Leren om Windows ACL te gebruiken om gegevenstoegangsrechten te beheren op uw ASUSTOR NAS.

CURSUSDOELSTELLINGEN

Na afronding van deze cursus, moet u in staat zijn om:

1. De basisprincipes begrijpen van het gebruik van Windows ACL met uw ASUSTOR NAS
2. Windows ACL gebruiken om gegevenstoegangsrechten te beheren op uw ASUSTOR NAS

VOORWAARDEN

Cursusvoorwaarden:

NAS 106: Using NAS with Microsoft Windows

Van studenten wordt verwacht dat zij beschikken over een actieve kennis van:

ASUSTOR NAS installeren en initialiseren

Opslagvolumes en gedeelde mappen aanmaken

Lokale gebruikers en groepen aanmaken in ADM

OVERZICHT

1. Inleiding tot Windows ACL
1.1 Wat is Windows ACL?

Windows ACL zijn de 13 verschillende soorten bestandsrechten die Microsoft ontworpen heeft voor NTFS bestandssystemen en die toegepast kunnen worden op specifieke gebruikers en groepen. Binnen dit type infrastructuur kunnen beheerders meer gedetailleerde en precieze toegangsrechten configureren.

In de Windows AD-domeininfrastructuur (veel gebruikt door bedrijven) kunnen Windows ACL-toestemmingen worden toegepast op alle gebruikers en groepen in het domein. Gebruikers kunnen elke computer in het netwerk gebruiken om in te loggen en zolang ze dezelfde accountnaam gebruiken, blijven alle rechten hetzelfde. IT-medewerkers hoeven geen machtigingen te configureren voor elke afzonderlijke server en pc-werkstation, waardoor de efficiëntie van het beheer aanzienlijk toeneemt.

Om ASUSTOR NAS beter te integreren met AD-domeinen, het IT-beheer te vereenvoudigen en de productiviteit te verhogen, heeft ASUSTOR het Windows ACL-machtigingssysteem diepgaand geïntegreerd met ADM, en biedt het de volgende unieke functies:

1. De mogelijkheid om Windows ACL in te schakelen voor individuele gedeelde mappen

2. Uitgebreide ondersteuning voor alle 13 soorten Windows ACL-machtigingen

3. Mogelijkheid om Windows ACL effectieve machtigingen in detail te bekijken vanuit ADM

4. Ondersteuning voor netwerkgebruikers en -groepen

5. Mogelijkheid om ACL-machtigingen toe te passen op Samba, File Explorer, AFP, FTP, WebDAV, Rsync protocollen voor bestandsoverdracht

1.2 Moet ik Windows ACL inschakelen?

Zoals beschreven in het vorige hoofdstuk, biedt Windows ACL tot 13 verschillende machtigingsinstellingen die kunnen worden toegepast op alle gebruikers en groepen op de NAS en op het domein (als de NAS is toegevoegd aan een Windows AD-domein). In het geval van onjuiste planning of configuratie van machtigingen, bestaat de mogelijkheid dat niet alle gebruikers toegang hebben tot een bepaalde map of een bepaald bestand. Uiteraard kan dit type fout worden opgelost door een beheerdersaccount te gebruiken, maar de hoeveelheid verspilde tijd vanaf het moment dat het probleem zich voor het eerst voordoet tot het moment dat het wordt opgelost, kan worden gezien als een aanzienlijke immateriële kostenpost voor bedrijven.

ASUSTOR NAS werd ontwikkeld op basis van het Linux-besturingssysteem, dus de eigen instellingen van ADM maken gebruik van het Linux-mechanisme voor rechtenbeheer:

Toepasbare machtigingen: RW (lezen & schrijven), RO (alleen lezen), DA (toegang weigeren)

Toestemmingen kunnen worden toegepast op: "Eigenaar", de groep waar de eigenaar deel van uitmaakt en "Overig".

Het kleinere aantal opties maakt een eenvoudigere configuratie mogelijk.  De flexibiliteit en aanpasbaarheid van de permissies is echter zeer beperkt. Als u bijvoorbeeld het toestemmingsmechanisme van Linux gebruikt, is het niet mogelijk om een gebruiker de mogelijkheid te geven om een bestand te bewerken en hem tegelijkertijd geen toestemming te geven om het bestand te verwijderen.

Als u uw NAS alleen gebruikt tussen uzelf en een beperkt aantal familieleden en vrienden, dan wordt het aanbevolen om het oorspronkelijke mechanisme voor machtigingenbeheer van ADM te gebruiken. Als uw NAS echter wordt gebruikt voor het opslaan van zakelijke gegevens, wordt het aanbevolen dat u eerst overlegt met uw IT-personeel om te beslissen of het gepast is om Windows ACL-machtigingen in te schakelen en vervolgens een implementatieplan voor machtigingen uit te voeren mocht u besluiten om het te gebruiken.

