我们使用 cookie 来帮助我们改善网页体验。请阅读我们的 Cookie 政策

NAS 110

关于访问控制

簡介 ASUSTOR  存取控制  之功能

2019-09-24

课程目的
完成此课程后您将能够:
1. 对于 访问控制与权限 有一定程度的认识

2.了解 访问控制 的基本功能与设定


必修项目
课程必修项目:

学生须先具备以下知识:


大纲
1. 关于访问控制
1.1 访问控制是什么?

1.2 Admin管理员权限跟一般用户权力有什么差异?

2. 如何使用访问控制

2.1 访问控制是什么?

2.2. 本地组

2.3. AD/LDAP

2.4. 共享文件夹

2.5. App权限



1. 关于 访问控制

1.1 访问控制是什么?
访问控制是一种管理使用者与使用者群组是否能存取某些共享文件夹以及某些APP的功能,例如父母亲不想让小孩存取成人影片文件夹,这时候需要透过访问控制限制小孩不能浏览观看文件夹。

1.2 Admin管理员权限跟一般用户权力有什么差异?

Admin管理员权限预设为可使用存取所有的APP以及文件夹,一般用户权力只能存取特定APP以及文件夹,除非权限有被admin管理员调整增加才能存取其余APP以及文件夹


关于本机使用者

当系统初次设定完毕后,将自动产生两组使用者账号 admin 及 guest。admin 为系统默认的管理员并拥有绝大多数的权限,您可稍后在此修改其权限及密码。guest 为预设的访客账号,仅适用于 CIFS/SAMBA 及 AFP,因不具备登入及认证的权限,所以无法修改其密码。使用admin管理员增加新使用者时可以调整新使用者的权限,您可以使其拥有和admin管理员一样的权限。


关于本地组
当系统初次设定完毕后,将自动产生两组使用者群组 administrators及users。administrators 为系统默认的管理员群组,若某一使用者被加入此群组,原则上其将拥有绝大多数的管理者权限,而admin 账号为此群组的预设成员且无法被移除。 users 为系统的基本群组,所有的使用者皆属于此群组且无法被移除。


2. 如何使用访问控制

2.1. 本机使用者
您可以在此管理 (新增、修改或移除) 系统的用户,或针对个别使用者指派其对于共享文件夹的访问权限。

2.1.1 如何新增单一使用者,并调整其用户权力。

1. 新增使用者



2. 填写用户信息


3. 设定使用者角色与权限


4. 选择使用者所属的群组


5. 使用者的文件夹访问权限


DA: Deny Access 禁止存取 (使用者禁止存取该文件夹)

RW: Read & Write 读取&写入 (使用者可以读取&写入该文件夹)

RO: Read Only 只读 (使用者只读该文件夹)

访问权限之优先级: 禁止存取>读取&写入>只读> 未设定


6. 设定用户使用容量限制


7. 设定App权限


8. 完成


2.1.2 如何修改用户信息与权限。

编辑用户信息


编辑群组


编辑文件夹-访问权限

(为方便设定,系统提供预览模式,让您在修改权限的过程中即可预先检视套用之后的变化。)


DA: Deny Access 禁止存取 (使用者禁止存取该文件夹)

RW: Read & Write 读取&写入 (使用者可以读取&写入该文件夹)

RO: Read Only 只读 (使用者只读该文件夹)

访问权限之优先级: 禁止存取>读取&写入>只读> 未设定



1 :  使用者的共享文件夹权限
2 :  群组的共享文件夹权限


编辑容量限制



2.2. 本地组

您可以在此管理 (新增、修改或移除) 系统的用户群组,或针对个别群组指派其对于共享文件夹的访问权限。

提醒:若您的使用环境人数较多,使用者群组可方便您以群组的方式来指派权限,而不需根据每个使用者逐一进行权限设定。

2.2.1 如何新增本地组,并调整其本地组权限。

1. 新增



2. 填写新本地组信息



3. 增加使用者到此本地组



4. 设定文件夹访问权限


DA: Deny Access 禁止存取  (群组禁止存取该文件夹)

RW: Read & Write 读取&写入 (群组可以读取&写入该文件夹)

RO: Read Only 只读 (群组只读该文件夹)

访问权限之优先级: 禁止存取>读取&写入>只读> 未设定



5. 完成




2.2.2 如何编辑本地组,并调整其本地组权限。

编辑群组



编辑群组成员


编辑文件夹-访问权限



DA: Deny Access 禁止存取  (群组禁止存取该文件夹)

RW: Read & Write 读取&写入  (群组可以读取&写入该文件夹)

RO: Read Only 只读 (群组只读该文件夹)

访问权限之优先级: 禁止存取>读取&写入>只读> 未设定




2.3. AD/LDAP

若您有使用 Windows Active Directory (以下简称 AD),也可在此将 NAS 加入 AD 网域。
Windows Active Directory: 成功加入 Active Directory 后,您可以在访问控制中的AD/ LDAP 使用者、AD/ LDAP 群组及共享文件夹进行权限设定。尔后AD 使用者即可以自己的 AD 账号登入并存取储存于 NAS 上的数据。


Lightweight Directory Access Protocol (LDAP): LDAP (Lightweight Directory Access Protocol) 是一个轻量级的目录存取协议,主要用于统一管理账号与密码。使用LDAP 技术可以更有效率来管理企业间的用户认证或计算机资源权限。用户可将 ASUSTOR NAS 轻松加入既有的 LDAP 服务器,让管理化繁为简,提升工作生产力。

