Soubory cookie nám pomáhají zlepšovat naše webové stránky. Přečtěte si naše zásady používání souborů cookie .

NAS 471

Úvod do systému Windows ACL

Naučte se používat Windows ACL ke správě oprávnění přístupu k datům na ASUSTOR NAS.

2023-08-24

CÍLE KURZU

Po absolvování tohoto kurzu budete schopni:

  1. Pochopení základních principů používání Windows ACL s ASUSTOR NAS
  2. Použití Windows ACL ke správě oprávnění přístupu k datům na ASUSTOR NAS

 

PŘEDPOKLADY

Požadavky kurzu:

NAS 106: Používání NAS se systémem Microsoft Windows

Studenti by měli mít pracovní znalosti o:

Instalace a inicializace ASUSTOR NAS
Vytváření úložných svazků a sdílených složek
Vytvoření místních uživatelů a skupin v ADM

 

OBSAH

 


 

1. Úvod do systému Windows ACL
1.1 Co je systém Windows ACL?

Windows ACL je 13 různých typů oprávnění k souborům navržených společností Microsoft pro souborové systémy NTFS, které lze použít pro konkrétní uživatele a skupiny. V rámci tohoto typu infrastruktury mohou správci provádět podrobnější a přesnější konfigurace přístupových oprávnění.

V infrastruktuře domény Windows AD (hojně využívané ve firmách) lze navíc oprávnění Windows ACL aplikovat na všechny uživatele a skupiny v doméně. Uživatelé se mohou přihlašovat z libovolného počítače v síti, a pokud používají stejné jméno účtu, všechna oprávnění zůstanou stejná. Pracovníci IT oddělení nebudou muset konfigurovat oprávnění pro každý jednotlivý server a pracovní stanici PC, což výrazně zvýší efektivitu správy.

Za účelem užší integrace ASUSTOR NAS s doménami AD, zjednodušení správy IT a zvýšení produktivity, ASUSTOR hluboce integroval systém oprávnění Windows ACL s ADM a poskytuje následující jedinečné funkce:

1. Možnost povolit Windows ACL pro jednotlivé sdílené složky

2. Komplexní podpora všech 13 typů oprávnění Windows ACL

3. Možnost podrobného zobrazení účinných oprávnění Windows ACL z prostředí ADM

4. Podpora síťových uživatelů a skupin

5. Možnost použít oprávnění ACL pro protokoly přenosu souborů Samba, File Explorer, AFP, FTP, WebDAV, Rsync.

1.2 Musím povolit Windows ACL?

Jak bylo popsáno v předchozí části, seznam Windows ACL poskytuje až 13 různých nastavení oprávnění, která lze použít pro všechny uživatele a skupiny na NAS a v doméně (pokud byl NAS přidán do domény Windows AD). V případě nesprávného plánování nebo konfigurace oprávnění existuje možnost, že všichni uživatelé nebudou mít přístup k určité složce nebo souboru. Tento typ chyby lze samozřejmě vyřešit použitím účtu správce, ale množství promarněného času od okamžiku, kdy se problém poprvé vyskytne, do okamžiku jeho vyřešení lze považovat za významné nehmotné náklady pro podniky.

 

ASUSTOR NAS byl vyvinut na základě operačního systému Linux, takže nativní nastavení ADM využívá mechanismus správy oprávnění Linuxu:

Použitelná oprávnění: RW (Read & Write), RO (Read Only), DA (Deny Access).

Oprávnění lze použít pro: "Vlastník", skupina, jejíž je vlastník součástí, a "Ostatní".

Menší počet možností umožňuje jednodušší konfiguraci.  Flexibilita a nastavitelnost oprávnění je však velmi omezená. Například při použití mechanismu oprávnění v systému Linux není možné dát uživateli možnost upravovat soubor a zároveň mu nedat oprávnění soubor odstranit.

