingeschakeld ACL-rechten toepassen die zijn overgenomen van de doelmap ACL-rechten toepassen die zijn overgenomen van de doelmap
B3. ACL ingeschakeld ACL uitgeschakeld
  • Alle ACL rechten verwijderen
  • Rechten worden teruggezet als "Volledige toegang voor alle gebruikers"
  • Alle ACL rechten verwijderen
  • Rechten worden teruggezet als "Volledige toegang voor alle gebruikers"
B4. ACL ingeschakeld ACL ingeschakeld
  • Verwijder ACL rechten geërfd van de bronmap
  • Expliciete ACL rechten verwijderen
  • ACL-rechten toepassen die zijn overgenomen van de doelmap
  • Verwijder ACL rechten geërfd van de bronmap
  • Expliciete ACL rechten verwijderen
  • ACL-rechten toepassen die zijn overgenomen van de doelmap

Uitzonderingen: Wanneer gegevens worden verwijderd uit een gedeelde map met ACL-rechten en worden verplaatst naar de Prullenbak van het netwerk, zijn de regels uit "B3" in het bovenstaande schema niet van toepassing. Dit is om de situatie te voorkomen waarbij bestanden met [Toegang weigeren"] machtigingen worden verwijderd en verplaatst naar de Prullenbak van het Netwerk en vervolgens volledig toegankelijk worden voor alle gebruikers. Met het oog op privacy en beveiliging krijgen bestanden uit mappen met ACL-toegang die worden verplaatst naar de Prullenbak van het netwerk de rechten [Lezen en schrijven voor eigenaars, toegang weigeren voor alle andere gebruikers].


Machtigingen voor het verwijderen van bestanden:

Er zijn 2 rechten verbonden aan het verwijderen van bestanden::

  1. Gebruiker heeft expliciete "Verwijderen" rechten voor het bestand.
  2. Gebruiker heeft "Submappen en bestanden verwijderen"-rechten voor de bovenliggende map van het bestand.

Als een van de bovenstaande permissies is geconfigureerd als "Weigeren", dan zal de gebruiker het bestand niet kunnen verwijderen. Alleen als geen van de bovenstaande permissies is geconfigureerd als "Weigeren" en ten minste één ervan is geconfigureerd als "Toestaan", dan zal de gebruiker het bestand kunnen verwijderen.


Toegangsrecht van objecten:

Nadat Windows ACL is ingeschakeld voor een gedeelde map, zal elk object (submappen en bestanden) in de map een toegangsrecht hebben.

  • Je kunt de toegangsrechten voor een object bekijken door het te selecteren in ADM Bestandsbeheer, er met de rechtermuisknop op te klikken en vervolgens [Eigenschappen] te selecteren. Er wordt een bewerkingslink weergegeven in het gedeelte [Toegangsrechten delen map] op het tabblad [Algemeen].



Personen met toegangsrechten kunnen ACL rechten configureren. Bijvoorbeeld, de gebruiker admin in de bovenstaande afbeelding is de eigenaar van de map "ACL_Test". Daarom zal admin ACL rechten kunnen configureren voor de map en de submappen en bestanden die erin staan.
Voor elk nieuw toegevoegd object zal de maker van het object standaard worden ingesteld als de toegangsrechten. Daarnaast hebben gebruikers in de beheerdersgroep de mogelijkheid om de toegangsrechten aan te passen. Als we bijvoorbeeld het eigendom van de "ACL_Test" map in de bovenstaande afbeelding willen overdragen aan andere gebruikers (bijvoorbeeld testuser), dan hebben admin en alle gebruikers in de beheerdersgroep de mogelijkheid om het eigendom over te dragen. Zodra testuser eigenaar wordt van de map "ACL_Test", kan he de rechten voor de submappen en bestanden opnieuw instellen, zelfs als ze daar oorspronkelijk geen toegangsrechten voor had.




2.5 Objecten verplaatsen naar uw NAS met behoud van ACL-machtigingen

Wanneer alle Windows pc's en NAS-apparaten in een netwerkomgeving zijn toegevoegd aan hetzelfde Windows AD-domein, kunnen alle gebruikersaccounts en machtigingen op het domein worden gecombineerd. Wanneer echter bestanden of mappen van een pc-server naar een NAS worden verplaatst, worden bestaande ACL-machtigingen niet behouden (met behulp van de regels in de vorige paragraaf). Hierdoor moet IT-personeel de machtigingen opnieuw configureren.

Als u bestaande ACL-machtigingen wilt behouden bij het verplaatsen van bestanden of mappen naar uw NAS, kunt u Fastcopy gebruiken, een software van derden. In het onderstaande voorbeeld laten we zien hoe je deze Fastcopy gebruikt.



  • Fastcopy openen.
  • [Bron]: Geef hier de bronmap op.
  • [DestDir]: Geef hier de doelmap op (het netwerkstation dat in de vorige stap in kaart is gebracht)
  • Schakel het selectievakje [ACL] in om ervoor te zorgen dat Fastcopy de oorspronkelijke ACL-machtigingen van uw bestanden behoudt wanneer u ze verplaatst.
  • Klik op [Uitvoeren] om te beginnen met het verplaatsen van de map.


  • Nadat de map succesvol verplaatst is, zullen alle gegevens die naar de bestemming verplaatst zijn hun ACL rechten van de bron behouden hebben (inclusief alle expliciete en overgeërfde rechten). Deze gegevens erven geen rechten van het bovenliggende object bij de bron.

Was dit artikel nuttig? Ja / Nee