We hebben je de flexibiliteit gegeven om Windows ACL in of uit te schakelen voor afzonderlijke gedeelde mappen, wat erg handig is voor beoordeling en planning. Je kunt een gedeelde map maken om te testen, Windows ACL inschakelen en dan de machtigingsinstellingen configureren. Daarna kun je controleren of de resultaten zijn wat je ervan verwacht had. Zodra je de gewenste resultaten hebt, kun je de instellingen toepassen op de gedeelde map van je keuze. Zo voorkom je fouten of vergissingen in de planning die de toegang tot belangrijke gegevens kunnen ontzeggen en de werking van je bedrijf kunnen beïnvloeden.

2. Windows ACL configureren
2.1 Windows ACL inschakelen
Een nieuwe gedeelde map maken

Meld u aan bij ADM met het "admin"-account of een gebruikersaccount dat behoort tot de groep "administrators". Selecteer [Toegangsbeheer] → [Gedeelde mappen] → [Toevoegen].

Voer een naam in voor uw nieuwe gedeelde map en klik vervolgens op [Volgende].

Nadat u de toegangsrechten voor de gedeelde map hebt ingesteld, schakelt u het selectievakje [Windows ACL inschakelen] in en klikt u vervolgens op [Volgende].

Opmerking: Gedeelde maptoegangsrechten zijn de eerste laag van de rechtencontrole. Als een gebruiker of groep hier geen "Lees & Schrijf" rechten heeft gekregen, zullen alle Windows ACL rechten die aan hen zijn toegewezen worden geblokkeerd. Daarom is het aanbevolen dat je mildere toegangsrechten configureert voor gedeelde mappen waarvoor Windows ACL is ingeschakeld en dan later Windows ACL gebruikt om meer specifieke rechten te configureren.

Klik op [Voltooien] om het aanmaken van de gedeelde map te voltooien.

Windows ACL inschakelen voor reeds bestaande gedeelde mappen
Meld je aan bij ADM met de "admin" account of een gebruikersaccount die behoort tot de "administrators" groep.
Selecteer [Toegangsbeheer] > [Gedeelde mappen] → [De gedeelde map waarvoor u Windows ACL wilt inschakelen] → [Bewerken].

Selecteer het tabblad [Windows ACL], schakel het selectievakje [Windows ACL inschakelen] in en klik vervolgens op [Sluiten].

2.2 Windows ACL-machtigingen configureren met ADM File Explorer

Open vanuit ADM Bestandsbeheer en selecteer vervolgens een gedeelde map (of submap of bestand) waarvoor je Windows ACL hebt ingeschakeld. Klik met de rechtermuisknop op de gedeelde map en selecteer vervolgens [Eigenschappen].

Selecteer in het eigenschappenvenster het tabblad [Toestemming]. Hier zie je de momenteel geconfigureerde machtigingen voor de map. Je kunt hier ook de machtigingen voor de map beheren.

Na het inschakelen van windows ACL voor een gedeelde map, zal het systeem standaard "Lees & schrijf, maar kan niet verwijderen" rechten toekennen aan "Iedereen", "beheerders" en de "admin" account. Deze rechten worden alleen toegepast op de gedeelde map en worden niet geërfd door objecten eronder. Deze standaardmachtigingen kunnen worden gewijzigd met de knoppen [Bewerken] of [Verwijderen].

Opmerking: Een individueel bestand of map kan tot een maximum van 250 Windows ACL rechten gebruiken (inclusief overgeërfde rechten).

Overerfbare rechten van de ouder van dit object opnemen: deze optie is standaard ingeschakeld. Het systeem zal automatisch submappen en bestanden configureren om rechten te erven van het object erboven. Het uitschakelen van deze optie zal alle overerfbare rechten weigeren en alleen de nieuw toegevoegde rechten behouden.

Vervang alle kinderobjectmachtigingen door overerfbare machtigingen van dit object: Het inschakelen van deze optie zal alle submap- en bestandspermissies vervangen door die van het bovenliggende object.

De beheerfuncties die je hier kunt gebruiken zijn de volgende:

Toevoegen

Klik op de knop [Toevoegen] om een nieuwe machtiging aan te maken voor het object.

Gebruiker of groep: specificeer de gebruiker of groep waarop je de toestemming wilt toepassen.