 

Pokud NAS používáte pouze pro sebe a omezený počet rodinných příslušníků a přátel, doporučujeme použít původní mechanismus správy oprávnění ADM. Pokud je však váš NAS používán pro ukládání firemních dat, doporučujeme nejprve konzultovat s pracovníky IT, zda je vhodné povolit oprávnění Windows ACL, a poté dokončit plán nasazení oprávnění, pokud se rozhodnete jej použít.

 

Umožnili jsme vám flexibilně povolit nebo zakázat Windows ACL pro jednotlivé sdílené složky, což je velmi užitečné pro hodnocení a plánování. Můžete vytvořit sdílenou složku pro testování, povolit Windows ACL a poté nakonfigurovat nastavení oprávnění. Poté můžete zkontrolovat, zda jsou výsledky takové, jaké jste očekávali. Jakmile získáte požadované výsledky, můžete nastavení použít na vybranou sdílenou složku. Vyhnete se tak případným chybám nebo omylům při plánování, které by mohly znemožnit přístup k důležitým datům a ovlivnit tak chod vaší firmy.

 



2. 
Konfigurace seznamu ACL systému Windows
2.1 Povolení protokolu Windows ACL
Vytvoření nové sdílené složky

Přihlaste se do služby ADM pomocí účtu "admin" nebo uživatelského účtu patřícího do skupiny "administrators". Vyberte možnost [Řízení přístupu] → [Sdílené složky] → [Přidat].

 

Zadejte název nové sdílené složky a klikněte na tlačítko [Další].


 

Po nastavení přístupových práv pro sdílenou složku zaškrtněte políčko [Enable Windows ACL] a klikněte na tlačítko [Next].

 

 

Poznámka: Přístupová práva ke sdílené složce jsou první vrstvou kontroly oprávnění. Pokud zde uživateli nebo skupině nebyla přidělena oprávnění "Číst a zapisovat", budou zablokována všechna oprávnění Windows ACL, která jim byla přidělena. Proto se doporučuje nakonfigurovat mírnější přístupová práva pro sdílené složky, které mají povoleno Windows ACL, a později pomocí Windows ACL dále konfigurovat specifičtější oprávnění.
Kliknutím na tlačítko [Dokončit] dokončete vytvoření sdílené složky.

 

Povolení seznamu ACL systému Windows pro již existující sdílené složky

Přihlaste se do služby ADM pomocí účtu "admin" nebo uživatelského účtu patřícího do skupiny "administrators".
Vyberte položky [Řízení přístupu] > [Sdílené složky] → [Sdílená složka, pro kterou chcete povolit Windows ACL] → [Upravit].

 

Vyberte kartu [Windows ACL], zaškrtněte políčko [Enable Windows ACL] a klikněte na tlačítko [Close].


 

O systému Windows ACL

1. Po povolení seznamu Windows ACL pro sdílenou složku lze sdílené složce a všem podsložkám a souborům v ní obsaženým přiřadit oprávnění uživatele nebo skupiny.

2. Následující sdílené složky nepodporují oprávnění Windows ACL: Domovská stránka, Domy uživatelů, Fotogalerie, Web, Dohled, MyArchive, Síťový koš, virtuální zařízení, externí zařízení (pevné disky USB, optické jednotky).

3. Po povolení funkce Windows ACL budete moci ke konfiguraci oprávnění používat Průzkumníka souborů ADM nebo Průzkumníka Microsoft Windows. Po zakázání Windows ACL budete moci konfigurovat oprávnění pouze z Průzkumníka souborů ADM.

4. Pokud povolíte systém Windows ACL a později se rozhodnete jej zakázat, budou všem uživatelům znovu přidělena oprávnění ke čtení a zápisu všech souborů a složek.

5. Bez ohledu na to, zda používáte systém Windows ACL nebo ne, budou uživatelé pro přístup k souborům stále vyžadovat oprávnění ke sdíleným složkám a souborům.


2.2 Konfigurace oprávnění systému Windows ACL pomocí Průzkumníka souborů ADM

V nástroji ADM otevřete Průzkumníka souborů a vyberte sdílenou složku (nebo podsložku či soubor), pro kterou jste povolili funkci Windows ACL. Klikněte pravým tlačítkem myši na sdílenou složku a vyberte možnost [Vlastnosti].

