Utilizamos cookies para nos ajudar a melhorar nossa página da web. Por favor, leia nossa Política de Cookies .

NAS 471

Introdução à ACL do Windows

Saiba como usar o Windows ACL para gerenciar permissões de acesso a dados em seu NAS ASUSTOR.

2024-05-31

OBJETIVOS DO CURSO

Ao concluir este curso você deverá ser capaz de:

  1. Compreender os princípios básicos da utilização do Windows ACL com o seu ASUSTOR NAS
  2. Utilize o Windows ACL para gerir as permissões de acesso aos dados no seu ASUSTOR NAS

PRÉ-REQUISITOS

Pré-requisitos do Curso:

NAS 106: Usando NAS com Microsoft Windows

Espera-se que os alunos tenham um conhecimento prático de:

Pastas partilhadas, Controlo de Acessos


VISÃO GERAL

1. Introdução ao Windows ACL

1.1 Preciso de activar o Windows ACL?

2. Configurar o Windows ACL

2.1 Activação do Windows ACL

2.2 Configuração das permissões do Windows ACL com o ADM Explorador de ficheiros

2.3 Configuração das permissões do Windows ACL com o Windows Explorer

2.4 Regras de permissão e precauções do Windows ACL

2.5 Mover objectos para o seu NAS mantendo as permissões ACL





1. Introdução ao Windows ACL

Windows ACL são os 13 tipos diferentes de permissões de ficheiros concebidos pela Microsoft para sistemas de ficheiros NTFS que podem ser aplicados a utilizadores e grupos específicos. Dentro deste tipo de infra-estrutura, os administradores podem fazer configurações mais detalhadas e precisas das permissões de acesso.

Além disso, na infra-estrutura do domínio Windows AD (amplamente utilizada pelas empresas), as permissões Windows ACL podem ser aplicadas a todos os utilizadores e grupos do domínio. Os utilizadores podem utilizar qualquer computador da rede para iniciar sessão, e desde que utilizem o mesmo nome de conta, todas as permissões permanecerão as mesmas. O pessoal informático não precisará de configurar permissões para cada servidor individual e estação de trabalho do PC, aumentando significativamente a eficiência da gestão.

A fim de integrar mais de perto o ASUSTOR NAS com domínios AD, simplificando a gestão de TI e aumentando a produtividade, ASUSTOR integrou profundamente o sistema de permissões Windows ACL com ADM, fornecendo as seguintes características únicas:

  1. A capacidade de permitir o Windows ACL para pastas individuais partilhadas.
  2. Suporte compreensivo para todos os 13 tipos de permissões de Windows ACL.
  3. Possibilidade de ver as permissões efectivas do Windows ACL em detalhe a partir do interior da ADM.
  4. Apoio aos utilizadores e grupos da rede.
  5. Capacidade de aplicar as permissões ACL ao Samba, Explorador de ficheiros, AFP, FTP, WebDAV, protocolos de transferência de ficheiros Rsync.


1.1 Preciso de activar o Windows ACL?

Como descrito na secção anterior, o Windows ACL fornece até 13 definições de permissão diferentes que podem ser aplicadas a todos os utilizadores e grupos no NAS e no domínio (se o NAS tiver sido adicionado a um domínio Windows AD). Em caso de planeamento ou configuração incorrecta das permissões, existe a possibilidade de todos os utilizadores não poderem aceder a uma determinada pasta ou ficheiro. Obviamente, este tipo de erro pode ser resolvido utilizando uma conta de administrador, mas a quantidade de tempo perdido desde quando o problema ocorre pela primeira vez até quando é resolvido pode ser vista como um custo intangível significativo para as empresas.

O ASUSTOR NAS foi desenvolvido com base no sistema operativo Linux, pelo que as configurações nativas da ADM utilizam o mecanismo de gestão de permissões Linux:

  • Permissões aplicáveis: RW (Read & Write), RO (Read Only), DA (Deny Access)
  • As permissões podem ser aplicadas: "Proprietário", ao grupo de que o proprietário faz parte e "Outro".