Type: Selecteer [Toestaan] of [Weigeren] om de toestemming toe te kennen of te weigeren aan de gebruiker of groep.

Toepassen op: Deze optie verschijnt alleen bij het toevoegen van machtigingen aan een map. Vanuit het uitklapmenu kun je selecteren waar de permissie zal worden toegepast. De manier waarop de rechten worden toegepast, wordt bepaald door het selectievakje [Deze rechten alleen toepassen op objecten en/of containers binnen de container].

Als het selectievakje [Deze rechten alleen toepassen op objecten en/of containers binnen de container] niet is ingeschakeld:

Als het selectievakje [Deze machtigingen alleen toepassen op objecten en/of containers binnen de container] is ingeschakeld:

Bewerken

Als je een toestemming selecteert en vervolgens op de knop [Bewerken] klikt, kun je de toestemming wijzigen.

verwijderen

Door een permissie te selecteren en vervolgens op [Verwijderen] te klikken, wordt de permissie van het huidige object verwijderd.

Effectieve toestemmingen

Door op de knop [Effectieve machtigingen] te klikken en vervolgens een gebruiker uit de lijst te selecteren, kun je de effectieve machtigingen van de gebruiker met betrekking tot de gespecificeerde map of het gespecificeerde bestand bekijken. Effectieve machtigingen worden bepaald door de combinatie van Windows ACL machtigingen en toegangsrechten voor gedeelde mappen.

2.3 Windows ACL-machtigingen configureren met Windows Verkenner

1. Gebruik eerst een Windows-beheerdersaccount om een gedeelde map met Windows ACL in te stellen als netwerkstation. Zie voor meer informatie NAS 106: NAS gebruiken met Microsoft Windows.

2. Klik met de rechtermuisknop op een bestand of submap in de gedeelde map en selecteer vervolgens [Eigenschappen]. Selecteer vervolgens het tabblad [Beveiliging]. Hier zie je een lijst met gebruikers en groepen en hun ACL-machtigingen voor het bestand of de submap.



Als een object tegelijkertijd overgeërfde rechten heeft van zijn ouder en ook expliciete rechten, dan worden de overgeërfde rechten grijs gecontroleerd terwijl de expliciete rechten zwart worden gecontroleerd.

3. Klik op [Bewerken] → [Toevoegen]. In het veld [Vanaf deze locatie:] moet u de volgende informatie zien:

Als de NAS is toegevoegd aan een Windows AD-domein, ziet u de AD-domeinnaam.

Als de NAS niet is toegevoegd aan een Windows AD-domein, ziet u het IP-adres van de NAS.

4. Voer de volgende informatie in het veld [Voer de te selecteren objectnamen in] in:

Als de NAS is toegevoegd aan een Windows AD-domein, voert u de naam van de domeingebruiker of -groep in en klikt u vervolgens op [Namen controleren] om de naam van de gebruiker/groep te controleren. Klik vervolgens op [OK].

Als de NAS niet is toegevoegd aan een Windows AD-domein, voert u de lokale ADM-gebruikers- of groepsnaam in en klikt u vervolgens op [Naam controleren] om de gebruikers-/groepsnaam te controleren. Klik vervolgens op [OK].

5.Nu zou je de nieuw toegevoegde gebruiker of groep moeten kunnen zien in de [Groep of gebruikersnamen:] lijst. Selecteer de gebruiker of groep en gebruik de selectievakjes [Toestaan] en [Weigeren] om hun toegangsrechten voor het object in te stellen. Klik op [Toepassen] als u klaar bent.

2.4 Windows ACL toestemmingsregels en voorzorgsmaatregelen
2.4.1 ACL Conflicterende ACL rechten

Als je tegenstrijdige Windows ACL permissies tegenkomt, zullen de expliciete permissies van het object voorrang krijgen. Bijvoorbeeld, als de gebruiker Helen "Allow Read & Execute" permissies erft voor een bestand, maar de expliciete permissies voor het bestand zijn "Deny Read & Execute", dan heeft Helen geen toegang tot het bestand.

Omgekeerd, als Helen de rechten "Deny Read" erft, maar de expliciete rechten voor het bestand zijn "Allow Read", dan heeft Helen toegang tot het bestand.

2.4.2 Regels voor het verplaatsen van bestanden en mappen

Uitzonderingen: Wanneer gegevens worden verwijderd uit een gedeelde map met ACL-rechten en worden verplaatst naar de Prullenbak van het netwerk, zijn de regels uit "B3" in het bovenstaande schema niet van toepassing. Dit is om de situatie te voorkomen waarbij bestanden met "Toegang weigeren" machtigingen worden verwijderd en verplaatst naar de Prullenbak van het Netwerk en vervolgens volledig toegankelijk worden voor alle gebruikers. Met het oog op privacy en beveiliging krijgen bestanden uit mappen met ACL-toegang die worden verplaatst naar de Prullenbak van het netwerk de rechten "Lezen en schrijven voor eigenaars, toegang weigeren voor alle andere gebruikers".