 

V okně vlastností vyberte kartu [Oprávnění]. Zde uvidíte aktuálně nakonfigurovaná oprávnění pro danou složku. Zde můžete také spravovat oprávnění pro složku.

Po povolení seznamu ACL systému Windows pro sdílenou složku systém ve výchozím nastavení přiřadí oprávnění "Číst a zapisovat, ale nelze mazat" účtům "Everyone", "administrators" a "admin". Tato oprávnění se budou vztahovat pouze na sdílenou složku a nebudou je dědit objekty pod ní. Tato výchozí oprávnění lze změnit pomocí tlačítek [Upravit] nebo [Odebrat].
Poznámka: Jednotlivý soubor nebo složka může využívat maximálně 250 oprávnění Windows ACL (včetně zděděných oprávnění).

Zahrnout dědičná oprávnění z nadřazeného objektu: Tato možnost je ve výchozím nastavení povolena. Systém automaticky nakonfiguruje podsložky a soubory tak, aby dědily oprávnění od objektu nad nimi. Zakázáním této možnosti budou všechna dědičná oprávnění odmítnuta a budou zachována pouze nově přidaná oprávnění.

Nahradit všechna oprávnění podřízených objektů oprávněními dědičnými z tohoto objektu: Povolením této možnosti se všechna oprávnění podsložek a souborů nahradí oprávněními nadřazeného objektu.

Funkce správy, které zde budete moci používat, jsou následující:

Přidat
Kliknutím na tlačítko [Přidat] vytvoříte pro objekt nové oprávnění.

Uživatel nebo skupina: zadejte uživatele nebo skupinu, pro kterou chcete oprávnění použít.

Typ: Pro udělení nebo zamítnutí oprávnění uživateli nebo skupině vyberte možnost [Povolit] nebo [Odepřít].

Použít na: Tato možnost se zobrazí pouze při přidávání oprávnění do složky. V rozevírací nabídce můžete vybrat, kam bude oprávnění použito. Způsob, jakým bude oprávnění použito, bude určen tím, zda zaškrtnete políčko [Použít tato oprávnění pouze na objekty a/nebo kontejnery v rámci kontejneru].


Pokud není zaškrtnuto políčko [Použít tato oprávnění pouze na objekty a/nebo kontejnery v rámci kontejneru]:

Použít pro

Použít oprávnění na aktuální složku

Použít oprávnění na podsložky v rámci aktuální složky

Použít oprávnění pro soubory v aktuální složce

Použít oprávnění pro všechny následné podsložky

Použít oprávnění pro soubory ve všech následných podsložkách

Tato složka je pouze

V

       

Tato složka, podsložky a soubory

V

V

V

V

V

Tato složka a podsložky

V

V

 

V

 

Tato složka a soubory

V

 

V

 

V

Pouze podsložky a soubory

 

V

V

V

V

Pouze podsložky

 

V

 

V

 

Pouze soubory

   

V

 

V


Pokud je zaškrtnuto políčko [Použít tato oprávnění pouze na objekty a/nebo kontejnery v rámci kontejneru]:

Použít pro

Použít oprávnění na aktuální složku

Použít oprávnění na podsložky v rámci aktuální složky

Použít oprávnění pro soubory v aktuální složce

Použít oprávnění pro všechny následné podsložky

Použít oprávnění pro soubory ve všech následných podsložkách

Tato složka je pouze

V

       

Tato složka, podsložky a soubory

V

V

V

 

 

Tato složka a podsložky

V

V

 

 

 

Tato složka a soubory

V

 

V

 

 

Pouze podsložky a soubory

 

V

V

 

 

Pouze podsložky

 

V

 

 

 

Pouze soubory

   

V

 

 

 

Níže je popsáno 13 typů oprávnění ACL systému Windows:

 

Projít složku/vykonat soubor: Traverzovat složku umožňuje nebo zakazuje procházet složkami a dostat se k jiným souborům nebo složkám, i když uživatel nemá oprávnění k procházeným složkám (platí pouze pro složky). Spustit soubor povoluje nebo zakazuje spouštění programových souborů (platí pouze pro soubory).

