Мы используем cookie-файлы, чтобы улучшить эту веб-страницу. Ознакомьтесь с Политикой в отношении cookie-файлов .

NAS 471

Знакомимся с Windows ACL

Учимся использовать Windows ACL для управления правами доступа к данным в вашем ASUSTOR NAS.

2024-05-31

ЦЕЛИ КУРСА

После прохождения этого курса вы получите следующие умения:

  1. Понимание основных принципов использования Windows ACL с вашим ASUSTOR NAS.
  2. Использовать Windows ACL для управления правами доступа к данным в вашем ASUSTOR NAS.

ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ

Предварительные условия курса:

NAS 106: Работа с NAS в Microsoft Windows

Слушатели должны получить следующие практические знания:

Общие папки, Управление доступом


ПЛАН КУРСА

1. Введение в Windows ACL

1.1 Должен ли я включить Windows ACL?

2. Конфигурирование Windows ACL

2.1 Включение Windows ACL

2.2 Настройка разрешений Windows ACL с Файловый менеджер ADM

2.3 Настройка разрешений Windows ACL с Проводником Windows

2.4 Правила разрешений и меры предосторожности Windows ACL

2.5 Перемещение объектов в ваш NAS с одновременным поддержанием разрешений ACL





1. Введение в Windows ACL

Windows ACL – это 13 разных типов прав доступа к файлам, разработанных Microsoft для файловых систем NTFS, которые могут быть применены к определенным пользователям и группам. В рамках этого типа инфраструктуры администраторы могут создавать более подробные и точные конфигурации прав доступа.

Кроме того, в доменной инфраструктуре AD Windows (широко используемой предприятиями), права доступа Windows ACL могут быть применены для всех пользователей и групп в домене. Пользователи для входа могут использовать любой компьютер в сети, и до тех пор, пока они используют одно и то же имя учетной записи, все права остаются прежними. ИТ-персоналу не нужно настраивать разрешения для каждого отдельного сервера и рабочей станции ПК, что существенно повышает эффективность управления.

Для того, чтобы более тесно интегрировать ASUSTOR NAS с доменами AD, упрощая управление ИТ и повышая производительность, ASUSTOR глубоко интегрировал систему разрешений Windows ACL с ADM, предоставляя следующие уникальные характеристики:

  1. Возможность включить Windows ACL для отдельных общих папок.
  2. Комплексная поддержка всех 13 типов разрешений Windows ACL.
  3. Возможность просматривать действующие разрешения Windows ACL внутри ADM в деталях.
  4. Поддержка сетевых пользователей и групп.
  5. Возможность применить разрешения ACL к протоколам передачи файлов Samba, Файловый Менеджер, AFP, FTP, WebDAV, Rsync.


1.1 Должен ли я включить Windows ACL?

Как описано в предыдущем разделе, Windows ACL предоставляет до 13 различных настроек разрешений, которые могут быть применены ко всем пользователям и группам на NAS и на домене (если NAS была добавлена к домену Windows AD). В случае неправильного планирования или конфигурации разрешений существует вероятность того, что никто из пользователей не сможет получить доступ к определенной папке или файлу. Очевидно, этот тип ошибки может быть решен с помощью использования учетной записи администратора, но количество потраченного времени от момента возникновения до момента решения может быть рассмотрено как существенная нематериальная стоимость для предприятий.

ASUSTOR NAS разработан на основе операционной системы Linux, поэтому собственные настройки ADM используют механизм управления разрешениями Linux:

  • Применимые разрешения: RW (Чтение и Запись), RO (Только чтение), DA (Запретить доступ)
  • Разрешения могут быть применимы к: “Владельцу”, группе, где владелец является частью, и “Другие”.

Меньшее количество опций позволяет более простые конфигурации. Тем не менее гибкость и регулируемость разрешений очень ограничена. Например, при использовании механизма разрешений Linux нет возможности дать пользователю способность редактировать файл, при этом не давая им разрешение на удаление файла.

Если вы используете ваш NAS только между собой и ограниченным числом семьи и друзей, то рекомендуется использовать исходный механизм управления разрешениями ADM. Однако, если ваш NAS используется для хранения бизнес-данных предприятия, рекомендуется сначала проконсультироваться с вашим ИТ-персоналом, чтобы решить, уместно-ли включить разрешения для Windows ACL, и затем исполнить план развертывания разрешений, если вы решили его использовать.

