Soubory cookie nám pomáhají zlepšovat naše webové stránky. Přečtěte si naše zásady používání souborů cookie .

NAS 471

Úvod do systému Windows ACL

Naučte se používat Windows ACL ke správě oprávnění přístupu k datům na ASUSTOR NAS.

2024-06-06

CÍLE KURZU

Po absolvování tohoto kurzu budete schopni:

  1. Pochopení základních principů používání Windows ACL s ASUSTOR NAS
  2. Použití Windows ACL ke správě oprávnění přístupu k datům na ASUSTOR NAS

PŘEDPOKLADY

Požadavky kurzu:

NAS 106: Použití NAS s Microsoft Windows

Studenti by měli mít pracovní znalosti o:

Sdílené složky, Správa přístupu


PŘEHLED

1. Úvod do systému Windows ACL

1.1 Musím povolit Windows ACL?

2. Konfigurace seznamu ACL systému Windows

2.1 Povolení protokolu Windows ACL

2.2 Konfigurace oprávnění systému Windows ACL pomocí Souborový manažer ADM

2.3 Konfigurace oprávnění systému Windows ACL pomocí Průzkumníka Windows

2.4 Pravidla oprávnění a bezpečnostní opatření systému Windows ACL

2.5 Přesouvání objektů na NAS při zachování oprávnění ACL





1. Úvod do systému Windows ACL

Windows ACL je 13 různých typů oprávnění k souborům navržených společností Microsoft pro souborové systémy NTFS, které lze použít pro konkrétní uživatele a skupiny. V rámci tohoto typu infrastruktury mohou správci provádět podrobnější a přesnější konfigurace přístupových oprávnění.

V infrastruktuře domény Windows AD (hojně využívané ve firmách) lze navíc oprávnění Windows ACL aplikovat na všechny uživatele a skupiny v doméně. Uživatelé se mohou přihlašovat z libovolného počítače v síti, a pokud používají stejné jméno účtu, všechna oprávnění zůstanou stejná. Pracovníci IT oddělení nebudou muset konfigurovat oprávnění pro každý jednotlivý server a pracovní stanici PC, což výrazně zvýší efektivitu správy.

Za účelem užší integrace ASUSTOR NAS s doménami AD, zjednodušení správy IT a zvýšení produktivity, ASUSTOR hluboce integroval systém oprávnění Windows ACL s ADM a poskytuje následující jedinečné funkce:

  1. Možnost povolit Windows ACL pro jednotlivé sdílené složky.
  2. Komplexní podpora všech 13 typů oprávnění Windows ACL.
  3. Možnost podrobného zobrazení účinných oprávnění Windows ACL z prostředí ADM.
  4. Podpora síťových uživatelů a skupin.
  5. Možnost použít oprávnění ACL pro protokoly přenosu souborů Samba, Souborový manažer, AFP, FTP, WebDAV, Rsync.


1.1 Musím povolit Windows ACL?

Jak bylo popsáno v předchozí části, seznam Windows ACL poskytuje až 13 různých nastavení oprávnění, která lze použít pro všechny uživatele a skupiny na NAS a v doméně (pokud byl NAS přidán do domény Windows AD). V případě nesprávného plánování nebo konfigurace oprávnění existuje možnost, že všichni uživatelé nebudou mít přístup k určité složce nebo souboru. Tento typ chyby lze samozřejmě vyřešit použitím účtu správce, ale množství promarněného času od okamžiku, kdy se problém poprvé vyskytne, do okamžiku jeho vyřešení lze považovat za významné nehmotné náklady pro podniky.

ASUSTOR NAS byl vyvinut na základě operačního systému Linux, takže nativní nastavení ADM využívá mechanismus správy oprávnění Linuxu:

  • Použitelná oprávnění: RW (Read & Write), RO (Read Only), DA (Deny Access).
  • Oprávnění lze použít pro: "Vlastník", skupina, jejíž je vlastník součástí, a "Ostatní".