 

Seznam složek/čtení dat: Seznam složek povoluje nebo zakazuje zobrazení názvů souborů a podsložek v rámci složky (platí pouze pro složky). Read Data (Číst data) povoluje nebo zakazuje zobrazení dat v souborech (platí pouze pro soubory).

 

Číst atributy: Povoluje nebo zakazuje zobrazení atributů souboru nebo složky, například jen pro čtení, skryté, komprimované a šifrované.

 

Čtení rozšířených atributů: Povoluje nebo zakazuje zobrazení rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.

 

Vytvářet soubory/zapisovat data: Vytvořit soubory: Povoluje nebo zakazuje vytváření souborů ve složce (platí pouze pro složky). Zápis dat povoluje nebo zakazuje provádět změny v souboru a přepisovat stávající obsah (platí pouze pro soubory).

 

Vytváření složek/přidávání dat: Vytvořit složky povoluje nebo zakazuje vytváření složek v rámci složky (platí pouze pro složky). Připojit data umožňuje nebo zamítá provedení změn na konci souboru, nikoli však změnu, odstranění nebo přepsání stávajících dat (platí pouze pro soubory).

 

Atributy pro zápis: Povoluje nebo zakazuje změnu atributů souboru nebo složky.

 

Zápis rozšířených atributů: Povolí nebo zakáže změnu rozšířených atributů souboru nebo složky. Rozšířené atributy jsou definovány programy a mohou se lišit podle programu.

 

Odstranit podsložky a soubory: Povoluje nebo zakazuje mazání podsložek a souborů, i když pro podsložku nebo soubor nebylo uděleno oprávnění Odstranit (platí pro složky).

 

Smazat: Slouží k odstranění složek a podadresářů, které jsou v systému: Povoluje nebo zakazuje smazání souboru nebo složky.

 

Oprávnění ke čtení: Povolí nebo zakáže oprávnění ke čtení souboru nebo složky.

 

Změnit oprávnění: Povolí nebo zakáže změnu oprávnění souboru nebo složky.

 

Převzít vlastnictví: Povolí nebo zakáže převzetí vlastnictví souboru nebo složky. Vlastník souboru nebo složky může vždy změnit oprávnění k souboru nebo složce bez ohledu na existující oprávnění, která soubor nebo složku chrání.

 


Upravit

Výběrem oprávnění a kliknutím na tlačítko [Upravit] můžete oprávnění upravit.

 

Odstranění adresy

Výběrem oprávnění a kliknutím na tlačítko [Odebrat] se oprávnění z aktuálního objektu odebere.

 

Účinná oprávnění
Kliknutím na tlačítko [Efektivní oprávnění] a následným výběrem uživatele ze seznamu můžete zobrazit efektivní oprávnění uživatele k zadané složce nebo souboru. Efektivní oprávnění se určují na základě kombinace oprávnění Windows ACL a přístupových práv ke sdílené složce.

2.3 
Konfigurace oprávnění systému Windows ACL pomocí Průzkumníka Windows

1. Nejprve pomocí účtu správce systému Windows namapujte sdílenou složku s povoleným rozhraním Windows ACL jako síťovou jednotku. Další informace naleznete v části NAS 106: Používání NAS se systémem Microsoft Windows.

 

2. Klikněte pravým tlačítkem myši na libovolný soubor nebo podsložku ve sdílené složce a vyberte možnost [Vlastnosti]. Poté vyberte kartu [Zabezpečení]. Zde se zobrazí seznam uživatelů a skupin a jejich oprávnění ACL pro daný soubor nebo podsložku.



Pokud má objekt současně zděděná oprávnění od svého rodiče a také explicitní oprávnění, zděděná oprávnění budou označena šedě, zatímco explicitní oprávnění budou označena černě.

3. Klikněte na [Upravit] → [Přidat]. V poli [Z tohoto umístění:] byste měli vidět následující informace:

Pokud byl NAS přidán do domény AD systému Windows, zobrazí se název domény AD.