Мы обеспечили вас гибкостью включения или отключения Windows ACL для отдельных общих папок, что очень полезно при оценивании и планировании. Вы можете создать общую папку для тестирования, включить Windows ACL, и затем настроить параметры разрешений. После этого вы можете проверить, отвечают ли результаты вашим ожиданиям. Как только вы получили требующиеся вам результаты, вы можете применить настройки к выбранной вами общей папке. Это позволит вам избежать каких-либо ошибок в планировании, что могут закрыть доступ к важным данным, и, таким образом, повлиять на работу вашего предприятия.




2. Конфигурирование Windows ACL


2.1 Включение Windows ACL


Создание новой общей папки:

  • Войдите в ADM под учетной записью администратора с помощью веб-браузера.
  • Выберите Общие папки в разделе Управление доступом.
  • Нажмите Добавить.


  • Введите имя для новой папки. Нажмите [Далее].


  • После настройки прав доступа к общей папке отметьте галочкой [Включить Windows ACL] и нажмите [Далее].

    Примечание: Права доступа к общей папке - это первый слой проверки разрешений. Если пользователю или группе не были здесь даны разрешения "Чтение & Запись", то любые назначенные им права доступа для Windows ACL будут заблокированы. Поэтому рекомендуется в начале настроить более мягкие права доступа к общим папкам, имеющим включенный Windows ACL, и затем позднее использовать Windows ACL для дальнейшей настройки более конкретных разрешений.


  • Выберите [Пропустить] и нажмите [Далее].


  • Подтвердите настройки и нажмите [Завершить].


Включение Windows ACL для уже существующих общих папок:

  • Выберите Общие папки в разделе Управление доступом.
  • Выберите общую папку, для которой необходимо включить Windows ACL, а затем нажмите [Редактировать]..


  • Выберите [Windows ACL].
  • Выберите [Включить Windows ACL], а затем нажмите [Закрыть].

Про Windows ACL

  1. При включении Windows ACL для общей папки пользовательские или групповые разрешения могут назначаться общей папке и входящим в нее вложенным папкам и файлам.
  2. Следующие общие папки не поддерживают разрешения Windows ACL: Home, User Homes, PhotoGallery, Web, Surveillance, MyArchive, Network Recycle Bin (Сетевая корзина), виртуальные устройства, внешние устройства (USB жесткие диски, оптические диски).
  3. Включив Windows ACL, вы сможете использовать Диспетчер файлов ADM или Microsoft Windows Explorer для настройки разрешений. Но в случае отключения Windows ACL настраивать разрешения можно только из Диспетчера файлов ADM.
  4. Если параметр Windows ACL был включен, а позже появилась необходимость его отключения, всем пользователям будут назначены другие разрешения "Чтение и запись" для всех файлов и папок.
  5. Независимо от использования Windows ACL, для доступа к файлам пользователям необходима общая папка и разрешения на доступ к файлам.


2.2 Настройка разрешений Windows ACL с Файловый менеджер ADM


  • На рабочем столе ADM выберите [Файловый менеджер].
  • Выберите общую папку (или подпапку или файл) для которой вы включили Windows ACL. Нажмите правую кнопку мышки и выберите [Параметры].


  • Из окна параметров выберите вкладку [Права доступа]. Здесь вы сможете увидеть разрешения для папки, настроенные в настоящее время. Также, здесь можно управлять разрешениями для папки.


После включения Windows ACL для общей папки система по умолчанию выдаст разрешение “Чтение и Запись, но нельзя Удалить” для учетных записей “Everyone”, “администраторов” и “admin”. Эти разрешения будут применяться только к общей папке и не будут наследоваться объектами ниже. Эти разрешения, установленные по умолчанию, могут быть изменены с помощью кнопки [Редактировать] или [Удалить].

Примечание: Отдельным файлом или папкой используется не более 250 разрешений Windows ACL (включая унаследованные разрешения).


  • Включить разрешения, наследуемые от родителя этого объекта:
    Эта опция включена по умолчанию. Система будет автоматически настраивать подпапки и файлы, чтобы унаследовать разрешения от вышестоящего объекта. Отключение этой опции отвергнет все наследуемые разрешения и сохранит только вновь добавленные разрешения.
  • Заменить все разрешения дочернего объекта на наследованные разрешения от данного объекта:
    Включение этой опции заменит все разрешения подпапок и файлов на те, что исходят от родительского объекта.