提醒:ASUSTOR NAS 可支持 20 万个以上的 AD / LDAP 使用者及群组。首次加入 AD / LDAP 网域时,若您的 AD / LDAP 使用者或群组较多,可能需稍微等候方可完整显示。


细节请参考
NAS 206 - 在 Windows Active Directory 上使用 NAS

2.4. 共享文件夹

您可在此管理 (新增、修改或移除) 共享文件夹,并根据使用者或使用者群组来设定其权限。共享文件夹是 NAS 作为文件服务器,提供外界进行档案存取的基本单位。

当系统初次设定完毕后,将自动产生一共享文件夹 Public,预设权限为所有使用者皆能够读取及写入该文件夹。 此外,系统将依据当前的本机使用者账号,自动建立每个用户的个人目录,默认为仅该使用者能够存取。

2.4.1 如何新增共享文件夹,并调整共享文件夹权限。

1. 新增


2. 填写新增共享文件夹信息



附注:此处有三个选项,视个人需求自行勾选


  • 不显示于「网络」或「网络上的芳邻」中:此选项仅适用于微软窗口操作系统。当您启用此选项,NAS 将不会主动出现于「网络」中,此并不会影响与 NAS 间的联机。
  • 清除回收桶:点击此按钮后,系统将会立即清空此共享文件夹的回收桶。
  • 加密此共享文件夹:您可以选择将共享文件夹加密,并选择在开机时不自动挂载。如此一来当系统重新启动后,您必须手动键入密码或汇入加密密钥,此文件夹才可被存取。一般而言,加密数据夹是用来存放较重要或机密的数据,此目的乃是在于防止当机器失窃时,重要数据外泄的可能。
警告:

当您选择将共享文件夹加密后,请妥善保存您的密码。倘若密码遗失,该文件夹中的数据将永远遗失且无法以任何方式取回。



3.  设定文件夹访问权限

预设为"管理员群组可读取及写入,其余使用者仅能读取",按下一步完成后确认信息即可完成。


另外两个选项依用户设定及依群组设定

依使用者设定


选择使用者


DA: Deny Access 禁止存取 (使用者禁止存取该共享文件夹)
RW: Read & Write 读取&写入 (使用者可以读取&写入该共享文件夹)
RO: Read Only 只读 (使用者只读该共享文件夹)


访问权限之优先级: 禁止存取>读取&写入>只读> 未设定


完成


依群组设定




选择群组


DA: Deny Access 禁止存取  (群组禁止存取该共享文件夹)

RW: Read & Write 读取&写入  (群组可以读取&写入该共享文件夹)

RO: Read Only 只读 (群组只读该共享文件夹)

访问权限之优先级: 禁止存取>读取&写入>只读> 未设定


完成

备注:

Windows ACL
启用 Windows ACL 之后,该共享文件夹以及其内含的所有子文件夹/档案都可以个别指派使用者或群组权限。
下列共享文件夹不支持 Windows ACL 权限管理系统:Home,User Homes,Photo Gallery,Web,Surveillance,MyArchive,资源回收桶,虚拟磁盘,外接装置 (USB 硬盘,光驱)。
启用 Windows ACL,您将可以使用 ADM 档案总管或是 Windows 档案总管自定义权限;停用 Windows ACL,您将只能从 ADM 档案总管设定权限。
如启用 Windows ACL 而后续停用此功能,所有文件夹/档案将被重新设定为所有使用者都能完整存取。
无论使用 Windows ACL 与否,使用者都将需要共享文件夹与档案两方的权限来存取档案。


了解更多ACL

https://www.asustor.com/online/College_topic?topic=471


2.4.2 如何编辑共享文件夹及其权限。

选择共享文件夹后,按编辑


编辑



调整访问权限

选择共享文件夹后,按访问权限



调整访问权限

(为方便设定,系统提供预览模式,让您在修改权限的过程中即可预先检视套用之后的变化。)

DA: Deny Access 禁止存取 (使用者禁止存取该共享文件夹)
RW: Read & Write 读取&写入 (使用者可以读取&写入该共享文件夹)
RO: Read Only 只读 (使用者只读该共享文件夹)


访问权限之优先级: 禁止存取>读取&写入>只读> 未设定

1 :  使用者的共享文件夹权限
2 :  群组的共享文件夹权限



2.4.3 虚拟磁盘

虚拟磁盘就是挂载后的光盘映像文件 ( .iso 檔)。透过虚拟磁盘你可以直接浏览光盘映像文件的内容。此外,虚拟磁盘更提供简易的访问权限设定,你可以指定所有使用者皆可存取或只有管理员群组可存取。


2.4.4 CIFS文件夹

您可以在此将远程文件夹挂载为共享的 CIFS 文件夹,并根据使用者或使用者群组来设定其权限。
细节参阅

https://www.asustor.com/online/College_topic?topic=344


2.5. App权限

您可在此依据使用者或群组逐一设定 App 的访问权限。若某一使用者账号 (例如:Mike) 被设定为无法存取 Surveillance Center,当以 Mike 登入时,将不会在 ADM 的 Home Screen 中看到 Surveillance Center 的图示,亦无法以其他方式执行该 App。

网页应用程序 (Web Application) 因属公开性质 (如:WordPress) 或拥有自己的账号管理系统 (如: Joomla),所以无法在此限制存取。
针对网域用户,系统仅提供设定 File Explorer 访问权限。

注意: 权限设定仅限非 [administrators] 群组使用者

2.5.1 如何编辑App权限

选择App项目后,点选编辑


选择使用者



2.5.2 如何编辑用户权力

选择使用者后,点选编辑



选择App


此文章有帮助吗? /