Menší počet možností umožňuje jednodušší konfiguraci. Flexibilita a nastavitelnost oprávnění je však velmi omezená. Například při použití mechanismu oprávnění v systému Linux není možné dát uživateli možnost upravovat soubor a zároveň mu nedat oprávnění soubor odstranit.

Pokud NAS používáte pouze pro sebe a omezený počet rodinných příslušníků a přátel, doporučujeme použít původní mechanismus správy oprávnění ADM. Pokud je však váš NAS používán pro ukládání firemních dat, doporučujeme nejprve konzultovat s pracovníky IT, zda je vhodné povolit oprávnění Windows ACL, a poté dokončit plán nasazení oprávnění, pokud se rozhodnete jej použít.

Umožnili jsme vám flexibilně povolit nebo zakázat Windows ACL pro jednotlivé sdílené složky, což je velmi užitečné pro hodnocení a plánování. Můžete vytvořit sdílenou složku pro testování, povolit Windows ACL a poté nakonfigurovat nastavení oprávnění. Poté můžete zkontrolovat, zda jsou výsledky takové, jaké jste očekávali. Jakmile získáte požadované výsledky, můžete nastavení použít na vybranou sdílenou složku. Vyhnete se tak případným chybám nebo omylům při plánování, které by mohly znemožnit přístup k důležitým datům a ovlivnit tak chod vaší firmy.




2. Konfigurace seznamu ACL systému Windows


2.1 Povolení protokolu Windows ACL


Vytvoření nové sdílené složky:

  • Přihlaste se do služby ADM pomocí účtu správce ve webovém prohlížeči.
  • Vyberte možnost Sdílené složky v rámci Správa přístupu.
  • Klikněte na tlačítko Přidat.


  • Zadejte název nové složky a klikněte na tlačítko [Další].


  • Po nastavení přístupových práv pro sdílenou složku zaškrtněte políčko [Povolit Windows ACL] a klikněte na tlačítko [Další].

    Poznámka: Přístupová práva ke sdílené složce jsou první vrstvou kontroly oprávnění. Pokud zde uživateli nebo skupině nebyla přidělena oprávnění "Číst a zapisovat", budou zablokována všechna oprávnění Windows ACL, která jim byla přidělena. Proto se doporučuje nakonfigurovat mírnější přístupová práva pro sdílené složky, které mají povoleno Windows ACL, a později pomocí Windows ACL dále konfigurovat specifičtější oprávnění. Kliknutím na tlačítko [Dokončit] dokončete vytvoření sdílené složky.


  • Vyberte možnost [Přeskočit] a klikněte na tlačítko [Další].


  • Potvrďte nastavení a klikněte na tlačítko [Dokončit].


Povolení seznamu ACL systému Windows pro již existující sdílené složky:

  • Vyberte možnost Sdílené složky v rámci Správa přístupu.
  • Vyberte sdílenou složku, pro kterou chcete povolit Windows ACL, a klikněte na tlačítko [Upravit].


  • Vyberte možnost [Windows ACL].
  • Vyberte možnost [Povolit Windows ACL] a klikněte na tlačítko [Zavřít].

O systému Windows ACL

  1. Po povolení Windows ACL pro sdílenou složku bude této složce a jejím podsložkám nastaveno oprávnění uživatele nebo skupiny.
  2. Následující složky nepodporují oprávnění Windows ACL: Home, Home složka jednotlivých uživatelů, PhotoGallery, Web, Surveillance, MyArchive, Síťový koš, virtuální zařízení, externí zařízení (USB pevné disky, optické disky).
  3. Po povolení Windows ACL můžete použít prohlížeč souborů z ADM nebo Windows pro nastavení oprávnění. Po vypnutí Windows ACL můžete nastavit oprávnění jen z prohlížeče souborů v ADM.
  4. Pokud nastavíte Windows ACL a později ho zrušíte, veškeré soubory a složky budou mít nastaven přístup pro čtení a zápis pro veškeré uživatele.
  5. Ať používáte Windows ACL nebo ne, uživatelé musí mít nastaveno správné oprávnění pro přístup k souborům.