Вы сможете использовать следующие функции управления:

Добавить:

  • Нажмите кнопку [Добавить], чтобы создать новое разрешение для объекта.


  • Пользователь или группа:
    указать пользователя или группу, по отношению к которым вы хотите применить разрешение.


  • Тип:
    Выберите [Разрешить] или [Запретить], чтобы предоставить или запретить разрешение пользователю или группе.
  • Применить к:
    Эта опция появится только при добавлении разрешений к папке. Из выпадающего меню вы можете выбрать, где будет применяться разрешение. Способ, по которому будет применяться разрешение, определится тем, отметите-ли вы галочкой [Эти разрешения применяются только к объектам и (или) контейнерам, которые находятся внутри контейнера], или нет.
  • Эти разрешения применяются только к объектам и (или) контейнерам, которые находятся внутри контейнера:
    • Когда параметр не отмечен:
      Применить к Применить разрешение к данной папке Применить разрешение к подпапкам в данной папке Применить разрешение к файлам в данной папке Применить разрешение ко всем последующим подпапкам Применить разрешение к файлам во всех последующих подпапках
      Только данная папка
      Данная папка, подпапки и файлы
      Данная папка и подпапки
      Данная папка и файлы
      Только подпапки и файлы
      Только подпапки
      Только файлы
    • Когда опция отмечена:
      Применить к Применить разрешение к данной папке Применить разрешение к подпапкам в данной папке Применить разрешение к файлам в данной папке Применить разрешение ко всем последующим подпапкам Применить разрешение к файлам во всех последующих подпапках
      Только данная папка
      Данная папка, подпапки и файлы
      Данная папка и подпапки
      Данная папка и файлы
      Только подпапки и файлы
      Только подпапки
      Только файлы

13 типов разрешений Windows ACL описаны ниже:

  • Обзор папок/Выполнение файлов: «Обзор папок» разрешает или запрещает перемещение по папкам, чтобы добраться до других файлов или папок, даже если пользователь не имеет прав доступа к пройденным папкам (применимо только к папкам). «Выполнение файлов» разрешает или запрещает работать программные файлы (применимо только к файлам).
  • Содержание папки/Чтение данных: «Содержание папки» разрешает или запрещает просмотр имен файлов и подпапок в папке (применимо только к папкам). «Чтение данных» разрешает или запрещает просмотр данных в файлах (применимо только к файлам).
  • Чтение атрибутов: Позволяет или запрещает просмотр атрибутов файла или папки, такие, как «только для чтения», «скрытый», «сжатый» и «зашифрованный».
  • Чтение дополнительных атрибутов: Позволяет или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут варьироваться в зависимости от программы.
  • Создать файлы/запись данных: «Создать файлы» разрешает или запрещает создание файлов в папке (применимо только к папкам). «Запись данных» разрешает или запрещает внесение изменений в файл и перезапись существующего контента (применимо только к файлам).
  • Создать папки/добавление данных: «Создать папки» разрешает или запрещает создание папок внутри папки (применимо только к папкам). «Добавление данных» разрешает или запрещает внесение изменений в конец файла, но не изменение, удаление или перезапись существующих данных (применимо только к файлам).
  • Запись атрибутов: Позволяет или запрещает изменение атрибутов файла или папки.
  • Запись дополнительных атрибутов: Позволяет или запрещает изменение дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут варьироваться в зависимости от программы.
  • Удалить подпапки и файлы: Позволяет или запрещает удаление подпапок и файлов, даже если разрешение «Удалить» для подпапки или файла не было предоставлено (применимо к папкам).
  • Удалить: Позволяет или запрещает удаление файла или папки.
  • Чтение разрешений: Позволяет или запрещает чтение разрешений файла или папки.
  • Изменить разрешения: Позволяет или запрещает изменение прав доступа к файлу или папке.
  • Взять право владения: Позволяет или запрещает брать право владения файлом или папкой. Владелец файла или папки всегда может изменить разрешения на них, независимо от любых существующих разрешений, защищающих файл или папку.

