我们使用 cookie 来帮助我们改善网页体验。请阅读我们的 Cookie 政策

NAS 471

Windows ACL 访问权限简介

使用 Windows ACL 管理数据访问权限

2024-05-31

课程目的

完成此课程后您将能够:

  1. 了解 ASUSTOR NAS 的 Windows ACL 权限原则。
  2. 使用 Windows ACL 管理数据访问权限。

必修项目

课程必修项目:

NAS 106:在 Microsoft Windows 上使用 NAS

学生须先具备以下知识:

共享文件夹、访问控制


大纲

1. Windows ACL 简介

1.1 需要启用 Windows ACL 吗?

2. 设置 Windows ACL

2.1 启用 Windows ACL

2.2 使用 ADM 文件资源管理器设置 Windows ACL 权限

2.3 使用 Windows 文件资源管理器设置 Windows ACL 权限

2.4 Windows ACL 权限规则及注意事项

2.5 如何搬移物件至 NAS 同时保有原本 ACL 配置





1. Windows ACL 简介

Windows ACL 是微软为 NTFS 文件系统设计的 13 种细部权限,套用对象可以是特定用户或群组,在这种架构下管理者能对文件夹或档案存取做更细腻的配置。

另外,在许多企业广泛采用的 Windows AD 网域架构中,数据 ACL 权限的套用对象能扩及到网域用户及群组。无论用户在网域中哪一台计算机登录,只要账号是一样的,权限规则都会一致,IT 人员无需为每台服务器或工作站 PC 分别制定权限控管的规则,可大幅增加管理效率。

为使 ASUSTOR NAS 更密切的与 AD 网域结合,以达到简化 IT 管理,提高生产力的目的,我们将 Windows ACL 权限系统与 ADM 做深度整合,并提供以下特点:

  1. 能够针对个别共享文件夹启用 Windows ACL。
  2. 完整支持 Windows 13 种进阶访问权限设置。
  3. 可在 ADM 详细查看 Windows ACL 的有效权限。
  4. 支持网域用户及群组。
  5. ACL 配置可应用至 Samba,ADM 文件资源管理器,AFP,FTP,WebDAV,Rsync 等数据传输协议


1.1 需要启用 Windows ACL 吗?

如同上面章节所述,Windows ACL 提供了多达 13 个权限选项,套用对象为本机和网域 (若NAS 已成功加入 AD) 的所有用户和群组。一旦规划不当,有可能发生所有的人都无法存取某些文件夹或文件的情形。当然,这种错误状况可以藉由 admin 账号取得拥有权的作法解除,但是在问题发生到解决之间所花费的时间和人力也是一种无形的成本。

ASUSTOR NAS 是基于 Linux 操作系统所开发的服务器,所以 ADM 原生的设计沿用 了 Linux 的访问控制机制,也就是:

  • 可供设置权限:RW (可读写),RO (只读),DA (拒绝存取)
  • 权限应用对象:拥有者,拥有者所属群组,其他

选项少,意谓着设置简单;但是相对的,权限配置的变化及弹性就很有限。例如:使用 Linux 的权限机制就无法做到某个用户能写入数据,但无法删除的配置。

因此,如果您的 NAS 仅供个人及分享给有限的亲朋好友使用,建议使用 ADM 原生访问控制机制即可。若是供公司数据储存用途,仍需由 IT 人员进行 ACL 启用与否的评估,并且预先做好权限配置的规划。

ADM 提供了可针对单一共享文件夹选择启用或停用 ACL 的配置弹性,对于事前评估与规划非常有帮助。您可以创建一个测试用共享文件夹,启用 Windows ACL 之后进行配置,然后检查是否用户的访问控制都符合预期,确认后再将规则正式套用到目的端共享文件夹。避免规划上的疏忽使得数据无法存取,影响公司正常营运。




2. 设置 Windows ACL


2.1 启用 Windows ACL


创建共享文件夹:

  • 使用 Windows 上网页浏览器并以 Administrators 群组的帐户登录 ADM。
  • 点选 [访问控制] [共享文件夹]
  • 点击 [添加]。