2.4.3 Machtigingen voor het verwijderen van bestanden

Er zijn 2 rechten verbonden aan het verwijderen van bestanden:

1. Gebruiker heeft expliciete "Delete" rechten voor het bestand

2. Gebruiker heeft "Submappen en bestanden verwijderen"-rechten voor de bovenliggende map van het bestand.

Als een van de bovenstaande permissies is geconfigureerd als "Weigeren", dan zal de gebruiker het bestand niet kunnen verwijderen.

Alleen als geen van de bovenstaande permissies is geconfigureerd als "Weigeren" en ten minste één ervan is geconfigureerd als "Toestaan", dan zal de gebruiker het bestand kunnen verwijderen.

2.4.4 Toegangsrecht van objecten

Nadat Windows ACL is ingeschakeld voor een gedeelde map, zal elk object (submappen en bestanden) in de map een toegangsrecht hebben. Je kunt de toegangsrechten voor een object bekijken door het te selecteren in ADM Bestandsbeheer, er met de rechtermuisknop op te klikken en vervolgens [Eigenschappen] te selecteren. Er wordt een bewerkingslink weergegeven in het gedeelte [Toegangsrechten delen map] op het tabblad [Algemeen].

Personen met toegangsrechten kunnen ACL rechten configureren. Bijvoorbeeld, de gebruiker oscar in de bovenstaande afbeelding is de eigenaar van de map ACL Demo. Daarom zal oscar ACL rechten kunnen configureren voor de map en de submappen en bestanden die erin staan.

Voor elk nieuw toegevoegd object zal de maker van het object standaard worden ingesteld als de toegangsrechten. Daarnaast hebben gebruikers in de beheerdersgroep de mogelijkheid om de toegangsrechten aan te passen. Als we bijvoorbeeld het eigendom van de ACL Demo map in de bovenstaande afbeelding willen overdragen aan andere gebruikers (bijvoorbeeld Helen), dan hebben oscar en alle gebruikers in de beheerdersgroep de mogelijkheid om het eigendom over te dragen. Zodra Helen eigenaar wordt van de map ACL Demo, kan ze de rechten voor de submappen en bestanden opnieuw instellen, zelfs als ze daar oorspronkelijk geen toegangsrechten voor had.

2.5 Objecten verplaatsen naar uw NAS met behoud van ACL-machtigingen

Wanneer alle Windows pc's en NAS-apparaten in een netwerkomgeving zijn toegevoegd aan hetzelfde Windows AD-domein, kunnen alle gebruikersaccounts en machtigingen op het domein worden gecombineerd. Wanneer echter bestanden of mappen van een pc-server naar een NAS worden verplaatst, worden bestaande ACL-machtigingen niet behouden (met behulp van de regels in hoofdstuk 2.4.2). Hierdoor moet IT-personeel de machtigingen opnieuw configureren.

Als u bestaande ACL-machtigingen wilt behouden bij het verplaatsen van bestanden of mappen naar uw NAS, kunt u Fastcopy gebruiken, een software van derden.(http://ipmsg.org/tools/fastcopy.html.en). In het onderstaande voorbeeld laten we zien hoe je deze Fastcopy gebruikt.
1. Gebruik eerst een Windows-beheerdersaccount om een gedeelde map met Windows ACL in te stellen als een netwerkstation. Zie voor meer informatie NAS 106: NAS gebruiken met Microsoft Windows. In ons voorbeeld hebben we een gedeelde map toegewezen als het netwerkstation "Z:".

2. Fastcopy openen.

3. [Bron]: Geef hier de bronmap op.

[DestDir]: Geef hier de doelmap op (het "Z:" netwerkstation dat in stap 1 in kaart is gebracht)

Schakel het selectievakje [ACL] in om ervoor te zorgen dat Fastcopy de oorspronkelijke ACL-machtigingen van uw bestanden behoudt wanneer u ze verplaatst.

Klik op [Uitvoeren] om te beginnen met het verplaatsen van de map.

4. Nadat de map succesvol verplaatst is, zullen alle gegevens die naar de bestemming verplaatst zijn hun ACL rechten van de bron behouden hebben (inclusief alle expliciete en overgeërfde rechten). Deze gegevens erven geen rechten van het bovenliggende object bij de bron.