Редактировать:

  • Выбрав разрешение и затем нажав кнопку [Редактировать], вы сможете его модифицировать.



Удалить:

  • Выбрав разрешение и затем нажав на кнопку [Удалить], вы удалите разрешение от данного объекта.

Действующие разрешения:

  • При нажатии на кнопку [Действующие разрешения], и затем выбрав пользователя из списка, вы сможете просматривать эффективные разрешения пользователя по отношению к указанной папке или файлу. Действующие разрешения определяются комбинацией разрешений Windows ACL и правами доступа к общей папке.



2.3 Настройка разрешений Windows ACL с Проводником Windows

Во-первых, используйте учетную запись администратора для отображения включенной общей папки под управлением Windows ACL в качестве сетевого диска. Для дальнейшей информации, пожалуйста, обратитесь к курсу NAS 106: Работа с NAS в Microsoft Windows.


  • Нажмите правую кнопку мышки на любой файл или подпапку внутри общей папки и затем выберите [Параметры].


  • Выберите вкладку [Безопасность]. Здесь вы сможете увидеть список пользователей и групп пользователей и их права доступа ACL для файла или подпапки.


Если объект одновременно унаследовал разрешения от своего родителя и также явные разрешения, унаследованные разрешения будут выведены серым цветом, в то время, как явные разрешения будут выведены черным цветом.


  • Нажмите [Редактировать] [Добавить].


  • В поле [Из этой локации:] вы должны увидеть следующую информацию:
    • Если NAS был добавлен к домену Windows AD, вы увидите имя домена AD.
    • Если NAS не был добавлен к домену Windows AD, вы увидите IP адрес NAS.


  • В поле [Введите имена объектов для выбора] введите следующую информацию:
    • Если NAS был добавлен в домен Windows AD, введите имя пользователя или группы пользователей домена и затем нажмите [Проверить имена] для того, чтобы подтвердить имя пользователя/группы. Затем нажмите [OK].
    • Если NAS не был добавлен в домен Windows AD, введите имя локального пользователя или группы ADM и затем нажмите [Проверить имена] для того, чтобы подтвердить имя пользователя/группы. Затем нажмите [OK].


  • Теперь вы можете увидеть вновь добавленного пользователя или группу в списке [Group or user names:]. Выберите пользователя или группу, и затем используйте флажки [Разрешить] и [Запретить] для настройки их прав доступа на данный объект. По завершении нажмите [Применить].



2.4 Правила разрешений и меры предосторожности Windows ACL


Конфликтующие разрешения ACL:

  • Если вы столкнулись с конфликтующими разрешениями Windows ACL, приоритет будет отдан явным разрешениям объекта. Например, если пользователь «testuser» наследует разрешения "Разрешить чтение и выполнение" для файла, но заданные явные разрешения для файла "Запретить чтение и выполнение", то «testuser» не сможет получить доступ к файлу.
  • И наоборот, если «testuser» наследует разрешение «Запретить Чтение», но явным разрешением, данным для файла, является "Разрешить чтение", то «testuser» сможет получить доступ к файлу.



Правила перемещения файлов и папок:

Копировать Переместить
Перемещение в той же общей папке A1. ACL Oтключен Сохранить существующие разрешения Сохранить существующие разрешения
A2. ACL Включен
  • Удалить разрешения ACL, наследованные от исходной папки
  • Удалить явные разрешения ACL
  • Применить разрешения ACL, наследованные от папки назначения
  • Удалить разрешения ACL, наследованные от исходной папки
  • Сохранить явные разрешения ACL
  • Применить разрешения ACL, наследованные от папки назначения
Перемещение между различными общими папками B1. ACL Oтключен ACL Oтключен Сохранить существующие разрешения Сохранить существующие разрешения
B2. ACL Oтключен ACL Включен Применить разрешения ACL, наследованные от папки назначения Применить разрешения ACL, наследованные от папки назначения
B3. ACL Включен ACL Oтключен
  • Удалить все разрешения ACL
  • Разрешения будут сброшены до "Полный доступ для всех пользователей”
  • Удалить все разрешения ACL
  • Разрешения будут сброшены до "Полный доступ для всех пользователей”
B4. ACL Включен ACL Включен
  • Удалить разрешения ACL, наследованные от исходной папки
  • Удалить явные разрешения ACL
  • Применить разрешения ACL, наследованные от папки назначения
  • Удалить разрешения ACL, наследованные от исходной папки
  • Удалить явные разрешения ACL
  • Применить разрешения ACL, наследованные от папки назначения