  • 输入新文件夹的名称,点击 [下一步]。


  • 设置共享文件夹访问权限后,选取 [开启 Windows ACL],点击 [下一步]。

    注意:共享文件夹的 “访问权限” 是第一层的权限检查。如果某个用户或群组在这里未被赋予读写权限,即使 Windows ACL 有配置亦会被阻挡。因此,启用 Windows ACL 之共享文件夹,建议在 “访问权限” 的配置从宽,由 Windows ACL 制定详细访问规则。


  • 点选 [略过],点击 [下一步]。


  • 检查并确认设置后点选 [完成]。


为既有的共享文件夹启用 Windows ACL:

  • 点选 [访问控制] [共享文件夹]
  • 点击 [添加]。
  • 选择欲启用 Windows ACL 的共享文件夹 ,点击 [编辑]。


  • 选择 [Windows ACL]。
  • 选取 [开启 Windows ACL],点击 [关闭]。

关于 Windows ACL

  1. 启用 Windows ACL 之后,该共享文件夹以及其内含的所有子文件夹、文件都可以个别指派用户或群组权限。
  2. 下列共用文件夹不支持 Windows ACL 权限管理系统:Home,User Homes,Photo Gallery,Web,Surveillance,MyArchive,资源回收站,虚拟驱动器,外部设备 (USB 硬盘,光驱)。
  3. 启用 Windows ACL,您将可以使用 ADM 文件资源管理器或是 Windows 文件资源管理器自订权限;停用 Windows ACL,您将只能从 ADM 文件资源管理器设置权限。
  4. 如启用 Windows ACL 而后续停用此功能,所有文件夹、文件将被重新设置为所有用户都能完整访问。
  5. 无论使用 Windows ACL 与否,用户都将需要共享文件夹与文件两方的权限来访问文件。


2.2 使用 ADM 文件资源管理器设置 Windows ACL 权限


  • 在 ADM 画面上点选 [文件资源管理器]。
  • 选择已启用 Windows ACL 的共享文件夹 (子文件夹或文件) 按鼠标右键,点选 [属性]。


  • 选择 [权限],可看到目前配置给这个对象的权限列表,还可进行权限的管理。


当共享文件夹启用 Windows ACL 后,系统默认会配置可读写,但是不能删除的权限给 [Everyone]、[administrators 群组] 和 [admin] 账号,且套用到共享文件夹本身,不会向下继承。这些默认权限可使用 [编辑] 或 [移除] 修改。

注:单一文件或文件夹支持 Windows ACL 权限总和 (包含继承权限) 为 250 笔。


  • 包括从此对象的父项继承而来的权限:
    此选项默认为勾选,系统默认子文件夹或档案会从上一层对象继承权限。取消勾选即会拒绝所有继承的权限,仅保留新增之权限。
  • 以这个对象的继承权限取代所有子对象的权限:
    勾选此选项,则所有子文件夹和档案的所有权限项目都会重设为从父对象继承而来的权限项目。

在这里能进行的管理功能有:

添加:

  • 点击 [添加],为这个对象创建新的权限项目。


  • 用户或群组:
    指定您想自定义权限的用户或群组。


  • 类别:
    选择 [允许] 或 [拒绝] 来授予或拒绝用户或群组的权限。
  • 应用到:
    此选项仅在为文件夹配置权限时出现。您可以从下拉式选单选择这笔新增权限应用的位置,应用方式视您是否选取 [仅应用这些权限到此容器中的对象及 (或) 容器] 而定。
  • 仅应用这些权限到此容器中的对象及 (或) 容器:
    • 当取消此选项时:
      应用在 应用权限到目前文件夹 应用权限到目前文件夹中的子文件夹 应用权限到目前文件夹中的文件 应用权限到所有后续子文件夹 应用权限到所有后续子文件夹中的文件
      只有这个文件夹
      这个文件夹、子文件夹及文件
      这个文件夹及子文件夹
      这个文件夹及文件
      只有子文件夹及文件
      只有子文件夹
      只有文件
    • 当启用此选项时:
      应用在 应用权限到目前文件夹 应用权限到目前文件夹中的子文件夹 应用权限到目前文件夹中的文件 应用权限到所有后续子文件夹 应用权限到所有后续子文件夹中的文件
      只有这个文件夹
      这个文件夹、子文件夹及文件
      这个文件夹及子文件夹
      这个文件夹及文件
      只有子文件夹及文件
      只有子文件夹
      只有文件

Windows ACL 的 13 种权限,其涵义叙述如下:

  • 周游文件夹 / 执行文件:应用在文件夹,表示即使没有文件夹的其他权限,也可以切换到该文件夹中;应用在文件,表示可以执行该文件。
  • 列出文件夹 / 读取数据:应用在文件夹,表示可以查看其中的子文件夹名称与文件名;应用在文件,表示可以读取文件内容。
  • 读取属性:可以查看文件夹或文件的只读、隐藏、压缩及加密等一般属性。
  • 读取扩充属性:可以查看文件夹或文件的扩充属性,不同类型的文件会有不同的扩充属性,例如 WORD 文件有自定义与摘要 2 个扩充属性。
  • 创建文件 / 写入数据:应用在文件夹,表示可以在其中创建新的文件;应用在文件,表示可以修改现有的文件内容,但无法在文件的后面附加新的数据。
  • 创建文件夹 / 附加数据:应用在文件夹,表示可以在其中创建新的子文件夹;应用在文件,表示可以在文件后面附加上新的数据,但不能修改现有文件内容。
  • 写入属性:表示可以修改文件夹或文件的一般属性。
  • 写入扩充属性:表示可以修改文件夹或文件的扩充属性。
  • 删除子文件夹及文件:表示可以删除文件夹中的子文件夹与文件。
  • 删除:表示可以删除文件夹或文件。
  • 读取权限:表示可以查看文件夹或文件的权限配置。
  • 变更权限:表示可以修改文件夹或文件的权限配置。
  • 取得所有权:表示可以取得文件夹或文件的所有权。文件夹或文件的所有者,无论其对文件夹或文件的权限为何,永远具备有修改此文件夹或文件权限的能力。

编辑:

  • 选取一笔既有的权限,点击 [编辑],即可进行修改。



移除:

  • 选取一笔既有的权限,点击 [移除],即可将此权限由该对象移除。

有效权限:

  • 点击 [有效权限] 并由用户列表进行选择一个用户,可查看特定用户或群组对该文件或文件夹的有效权限。此有效权限是由 Windows ACL 与共享文件夹权限共同计算出来的结果。



2.3 使用 Windows 文件资源管理器设置 Windows ACL 权限

可参考 NAS 106:在 Microsoft Windows 上使用 NAS,使用有管理权限之账号将已启用 Windows ACL 的文件夹设置成网络驱动器。


  • 选择共享文件夹里的文件或文件夹,点击鼠标右键,选择 [内容]。


  • 选择 [安全性] 页签,可以在这里看到用户或群组清单,及其文件或文件夹的 ACL 权限。


如果一个对象同时拥有继承自父对象的权限和明确定义的权限,继承权限会以反灰的颜色勾选,明确权限以黑色勾选。


  • 点击 [编辑] [添加]。


  • 在显示的窗口中,您会在 [从这个位置字段] 中看到以下任一信息:
    • 如果 NAS 有加入 AD 网域,您可以看到 AD 网域的名称。
    • 如果 NAS 没有加入 AD 网域,您可以看到 NAS 的 IP 或名称。


  • 在 [输入对象名称来选取] 字段输入以下任一信息:
    • 如果 NAS 有加入 AD 网域,请输入网域用户 / 群组的名称,点击 [检查名称] 来验证该用户 / 组名,然后点击 [确定]。
    • 如果 NAS 没有加入 AD 网域,请输入 ADM 本地用户 / 群组的名称,点击 [检查名称] 来验证该用户 / 组名,然后点击 [确定]。


  • 现在您已经可以在清单上看到新增的用户或群组。选择用户或群组,然后勾选权限区块中的允许或拒绝复选框,以设置他们访问文件夹或文件的权限。点击 [应用] 使配置生效。



2.4 Windows ACL 权限规则及注意事项


ACL 权限冲突时:

  • 若是遇到 Windows ACL 权限冲突的情况,优先层级会落在对象本身的明确权限上。以下例说明,用户 "testuser" 自上层文件夹继承而来的权限为 [允许读取和执行],但是直接赋予这个文件的明确权限为 [拒绝读取和执行],因此 "testuser" 还是无法开启这个文件。
  • 如果状况相反,"testuser" 由父文件夹继承权限为 [拒绝读取],但直接赋予这个文件的明确权限为 [允许读取],那么 "testuser" 就可以开启这个文件。