2.2 Konfigurace oprávnění systému Windows ACL pomocí Souborový manažer ADM


  • Na ploše ADM vyberte možnost [Souborový manažer].
  • Vyberte sdílenou složku (nebo podsložku či soubor), pro kterou jste povolili funkci Windows ACL. Klikněte pravým tlačítkem myši na sdílenou složku a vyberte možnost [Vlastnosti].


  • Vyberte kartu [Oprávnění]. Zde uvidíte aktuálně nakonfigurovaná oprávnění pro danou složku. Zde můžete také spravovat oprávnění pro složku.


Po povolení seznamu ACL systému Windows pro sdílenou složku systém ve výchozím nastavení přiřadí oprávnění "Číst a zapisovat, ale nelze mazat" účtům "Everyone", "administrators" a "admin". Tato oprávnění se budou vztahovat pouze na sdílenou složku a nebudou je dědit objekty pod ní. Tato výchozí oprávnění lze změnit pomocí tlačítek [Upravit] nebo [Odebrat].

Poznámka: Samostatný soubor nebo složku můžete využít až do maximální výše 250 Windows ACL oprávnění (včetně zděděných oprávnění).


  • Zahrnout dědičná oprávnění z nadřazeného objektu:
    Tato možnost je ve výchozím nastavení povolena. Systém automaticky nakonfiguruje podsložky a soubory tak, aby dědily oprávnění od objektu nad nimi. Zakázáním této možnosti budou všechna dědičná oprávnění odmítnuta a budou zachována pouze nově přidaná oprávnění.
  • Nahradit všechna oprávnění podřízených objektů oprávněními dědičnými z tohoto objektu:
    Povolením této možnosti se všechna oprávnění podsložek a souborů nahradí oprávněními nadřazeného objektu.

Funkce správy, které zde budete moci používat, jsou následující:

Přidat:

  • Kliknutím na tlačítko [Přidat] vytvoříte pro objekt nové oprávnění.


  • Uživatel nebo skupina:
    zadejte uživatele nebo skupinu, pro kterou chcete oprávnění použít.


  • Typ:
    Pro udělení nebo zamítnutí oprávnění uživateli nebo skupině vyberte možnost [Povolit] nebo [Odepřít].
  • Použít na:
    Tato možnost se zobrazí pouze při přidávání oprávnění do složky. V rozevírací nabídce můžete vybrat, kam bude oprávnění použito. Způsob, jakým bude oprávnění použito, bude určen tím, zda zaškrtnete políčko [Použít tato oprávnění pouze na objekty a/nebo kontejnery v rámci kontejneru].
  • Použít tato oprávnění pouze na objekty a/nebo kontejnery v rámci kontejneru:
    • Pokud je možnost odškrtnuta:
      Použít pro Použít oprávnění na aktuální složku Použít oprávnění na podsložky v rámci aktuální složky Použít oprávnění pro soubory v aktuální složce Použít oprávnění pro všechny následné podsložky Použít oprávnění pro soubory ve všech následných podsložkách
      Tato složka je pouze
      Tato složka, podsložky a soubory
      Tato složka a podsložky
      Tato složka a soubory
      Pouze podsložky a soubory
      Pouze podsložky
      Pouze soubory
    • Když je možnost zaškrtnuta:
      Použít pro Použít oprávnění na aktuální složku Použít oprávnění na podsložky v rámci aktuální složky Použít oprávnění pro soubory v aktuální složce Použít oprávnění pro všechny následné podsložky Použít oprávnění pro soubory ve všech následných podsložkách
      Tato složka je pouze
      Tato složka, podsložky a soubory
      Tato složka a podsložky
      Tato složka a soubory
      Pouze podsložky a soubory
      Pouze podsložky
      Pouze soubory

Níže je popsáno 13 typů oprávnění ACL systému Windows:

  • Projít složku/vykonat soubor: Traverzovat složku umožňuje nebo zakazuje procházet složkami a dostat se k jiným souborům nebo složkám, i když uživatel nemá oprávnění k procházeným složkám (platí pouze pro složky). Spustit soubor povoluje nebo zakazuje spouštění programových souborů (platí pouze pro soubory).
  • Seznam složek/čtení dat: Seznam složek povoluje nebo zakazuje zobrazení názvů souborů a podsložek v rámci složky (platí pouze pro složky). Read Data (Číst data) povoluje nebo zakazuje zobrazení dat v souborech (platí pouze pro soubory).
  • Číst atributy: Povoluje nebo zakazuje zobrazení atributů souboru nebo složky, například jen pro čtení, skryté, komprimované a šifrované.
  • Čtení rozšířených atributů: Povoluje nebo zakazuje zobrazení rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.
  • Vytvářet soubory/zapisovat data: Vytvořit soubory: Povoluje nebo zakazuje vytváření souborů ve složce (platí pouze pro složky). Zápis dat povoluje nebo zakazuje provádět změny v souboru a přepisovat stávající obsah (platí pouze pro soubory).
  • Vytváření složek/přidávání dat: Vytvořit složky povoluje nebo zakazuje vytváření složek v rámci složky (platí pouze pro složky). Připojit data umožňuje nebo zamítá provedení změn na konci souboru, nikoli však změnu, odstranění nebo přepsání stávajících dat (platí pouze pro soubory).
  • Atributy pro zápis: Povoluje nebo zakazuje změnu atributů souboru nebo složky.
  • Zápis rozšířených atributů: Povolí nebo zakáže změnu rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.
  • Odstranit podsložky a soubory: Povoluje nebo zakazuje mazání podsložek a souborů, i když pro podsložku nebo soubor nebylo uděleno oprávnění Odstranit (platí pro složky).
  • Smazat: Slouží k odstranění složek a podadresářů, které jsou v systému: Povoluje nebo zakazuje smazání souboru nebo složky.
  • Oprávnění ke čtení: Povolí nebo zakáže oprávnění ke čtení souboru nebo složky.
  • Změnit oprávnění: Povolí nebo zakáže změnu oprávnění souboru nebo složky.
  • Převzít vlastnictví: Povolí nebo zakáže převzetí vlastnictví souboru nebo složky. Vlastník souboru nebo složky může vždy změnit oprávnění k souboru nebo složce bez ohledu na existující oprávnění, která soubor nebo složku chrání.

Upravit:

  • Výběrem oprávnění a kliknutím na tlačítko [Upravit] můžete oprávnění upravit.



Odebrat:

  • Výběrem oprávnění a kliknutím na tlačítko [Odebrat] se oprávnění z aktuálního objektu odebere.

Efektivní oprávnění:

  • Kliknutím na tlačítko [Efektivní oprávnění] a následným výběrem uživatele ze seznamu můžete zobrazit efektivní oprávnění uživatele k zadané složce nebo souboru. Efektivní oprávnění se určují na základě kombinace oprávnění Windows ACL a přístupových práv ke sdílené složce.



2.3 Konfigurace oprávnění systému Windows ACL pomocí Průzkumníka Windows

Nejprve pomocí účtu správce systému Windows namapujte sdílenou složku s povoleným rozhraním Windows ACL jako síťovou jednotku. Další informace naleznete v části NAS 106: Použití NAS s Microsoft Windows.


  • Klikněte pravým tlačítkem myši na libovolný soubor nebo podsložku ve sdílené složce a vyberte možnost [Vlastnosti].


  • Vyberte kartu [Zabezpečení]. Zde se zobrazí seznam uživatelů a skupin a jejich oprávnění ACL pro daný soubor nebo podsložku.


Pokud má objekt současně zděděná oprávnění od svého rodiče a také explicitní oprávnění, zděděná oprávnění budou označena šedě, zatímco explicitní oprávnění budou označena černě.


  • Klikněte na [Upravit] [Přidat].