O menor número de opções permite uma configuração mais simples. No entanto, a flexibilidade e adaptabilidade das permissões é muito limitada. Por exemplo, ao utilizar o mecanismo de permissões do Linux, não é possível dar a um utilizador a capacidade de editar um ficheiro sem lhe dar permissão para apagar o ficheiro.

Se estiver a utilizar o seu NAS apenas entre si e um número limitado de familiares e amigos, então recomenda-se que utilize o mecanismo original de gestão de permissões da ADM. No entanto, se o seu NAS estiver a ser utilizado para armazenamento de dados empresariais, sugere-se que primeiro consulte o seu pessoal de TI para decidir se é apropriado activar as permissões do Windows ACL e depois completar um plano de implementação das permissões caso decida utilizá-lo.

Proporcionámos-lhe a flexibilidade necessária para activar ou desactivar o Windows ACL para pastas partilhadas únicas, o que é muito útil para avaliação e planeamento. Pode criar uma pasta partilhada para testes, activar o Windows ACL e depois configurar as permissões. Posteriormente poderá verificar se os resultados são os que esperava que fossem. Uma vez obtidos os resultados pretendidos, pode então aplicar as definições à pasta partilhada da sua escolha. Isto permite-lhe evitar quaisquer erros ou erros no planeamento que possam negar o acesso a dados importantes, afectando o funcionamento do seu negócio.




2. Configurar o Windows ACL


2.1 Activação do Windows ACL


Criação de uma nova pasta partilhada:

  • Faça login em seu ADM com uma conta de administrador usando seu navegador da web.
  • Selecione Pastas compartilhadas dentro de Controlo de Acessos.
  • Clique em Adicionar.


  • Digite um nome para a nova pasta. Clique em [Avançar].


  • Após definir os direitos de acesso para a pasta partilhada, seleccione a caixa de verificação [Activar Windows ACL] e clique em [Avançar].

    Nota: Os direitos de acesso a pastas partilhadas são o primeiro nível de verificação de permissões. Se a um utilizador ou grupo não tiverem sido atribuídas aqui permissões de "Ler & Escrever", quaisquer permissões do Windows ACL que lhes tenham sido atribuídas serão bloqueadas. Por conseguinte, recomenda-se configurar direitos de acesso mais permissivos para pastas partilhadas que tenham o Windows ACL activado e depois utilizar o Windows ACL para configurar mais tarde permissões mais específicas.


  • Selecione [Pular] e clique em [Avançar].


  • Confirme suas configurações e clique em Concluir.


Activação do Windows ACL para pastas partilhadas já existentes:

  • Selecione Pastas compartilhadas dentro de Controlo de Acessos.
  • Selecione a pasta partilhada para a qual deseja activar o Windows ACL para e clique em [Editar].


  • Selecione [Windows ACL]。
  • Selecione [Activar Windows ACL] e clique em [Fechar].

Sobre Windows ACL

  1. Depois de activar ACL do Windows para uma pasta partilhada, a pasta partilhada e todas as subpastas e os ficheiros contidos dentro dele podem ser atribuídos permissões de utilizador ou grupo.
  2. As seguintes pastas partilhadas não suportam permissões de ACL do Windows: HOME, HOME do utilizador, Galeria de fotos, Web, vigilância, MyArchive, reciclagem, dispositivos virtuais, dispositivos externos (USB discos rígidos, unidades ópticas).
  3. Depois de activar o Windows ACL poderá usar o Explorador de Ficheiros do ADM ou o Explorador do Windows para configurar permissões. Depois de desactivar o Windows ACL só será capaz de configurar as permissões dentro Explorador de Ficheiros do ADM.
  4. Se activar o ACL do Windows e depois decidir desativá-lo, a todos os ficheiros e pastas será reatribuídas permissões de leitura e escrita para todos os utilizadores.
  5. Mesmo com Windows ACL activado ou não, serão necessárias permissões para os utilizadores acederem aos ficheiros/pastas partilhadas.