Исключения: Когда данные удалены из общей папки с включенным ACL и перемещены в сетевую корзину, правила из "B3" в приведенной выше таблице не будут применяться. Это сделано для предотвращения ситуации, когда файлы с разрешением "Запретить доступ" могут быть удалены и перемещены в сетевую корзину, и затем стать полностью доступными для всех пользователей. Принимая во внимание конфиденциальность и безопасность, файлам, перемещенным в сетевую корзину из папки с включенным ACL, будет присвоено разрешение "Чтение и запись для владельцев, запретить доступ для всех других пользователей".


Разрешения удаления файлов:

Есть 2 разрешения, связанные с удалением файлов:

  1. Пользователь имеет явное разрешение "Удалить" для файла.
  2. Пользователь имеет разрешение "Удалить подпапки и файлы" для родительской папки файла.

Если какое-либо из вышеуказанных разрешений настроено как "Запретить", то пользователь не сможет удалить файл. Только если ни одно из вышеуказанных разрешений был сконфигурировано как "Запретить", и по крайней мере одно из них был сконфигурировано как "Разрешить", то пользователь сможет удалить файл.


Права Доступа объектов:

После того как Windows ACL включен для папки общего доступа, каждый объект (подпапки и файлы), содержащийся в папке, также будет иметь право доступа.

  • Для того, чтобы увидеть права доступа к объекту, выберите его из Файлового Менеджера ADM, нажмите правую кнопку мышки и выберите [Параметры]. Там будет ссылка для редактирования в секции [Права доступа к общей папке] во вкладке [Общие сведения].



Человек, имеющий право доступа, сможет настраивать разрешения ACL. Например, пользователь admin в приведенном выше рисунке, является владельцем папки ACL_Test. Поэтому admin сможет настраивать разрешения ACL для папки и подпапки, и файлов, содержащихся в нем.
Для каждого вновь добавленного объекта права доступа для создателя объекта будет установлены по умолчанию. Кроме того, пользователи в группе администраторов смогут менять права доступа. Например, если мы хотели передать право владения папки ACL_Test другим пользователям (то есть, testuser), то admin и все пользователи в группе администратора будут иметь способность передавать право собственности. Как только testuser становится владельцем папки ACL_Test, он будет иметь возможность перенастраивать разрешения для подпапок и файлов, даже если первоначально она не имела права доступа к ним.




2.5 Перемещение объектов в ваш NAS с одновременным поддержанием разрешений ACL

В момент, когда все ПК с ОС Windows и устройства NAS в сетевой среде были добавлены к тому же домену Windows AD, все учетные записи пользователей и разрешения к домену могут быть объединены вместе. Тем не менее, при перемещении файлов или папок с сервера ПК на NAS существующие разрешения ACL не будут сохранены (используя правила из предыдущего раздела). Это заставит ИТ-персонал перенастроить разрешения.

Если вы хотите сохранить существующие разрешения ACL при перемещении файлов или папок на NAS, вы можете воспользоваться Fastcopy–сторонним програмным обеспечением. В примере ниже показано, как пользоваться FastCopy.


  • Во-первых, используйте учетную запись администратора для отображения включенной общей папки под управлением Windows ACL в качестве сетевого диска. Для дальнейшей информации, пожалуйста, обратитесь к курсу NAS 106: Работа с NAS в Microsoft Windows.


  • Откройте FastCopy.
  • [Source]: Укажите исходную папку здесь.
  • [DestDir]: Укажите здесь папку назначения (сетевой диск, отображенный на предыдущем шаге).
  • Отметьте галочкой [ACL], чтобы гарантировать, что FastCopy сохранит исходные разрешения ACL ваших файлов при их перемещении.
  • Нажмите [Execute], чтобы начать перемещение папки.


  • После того, как папка была успешно перемещена, все данные, перемещенные в место назначения, сохранят свои разрешения ACL от источника (включая все явные и наследуемые разрешения). Эти данные не будут наследовать разрешения от родительского объекта в источнике.

Была ли эта статья полезной? Да / Нет