  • V poli [Z tohoto umístění:] byste měli vidět následující informace:
    • Pokud byl NAS přidán do domény AD systému Windows, zobrazí se název domény AD.
    • Pokud NAS nebyl přidán do domény Windows AD, zobrazí se IP adresa NAS.


  • Do pole [Zadejte názvy objektů k výběru] zadejte následující informace:
    • Pokud byl NAS přidán do domény Windows AD, zadejte název uživatele nebo skupiny v doméně a poté klikněte na [Zkontrolovat názvy], abyste ověřili název uživatele/skupiny. Poté klikněte na [OK].
    • Pokud NAS nebyl přidán do domény Windows AD, zadejte název místního uživatele nebo skupiny ADM a poté klikněte na [Zkontrolovat název], abyste ověřili název uživatele/skupiny. Poté klikněte na [OK].


  • Nyní byste měli vidět nově přidaného uživatele nebo skupinu v seznamu [Jména skupin nebo uživatelů:]. Vyberte uživatele nebo skupinu a poté pomocí zaškrtávacích políček [Povolit] a [Odepřít] nakonfigurujte jejich přístupová oprávnění k objektu. Po dokončení klikněte na tlačítko [Použít].



2.4 Pravidla oprávnění a bezpečnostní opatření systému Windows ACL


ACL Konfliktní oprávnění ACL:

  • Pokud narazíte na konfliktní oprávnění Windows ACL, budou mít přednost explicitní oprávnění objektu. Pokud například uživatel "testuser" zdědí pro soubor oprávnění [Povolit čtení a spuštění], ale zadaná explicitní oprávnění pro soubor jsou [Odepřít čtení a spuštění], pak "testuser" nebude mít k souboru přístup.
  • A naopak, pokud "testuser" zdědí oprávnění [Odmítnout čtení], ale explicitní oprávnění daná pro soubor jsou [Povolit čtení], pak "testuser" bude mít k souboru přístup.



Pravidla pro přesouvání souborů a složek:

Kopírovat Přesun
Přesun v rámci stejné sdílené složky A1. ACL Zakázáno Zachování stávajících povolení Zachování stávajících povolení
A2. ACL Povoleno
  • Odstranění oprávnění ACL zděděných ze zdrojové složky
  • Odebrat explicitní oprávnění ACL
  • Použití oprávnění ACL zděděných z cílové složky
  • Odstranění oprávnění ACL zděděných ze zdrojové složky
  • Zachovat explicitní oprávnění ACL
  • Použití oprávnění ACL zděděných z cílové složky
Přesun mezi různými sdílenými složkami B1. ACL Zakázáno ACL Zakázáno Zachování stávajících povolení Zachování stávajících povolení
B2. ACL Zakázáno ACL Povoleno Použití oprávnění ACL zděděných z cílové složky Použití oprávnění ACL zděděných z cílové složky
B3. ACL Povoleno ACL Zakázáno
  • Odebrání všech oprávnění ACL
  • Oprávnění budou obnovena jako "Plný přístup pro všechny uživatele"
  • Odebrání všech oprávnění ACL
  • Oprávnění budou obnovena jako "Plný přístup pro všechny uživatele"
B4. ACL Povoleno ACL Povoleno
  • Odstranění oprávnění ACL zděděných ze zdrojové složky
  • Odebrat explicitní oprávnění ACL
  • Použití oprávnění ACL zděděných z cílové složky
  • Odstranění oprávnění ACL zděděných ze zdrojové složky
  • Odebrat explicitní oprávnění ACL
  • Použití oprávnění ACL zděděných z cílové složky

Výjimky: Pokud jsou data odstraněna ze sdílené složky s povoleným ACL a přesunuta do síťového koše, pravidla z "B3" ve výše uvedené tabulce se nepoužijí. To má zabránit situaci, kdy jsou soubory s oprávněním [Odepřít přístup] odstraněny a přesunuty do síťového koše a poté se stanou plně přístupné všem uživatelům. S ohledem na soukromí a bezpečnost bude souborům ze složek s povoleným ACL, které jsou přesunuty do síťového koše, přiřazeno oprávnění [Číst a zapisovat pro vlastníky, odepřít přístup pro všechny ostatní uživatele].