2.2 Configuração das permissões do Windows ACL com o ADM Explorador de ficheiros


  • Na área de trabalho do ADM, selecione [Explorador de ficheiros].
  • Selecione uma pasta (ou subpasta ou ficheiro) partilhada para a qual activou o Windows ACL. Clique com o botão direito do rato sobre a pasta partilhada e depois seleccione [Propriedades].


  • Selecione o separador [Permissão]. Aqui poderá ver as permissões actualmente configuradas para a pasta. Pode também gerir aqui as permissões para a pasta.


Depois de activar o Windows ACL para uma pasta partilhada, o sistema por defeito atribuirá permissões de "Ler & Escrever, mas não pode Apagar" a "Todos", "administradores" e à conta "admin". Estas permissões serão aplicadas apenas à pasta partilhada e não serão herdadas por objectos abaixo. Estas permissões padrão podem ser modificadas usando os botões [Editar] ou [Remover].

Nota: Um ficheiro ou pasta individual pode utilizar um máximo de 250 permissões ACL do Windows (incluindo permissões herdadas).


  • Incluir permissões herdáveis do pai deste objecto:
    Esta opção é activada por defeito. O sistema irá configurar automaticamente sub pastas e ficheiros para herdar permissões do objecto acima dele. A desactivação desta opção irá rejeitar todas as permissões hereditárias e apenas manterá as permissões recentemente adicionadas.
  • Substituir todas as permissões de objectos menores por permissões hereditárias a partir deste objecto:
    A activação desta opção irá substituir todas as permissões de subpastas e ficheiros por outras do objecto pai.

As funções de gestão que poderão ser utilizadas aqui são as seguintes:

Adicionar:

  • Clique no botão [Adicionar] para criar uma nova permissão para o objecto.


  • Utilizador ou grupo:
    Especificar o utilizador ou grupo ao qual pretende aplicar a permissão.


  • Tipo:
    Seleccione [Permitir] ou [Negar] para conceder ou negar a permissão ao utilizador ou grupo.
  • Aplicar a:
    Esta opção só aparecerá quando se adicionam permissões a uma pasta. A partir do menu suspenso, pode seleccionar onde a permissão será aplicada. A forma como a permissão será aplicada será determinada pela selecção ou não da caixa de verificação [Aplicar estas permissões apenas a objectos e/ou contentores dentro do contentor].
  • Aplicar estas permissões apenas a objectos e/ou contentores dentro do contentor:
    • Quando a opção está desmarcada:
      Aplicar a Aplicar permissão para a pasta actual Aplicar permissão para subpastas dentro da pasta actual Aplicar permissão a ficheiros dentro da pasta actual Aplicar permissão a todas as subpastas subsequentes Aplicar permissão a ficheiros dentro de todas as subpastas subsequentes
      Esta pasta apenas
      Esta pasta, subpastas e ficheiros
      Esta pasta e subpastas
      Esta pasta e ficheiros
      Apenas subpastas e ficheiros
      Apenas subpastas
      Apenas ficheiros
    • Quando a opção estiver marcada:
      Aplicar a Aplicar permissão para a pasta actual Aplicar permissão para subpastas dentro da pasta actual Aplicar permissão a ficheiros dentro da pasta actual Aplicar permissão a todas as subpastas subsequentes Aplicar permissão a ficheiros dentro de todas as subpastas subsequentes
      Esta pasta apenas
      Esta pasta, subpastas e ficheiros
      Esta pasta e subpastas
      Esta pasta e ficheiros
      Apenas subpastas e ficheiros
      Apenas subpastas
      Apenas ficheiros

Os 13 tipos de permissões do Windows ACL são descritos abaixo:

  • Pasta transversal/arquivo exacto: Traverse Folder permite ou nega o movimento através de pastas para alcançar outros ficheiros ou pastas, mesmo que o utilizador não tenha permissões para as pastas atravessadas (aplica-se apenas a pastas). Execute File permite ou nega a execução de ficheiros de programas (aplica-se apenas a ficheiros).
  • Listar pasta/ler dados: Listar Pasta permite ou nega a visualização de nomes de ficheiros e sub-pastas dentro da pasta (aplica-se apenas a pastas). Ler dados permite ou nega a visualização de dados em ficheiros (aplica-se apenas a ficheiros).
  • Atributos de leitura: Permite ou nega a visualização dos atributos de um ficheiro ou pasta, tais como apenas leitura, oculta, comprimida e encriptada.
  • Ler atributos alargados: Permite ou nega a visualização dos atributos alargados de um ficheiro ou pasta. Os atributos alargados são definidos por programas e podem variar por programa.
  • Criar ficheiros/escrever dados: Criar ficheiros permite ou nega a criação de ficheiros dentro da pasta (aplica-se apenas a pastas). Escrever Dados permite ou nega fazer alterações ao ficheiro e sobrescrever o conteúdo existente (aplica-se apenas a ficheiros).
  • Criar pastas/apender dados: Criar Pastas permite ou nega a criação de pastas dentro da pasta (aplica-se apenas a pastas). Anexar Dados permite ou nega fazer alterações ao fim do ficheiro mas não alterar, apagar, ou sobrescrever dados existentes (aplica-se apenas a ficheiros).
  • Escrever atributos: Permite ou nega a alteração dos atributos de um ficheiro ou pasta.
  • Escrever atributos alargados: Permite ou nega a alteração dos atributos alargados de um ficheiro ou pasta. Os atributos alargados são definidos por programas e podem variar por programa.
  • Eliminar subpastas e ficheiros: Permite ou nega a eliminação de subpastas e ficheiros, mesmo que a permissão de Eliminação não tenha sido concedida na subpasta ou ficheiro (aplica-se a pastas).
  • Eliminar: Permite ou nega a eliminação do ficheiro ou pasta.
  • Ler permissões: Permite ou nega as permissões de leitura do ficheiro ou pasta.
  • Alterar permissões: Permite ou nega a alteração das permissões do ficheiro ou pasta.
  • Assumir a propriedade: Permite ou nega tomar posse do ficheiro ou pasta. O proprietário de um ficheiro ou pasta pode sempre alterar as permissões sobre ele, independentemente de quaisquer permissões existentes que protejam o ficheiro ou pasta.

Editar:

  • Seleccionar uma permissão e depois clicar no botão [Editar] permitir-lhe-á modificar a permissão.



Remover:

  • Seleccionando uma permissão e depois clicando em [Remover] irá remover a permissão do objecto actual.

Permissões efectivas:

  • Ao clicar no botão [Permissões efectivas] e depois seleccionar um utilizador da lista, será possível visualizar as permissões efectivas do utilizador no que diz respeito à pasta ou ficheiro especificado. As permissões efectivas são determinadas a partir da combinação de permissões Windows ACL e direitos de acesso a pastas partilhadas.



2.3 Configuração das permissões do Windows ACL com o Windows Explorer

Primeiro, utilizar uma conta de administrador do Windows para mapear uma pasta partilhada com o Windows ACL como uma unidade de rede. Para mais informações, consulte NAS 106: Usando NAS com Microsoft Windows.


  • Clique com o botão direito do rato em qualquer ficheiro ou subpasta dentro da pasta partilhada e depois seleccione [Propriedades].


  • Selecione o separador [Segurança]. Aqui, poderá ver uma lista de utilizadores e grupos e as suas permissões ACL para o ficheiro ou subpasta.


Se um objecto herdou simultaneamente permissões dos seus pais e também permissões explícitas, as permissões herdadas serão verificadas a cinzento enquanto que as permissões explícitas serão verificadas a preto.


  • Clique em [Editar] [Adicionar].