文件 / 文件夹搬移的规则:

复制 (Copy) 移动 (Move)
同一个共享文件夹内搬移 A1. 未启用 ACL 保留既有权限 保留既有权限
A2. 启用 ACL
  • 清除源文件夹的继承 ACL
  • 清除本身的明确 ACL
  • 应用目标文件夹的继承 ACL
  • 清除源文件夹的继承 ACL
  • 保留本身的明确 ACL
  • 应用目标文件夹的继承 ACL
不同共享文件夹之间搬移 B1. 未启用 ACL 未启用 ACL 保留既有权限 保留既有权限
B2. 未启用 ACL 启用 ACL 应用目标文件夹的继承 ACL 应用目标文件夹的继承 ACL
B3. 启用 ACL 未启用 ACL
  • 清除所有 ACL
  • 权限被重新设置为 "所有用户都能完整访问"
  • 清除所有 ACL
  • 权限被重新设置为 "所有用户都能完整访问"
B4. 启用 ACL 启用 ACL
  • 清除源文件夹的继承 ACL
  • 清除本身的明确 ACL
  • 应用目标文件夹的继承 ACL
  • 清除源文件夹的继承 ACL
  • 清除本身的明确 ACL
  • 应用目标文件夹的继承 ACL

例外规则:当启用 ACL 文件夹内的数据被删除而移动到 [网络资源回收站] 时,并非套用上表 B3 之原则;否则某个原本被限制读取的文件,一旦删除进入 [网络资源回收站] 后,即可被所有人访问。为文件隐私及安全性考虑,由启用 ACL 的文件夹搬移到网络资源回收站内的文件权限会被重新设置为 [仅文件所有者可读写,其他所有用户拒绝访问]。


文件删除的权限配置:

与 “用户可否执行文件删除” 相关的权限有两个:

  1. 用户对该文件有 “删除” 的明确权限。
  2. 用户对该文件的父文件夹拥有 "删除子文件夹及文件" 权限。

若任一权限被设为 “拒绝”,则用户无法删除该文件。唯有在两个权限皆未被设置 “拒绝”,且任一权限被设为 “允许” 的状况下,用户才可删除该文件。


物件的访问权:

当一个共享文件夹被启用 Windows ACL 之后,其内含的每个物件 (包括子文件夹,文件) 都有访问权限。

  • 在 ADM 的文件资源管理器选择物件,按鼠标右键,选择 [属性],在 [一般] 标签下就可看到该物件的访问权限。



对象的访问权限最重要的特性为可以设定此物件的 ACL。以上例说明,admin 为文件夹 "ACL_Test" 的所有者,因此 admin 可以对 "ACL_Test" 这个文件夹以及内含子文件夹,文件设定 ACL。
每个添加物件其创建者即为默认的所有者;除此之外,administrator 群组成员对所有对象都有变更所有者的能力。举上图为例,要将文件夹 "ACL_Test" 的所有权转移给其他用户 (如:testuser),除了 admin 之外,所有 administrator 群组成员也都可以进行这项作业。一旦 testuser 成为文件夹 "ACL_Test" 的所有者,即使原本不具有其子文件夹或文件的访问权限,也可重新配置。




2.5 如何搬移物件至 NAS 同时保有原本 ACL 配置

当网络环境中所有 Windows PC 和 NAS 都加入同一个 AD 网域后,网域中所有账号及权限原则都可被整合为一。然而,当文件、文件夹由 PC 服务器搬移至 NAS 时,会应用上述章节所说明的规则,原有的 ACL 权限将不被保留,而造成 IT 人员需另行设置的困扰。

如欲移转文件、文件夹至 NAS,同时又保留原本的 ACL 配置,可使用免费第三方工具软件 Fastcopy。以下为您说明操作步骤:



  • 执行 Fastcopy 程序。
  • [Source]:在此指定源文件夹
  • [DestDir]:在此指定目的端文件夹 (前述步骤设置好的网络驱动器)
  • 选择 [ACL] 选项,让 Fastcopy 在搬移数据时一并保留原本 ACL 属性。
  • 点击 [Execute] 开始执行数据搬移。


  • 搬移完成后,目的端数据仍会保有与来源端相同之 ACL 权限 (包含所有明确及继承权限);而且不会继承任何来自目的端父系物件的权限。

此文章有帮助吗? /