Oprávnění k odstraňování souborů:

S mazáním souborů jsou spojena 2 oprávnění:

  1. Uživatel má pro soubor výslovné oprávnění "Smazat".
  2. Uživatel má pro nadřazenou složku souboru oprávnění "Smazat podsložky a soubory".

Pokud je některé z výše uvedených oprávnění nakonfigurováno jako "Deny", uživatel nebude moci soubor odstranit. Pouze v případě, že žádné z výše uvedených oprávnění nebylo nakonfigurováno jako "Odmítnout" a alespoň jedno z nich bylo nakonfigurováno jako "Povolit", bude uživatel moci soubor odstranit.


Přístupové právo k objektům:

Po povolení seznamu Windows ACL pro sdílenou složku bude mít každý objekt (podsložky a soubory) obsažený ve složce přístupová práva.

  • Přístupová práva k objektu můžete zobrazit tak, že jej vyberete v Průzkumníku souborů ADM, kliknete na něj pravým tlačítkem myši a vyberete možnost [Vlastnosti]. V části [Přístupová práva ke sdílené složce] na kartě [Obecné] bude odkaz na úpravu.



Osoba, která má přístupová práva, pro něj bude moci konfigurovat oprávnění ACL. Například uživatel admin na obrázku výše je vlastníkem složky ACL_Test. Proto bude moci admin konfigurovat oprávnění ACL pro tuto složku a podsložky a soubory v ní obsažené.
Pro každý nově přidaný objekt bude ve výchozím nastavení nastaveno přístupové právo tvůrce objektu. Uživatelé ve skupině správců budou mít navíc možnost přístupová práva upravovat. Pokud bychom například chtěli převést vlastnictví složky ACL_Test na výše uvedeném obrázku na jiné uživatele (tj. testuser), admin a všichni uživatelé ve skupině správců budou mít možnost převést vlastnictví. Jakmile se testuser stane vlastníkem složky ACL_Test, bude moci překonfigurovat oprávnění pro její podsložky a soubory, i když k nim původně neměla přístupová práva.




2.5 Přesouvání objektů na NAS při zachování oprávnění ACL

Pokud jsou všechny počítače se systémem Windows a zařízení NAS v síťovém prostředí přidány do stejné domény služby Windows AD, lze všechny uživatelské účty a oprávnění v doméně sloučit dohromady. Při přesunu souborů nebo složek z PC serveru na NAS však nebudou zachována stávající oprávnění ACL (pomocí pravidel uvedených v předchozí části). To způsobuje, že pracovníci IT musí znovu konfigurovat oprávnění.

Pokud chcete při přesouvání souborů nebo složek na NAS zachovat stávající oprávnění ACL, můžete použít Fastcopy, software třetí strany. V následujícím příkladu si ukážeme, jak tuto funkci Fastcopy použít.


  • Nejprve pomocí účtu správce systému Windows namapujte sdílenou složku s povoleným rozhraním Windows ACL jako síťovou jednotku. Další informace naleznete v části NAS 106: Použití NAS s Microsoft Windows.


  • Otevřít Fastcopy.
  • [Zdroj]: Zde zadejte zdrojovou složku.
  • [DestDir]: Zde zadejte cílovou složku (síťovou jednotku namapovanou v předchozím kroku).
  • Zaškrtnutím políčka [ACL] zajistíte, že Fastcopy při přesunu souborů zachová jejich původní oprávnění ACL.
  • Kliknutím na tlačítko [Execute] zahájíte přesun složky.


  • Po úspěšném přesunu složky si všechna data přesunutá do cílové složky zachovají svá oprávnění ACL ze zdroje (včetně všech explicitních a zděděných oprávnění). Tato data nebudou dědit žádná oprávnění od nadřazeného objektu ve zdroji.

Pomohl vám tento článek? Ano / Ne