  • No campo [A partir deste local:] deverá ver a seguinte informação:
    • Se o NAS tiver sido adicionado a um domínio Windows AD, verá o nome de domínio AD.
    • Se o NAS não tiver sido adicionado a um domínio AD do Windows, verá o endereço IP do NAS.


  • No campo [Introduzir os nomes dos objectos a seleccionar], introduza as seguintes informações:
    • Se o NAS tiver sido adicionado a um domínio Windows AD, introduza o nome de utilizador ou grupo do domínio e depois clique em [Verificar Nomes] para verificar o nome de utilizador/grupo. Em seguida, clicar em [OK].
    • Se o NAS não tiver sido adicionado a um domínio Windows AD, introduza o nome local do utilizador ou grupo ADM e depois clique em [Verificar Nomes] para verificar o nome do utilizador/grupo. Em seguida, clicar em [OK].


  • Agora, deverá ser possível ver o novo utilizador ou grupo adicionado na lista [Nomes de grupo ou de utilizador:]. Seleccione o utilizador ou grupo e depois use as caixas de verificação [Permitir] e [Negar] para configurar as suas permissões de acesso para o objecto. Uma vez terminado, clicar em [Aplicar].



2.4 Regras de permissão e precauções do Windows ACL


ACL Conflituosas permissões ACL:

  • Se se deparar com permissões Windows ACL contraditórias, será dada prioridade às permissões explícitas do objecto. Por exemplo, se o utilizador "testuser" herdar as permissões "Allow Read & Execute" para um ficheiro, mas as permissões explícitas dadas para o ficheiro forem "Deny Read & Execute", então "testuser" não poderá aceder ao ficheiro.
  • Pelo contrário, se "testuser" herdar as permissões de "Negar Leitura" mas as permissões explícitas dadas ao ficheiro forem "Permitir Leitura", então "testuser" poderá aceder ao ficheiro.



Regras para a movimentação de ficheiros e pastas:

Cópia Mudança
Movendo-se dentro da mesma pasta partilhada A1. ACL Deficiente Manter as permissões existentes Manter as permissões existentes
A2. ACL Activado
  • Remover as permissões ACL herdadas da pasta de origem
  • Remover permissões ACL explícitas
  • Aplicar as permissões ACL herdadas da pasta de destino
  • Remover as permissões ACL herdadas da pasta de origem
  • Manter permissões ACL explícitas
  • Aplicar as permissões ACL herdadas da pasta de destino
Movendo-se entre diferentes pastas partilhadas B1. ACL Deficiente ACL Deficiente Manter as permissões existentes Manter as permissões existentes
B2. ACL Deficiente ACL Activado Aplicar as permissões ACL herdadas da pasta de destino Aplicar as permissões ACL herdadas da pasta de destino
B3. ACL Activado ACL Deficiente
  • Retirar todas as permissões ACL
  • As permissões serão repostas como "Acesso total para todos os utilizadores".
  • Retirar todas as permissões ACL
  • As permissões serão repostas como "Acesso total para todos os utilizadores".
B4. ACL Activado ACL Activado
  • Retirar as permissões ACL herdadas da pasta de origem
  • Remover permissões ACL explícitas
  • Aplicar as permissões ACL herdadas da pasta de destino
  • Retirar as permissões ACL herdadas da pasta de origem
  • Remover permissões ACL explícitas
  • Aplicar as permissões ACL herdadas da pasta de destino

Excepções: Quando os dados são apagados de uma pasta partilhada activada pela ACL e movidos para a lixeira da rede, as regras de "B3" no gráfico acima não se aplicarão. Isto é para evitar a situação em que ficheiros com permissões de "Negar Acesso" são apagados e movidos para a Lixeira da Rede e depois tornam-se totalmente acessíveis a todos os utilizadores. Tendo em consideração a privacidade e segurança, os ficheiros de pastas com ACL activadas que são movidos para a Lixeira da Rede receberão a permissão "Read & Write for Owners, Deny Access for all Other Users" (Ler e Escrever para Proprietários, Negar Acesso a todos os Outros Utilizadores).