Pokud NAS nebyl přidán do domény Windows AD, zobrazí se IP adresa NAS.

 

4. Do pole [Zadejte názvy objektů k výběru] zadejte následující informace:

Pokud byl NAS přidán do domény Windows AD, zadejte název uživatele nebo skupiny v doméně a poté klikněte na [Zkontrolovat názvy], abyste ověřili název uživatele/skupiny. Poté klikněte na [OK].

Pokud NAS nebyl přidán do domény Windows AD, zadejte název místního uživatele nebo skupiny ADM a poté klikněte na [Zkontrolovat název], abyste ověřili název uživatele/skupiny. Poté klikněte na [OK].

 

 

5. Nyní byste měli vidět nově přidaného uživatele nebo skupinu v seznamu [Jména skupin nebo uživatelů:]. Vyberte uživatele nebo skupinu a poté pomocí zaškrtávacích políček [Povolit] a [Odepřít] nakonfigurujte jejich přístupová oprávnění k objektu. Po dokončení klikněte na tlačítko [Použít].

 

 

2.4 Pravidla oprávnění a bezpečnostní opatření systému Windows ACL
2.4.1 ACL Konfliktní oprávnění ACL

Pokud narazíte na konfliktní oprávnění Windows ACL, budou mít přednost explicitní oprávnění objektu. Pokud například uživatel Helen zdědí pro soubor oprávnění "Povolit čtení a spuštění", ale zadaná explicitní oprávnění pro soubor jsou "Odepřít čtení a spuštění", pak Helen nebude mít k souboru přístup.

A naopak, pokud Helen zdědí oprávnění "Deny Read" (Odmítnout čtení), ale explicitní oprávnění daná pro soubor jsou "Allow Read" (Povolit čtení), pak Helen bude mít k souboru přístup.

 

 

2.4.2 Pravidla pro přesouvání souborů a složek

 

 

Kopírovat

Přesun

Přesun v rámci stejné sdílené složky

A1. ACL Bezbariérový

Zachování stávajících povolení

Zachování stávajících povolení

A2. ACL Povoleno

Odstranění oprávnění ACL zděděných ze zdrojové složky


Odstranění explicitních oprávnění ACL


Použití oprávnění ACL zděděných z cílové složky

Odstranění explicitních oprávnění ACL


Odstranění explicitních oprávnění ACL


Použití oprávnění ACL zděděných z cílové složky

Přesun mezi různými sdílenými složkami

B1.

ACL Bezbariérový

ACL
Povoleno

Zachování stávajících povolení

Retain existing permissions

B2.

ACL Bezbariérový

ACL
Povoleno

Použití oprávnění ACL zděděných z cílové složky

Použití oprávnění ACL zděděných z cílové složky

B3.

ACL Povoleno

ACL
Bezbariérový

Odebrání všech oprávnění ACL


Oprávnění budou obnovena jako "Plný přístup pro všechny uživatele".

Odebrání všech oprávnění ACL


Oprávnění budou obnovena jako "Plný přístup pro všechny uživatele".

B4.

ACL Povoleno

ACL
Povoleno

Odstranění oprávnění ACL zděděných ze zdrojové složky

Odstranění explicitních oprávnění ACL
Použití oprávnění ACL zděděných z cílové složky

Odstranění oprávnění ACL zděděných ze zdrojové složky

Odstranění explicitních oprávnění ACL

Použití oprávnění ACL zděděných z cílové složky

Výjimky: Pokud jsou data odstraněna ze sdílené složky s povoleným ACL a přesunuta do síťového koše, pravidla z "B3" ve výše uvedené tabulce se nepoužijí. To má zabránit situaci, kdy jsou soubory s oprávněním "Odepřít přístup" odstraněny a přesunuty do síťového koše a poté se stanou plně přístupné všem uživatelům. S ohledem na soukromí a bezpečnost bude souborům ze složek s povoleným ACL, které jsou přesunuty do síťového koše, přiřazeno oprávnění "Číst a zapisovat pro vlastníky, odepřít přístup pro všechny ostatní uživatele".