Permissões de eliminação de ficheiros:

Existem 2 permissões associadas à eliminação de ficheiros:

  1. O utilizador tem permissão explícita para "Eliminar" o ficheiro.
  2. O utilizador tem a permissão "Eliminar subpastas e ficheiros" para a pasta principal do ficheiro.

Se alguma das permissões acima mencionadas for configurada como "Negar", então o utilizador não será capaz de apagar o ficheiro. Apenas se nenhuma das permissões acima referidas tiver sido configurada como "Negar" e pelo menos uma delas tiver sido configurada como "Permitir", o utilizador será capaz de apagar o ficheiro.


Direito de acesso dos objectos:

Após o Windows ACL ter sido activado para uma pasta partilhada, cada objecto (subpastas e ficheiros) contido dentro da pasta terá um direito de acesso.

  • Pode ver o direito de acesso a um objecto seleccionando-o a partir do ADM File Explorer, clicando com o botão direito do rato sobre ele e depois seleccionando [Propriedades]. Haverá um link de edição na secção [Partilhar Direitos de Acesso a Pasta] do separador [Geral].



A pessoa que tiver direito de acesso poderá configurar as permissões ACL para o mesmo. Por exemplo, o utilizador admin no gráfico acima, é o proprietário da pasta "ACL_Test". Portanto, o admin poderá configurar as permissões ACL para a pasta e subpasta e ficheiros contidos na mesma.
Para cada objecto recentemente adicionado, o criador do objecto será definido como os direitos de acesso por defeito. Além disso, os utilizadores do grupo de administrador terão a possibilidade de modificar os direitos de acesso. Por exemplo, se quiséssemos transferir a propriedade da pasta "ACL_Test" no gráfico acima para outros utilizadores (isto é, testuser), admin e todos os utilizadores do grupo de administrador teriam a capacidade de transferir a propriedade. Quando testuser se tornar proprietária da pasta "ACL_Test", ela será capaz de reconfigurar as permissões para as suas subpastas e ficheiros, mesmo que não tivesse originalmente permissões de acesso para eles.




2.5 Mover objectos para o seu NAS mantendo as permissões ACL

Quando todos os PCs Windows e dispositivos NAS num ambiente de rede tiverem sido adicionados ao mesmo domínio Windows AD, todas as contas de utilizadores e permissões no domínio podem ser combinadas em conjunto. No entanto, ao mover ficheiros ou pastas de um servidor PC para um NAS, as permissões ACL existentes não serão retidas (usando as regras da seção anterior). Isto faz com que o pessoal de TI tenha de reconfigurar as permissões.

Se desejar manter as permissões ACL existentes ao mover ficheiros ou pastas para o seu NAS, pode utilizar o Fastcopy, um software de terceiros. No exemplo abaixo, iremos demonstrar como utilizar esta Fastcopy.


  • Primeiro, utilizar uma conta de administrador do Windows para mapear uma pasta partilhada com o Windows ACL como uma unidade de rede. Para mais informações, consulte NAS 106: Usando NAS com Microsoft Windows.


  • Abrir Fastcopy.
  • [Fonte]: Especifique aqui a pasta da fonte.
  • [DestDir]: Especifique aqui a pasta de destino.. (a unidade de rede mapeada na etapa anterior)
  • Seleccione a caixa de verificação [ACL] para assegurar que o Fastcopy manterá as permissões originais ACL dos seus ficheiros quando os mover.
  • Clique em [Executar] para começar a mover a pasta.


  • Depois de a pasta ter sido movida com sucesso, todos os dados movidos para o destino terão retido as suas permissões ACL da fonte (incluindo todas as permissões explícitas e herdadas). Estes dados não herdarão quaisquer permissões do objecto pai na fonte.

Esse artigo foi útil? sim / Não