2.4.3 Oprávnění k odstraňování souborů
S mazáním souborů jsou spojena 2 oprávnění:

1. Uživatel má pro soubor výslovné oprávnění "Smazat".

2. Uživatel má pro nadřazenou složku souboru oprávnění "Smazat podsložky a soubory".


Pokud je některé z výše uvedených oprávnění nakonfigurováno jako "Deny", uživatel nebude moci soubor odstranit.
Pouze v případě, že žádné z výše uvedených oprávnění nebylo nakonfigurováno jako "Deny" a alespoň jedno z nich bylo nakonfigurováno jako "Allow", bude uživatel moci soubor odstranit.

2.4.4 Přístupové právo k objektům

Po povolení seznamu Windows ACL pro sdílenou složku bude mít každý objekt (podsložky a soubory) obsažený ve složce přístupová práva. Přístupová práva k objektu můžete zobrazit tak, že jej vyberete v Průzkumníku souborů ADM, kliknete na něj pravým tlačítkem myši a vyberete možnost [Vlastnosti]. V části [Přístupová práva ke sdílené složce] na kartě [Obecné] bude odkaz na úpravu.


 

 

Osoba, která má přístupová práva, pro něj bude moci konfigurovat oprávnění ACL. Například uživatel oscar na obrázku výše je vlastníkem složky ACL Demo. Proto bude moci oscar konfigurovat oprávnění ACL pro tuto složku a podsložky a soubory v ní obsažené.

Pro každý nově přidaný objekt bude ve výchozím nastavení nastaveno přístupové právo tvůrce objektu. Uživatelé ve skupině správců budou mít navíc možnost přístupová práva upravovat. Pokud bychom například chtěli převést vlastnictví složky ACL Demo na výše uvedeném obrázku na jiné uživatele (tj. Helen), oscar a všichni uživatelé ve skupině správců budou mít možnost převést vlastnictví. Jakmile se Helen stane vlastníkem složky ACL Demo, bude moci překonfigurovat oprávnění pro její podsložky a soubory, i když k nim původně neměla přístupová práva.

 

2.5 Přesouvání objektů na NAS při zachování oprávnění ACL
Pokud jsou všechny počítače se systémem Windows a zařízení NAS v síťovém prostředí přidány do stejné domény služby Windows AD, lze všechny uživatelské účty a oprávnění v doméně sloučit dohromady. Při přesunu souborů nebo složek z PC serveru na NAS však nebudou zachována stávající oprávnění ACL (pomocí pravidel v části 2.4.2). To způsobuje, že pracovníci IT musí znovu konfigurovat oprávnění.
Pokud chcete při přesouvání souborů nebo složek na NAS zachovat stávající oprávnění ACL, můžete použít Fastcopy, software třetí strany. (http://ipmsg.org/tools/fastcopy.html.en). V následujícím příkladu si ukážeme, jak tuto funkci Fastcopy použít.
1. Nejprve pomocí účtu správce systému Windows namapujte sdílenou složku s povoleným rozhraním Windows ACL jako síťovou jednotku. Další informace naleznete v části NAS 106: Používání NAS se systémem Microsoft Windows. V našem příkladu jsme namapovali sdílenou složku jako síťovou jednotku "Z:".

 

 

2. Otevřít Fastcopy.

 

3. [Zdroj]: Zde zadejte zdrojovou složku.

[DestDir]: Zde zadejte cílovou složku (síťová jednotka "Z:" namapovaná v kroku 1).

 

Zaškrtnutím políčka [ACL] zajistíte, že Fastcopy při přesunu souborů zachová jejich původní oprávnění ACL.

Kliknutím na tlačítko [Execute] zahájíte přesun složky.

 



4. Po úspěšném přesunu složky si všechna data přesunutá do cílové složky zachovají svá oprávnění ACL ze zdroje (včetně všech explicitních a zděděných oprávnění). Tato data nebudou dědit žádná oprávnění od nadřazeného objektu ve zdroji.

 

Pomohl vám tento článek? Ano / Ne