Erfahren Sie, wie Sie Windows ACL zur Verwaltung von Datenzugriffsberechtigungen auf Ihrem ASUSTOR NAS verwenden können.

Kursziele

Upon completion of this course you should be able to:

1. Verstehen der grundlegenden Prinzipien der Verwendung von Windows ACL mit Ihrem ASUSTOR NAS
2. Verwendung von Windows ACL zur Verwaltung von Datenzugriffsberechtigungen auf Ihrem ASUSTOR NAS

Voraussetzungen

Kursvoraussetzungen:

Überblick

1. Einführung in Windows ACL
1.1 Was ist Windows ACL?

Windows ACL sind die 13 verschiedenen Arten von Dateiberechtigungen, die von Microsoft für NTFS-Dateisysteme entwickelt wurden und auf bestimmte Benutzer und Gruppen angewendet werden können. Innerhalb dieser Art von Infrastruktur können Administratoren detailliertere und präzisere Konfigurationen der Zugriffsrechte vornehmen.

Darüber hinaus können in der Windows AD-Domäneninfrastruktur (die in Unternehmen weit verbreitet ist) Windows ACL-Berechtigungen auf alle Benutzer und Gruppen in der Domäne angewendet werden. Die Benutzer können sich über jeden beliebigen Computer im Netzwerk anmelden, und solange sie denselben Kontonamen verwenden, bleiben alle Berechtigungen gleich. Das IT-Personal muss nicht für jeden einzelnen Server und PC-Arbeitsplatz Berechtigungen konfigurieren, was die Effizienz der Verwaltung deutlich erhöht.

Um ASUSTOR NAS enger in AD-Domänen zu integrieren, die IT-Verwaltung zu vereinfachen und die Produktivität zu steigern, hat ASUSTOR das Windows ACL-Berechtigungssystem tief in ADM integriert und bietet die folgenden einzigartigen Funktionen:

1. Die Möglichkeit, Windows ACL für einzelne freigegebene Ordner zu aktivieren

2. Umfassende Unterstützung für alle 13 Arten von Windows ACL-Berechtigungen

3. Die Möglichkeit, die effektiven Windows ACL-Berechtigungen im Detail von ADM aus zu betrachten

4. Unterstützung für Netzwerkbenutzer und -gruppen

5. Möglichkeit der Anwendung von ACL-Berechtigungen auf die Dateiübertragungsprotokolle Samba, File Explorer, AFP, FTP, WebDAV und Rsync

1.2 Muss ich Windows ACL aktivieren?

Wie im vorherigen Abschnitt beschrieben, bietet Windows ACL bis zu 13 verschiedene Berechtigungseinstellungen, die auf alle Benutzer und Gruppen auf dem NAS und in der Domäne (wenn der NAS einer Windows AD-Domäne hinzugefügt wurde) angewendet werden können. Im Falle einer unsachgemäßen Planung oder Konfiguration von Berechtigungen besteht die Möglichkeit, dass nicht alle Benutzer auf einen bestimmten Ordner oder eine Datei zugreifen können. Natürlich kann diese Art von Fehler durch die Verwendung eines Administratorkontos behoben werden, aber die Zeit, die vom Auftreten des Problems bis zu seiner Behebung vergeudet wird, kann als erhebliche immaterielle Kosten für Unternehmen angesehen werden.

ASUSTOR NAS wurde auf der Grundlage des Linux-Betriebssystems entwickelt, so dass die systemeigenen Einstellungen von ADM den Linux-Berechtigungsverwaltungsmechanismus nutzen:

Anwendbare Berechtigungen: RW (Lesen & Schreiben), RO (Nur Lesen), DA (Zugriff verweigern)

Berechtigungen können angewendet werden auf: "Eigentümer", die Gruppe, der der Eigentümer angehört, und "Andere". Die geringere Anzahl von Optionen ermöglicht eine einfachere Konfiguration.  Die Flexibilität und Anpassungsfähigkeit der Berechtigungen ist jedoch sehr begrenzt. Bei Verwendung des Linux-Berechtigungsmechanismus ist es beispielsweise nicht möglich, einem Benutzer die Möglichkeit zu geben, eine Datei zu bearbeiten, ihm aber nicht das Recht zu geben, die Datei zu löschen.

Wenn Sie Ihr NAS nur für sich selbst und eine begrenzte Anzahl von Familienmitgliedern und Freunden nutzen, wird empfohlen, den ursprünglichen ADM-Mechanismus zur Verwaltung von Berechtigungen zu verwenden. Wenn Ihr NAS jedoch für die Speicherung von Geschäftsdaten verwendet wird, sollten Sie sich zunächst mit Ihrem IT-Personal beraten, um zu entscheiden, ob es angebracht ist, Windows ACL-Berechtigungen zu aktivieren, und dann einen Berechtigungsverteilungsplan ausfüllen, falls Sie sich dafür entscheiden.

Wir bieten Ihnen die Flexibilität, Windows ACL für einzelne freigegebene Ordner zu aktivieren oder zu deaktivieren, was für die Bewertung und Planung sehr hilfreich ist. Sie können einen gemeinsamen Ordner zum Testen erstellen, Windows ACL aktivieren und dann die Berechtigungseinstellungen konfigurieren. Anschließend können Sie überprüfen, ob die Ergebnisse Ihren Erwartungen entsprechen. Sobald Sie die gewünschten Ergebnisse erhalten, können Sie die Einstellungen auf den gemeinsamen Ordner Ihrer Wahl anwenden. Auf diese Weise können Sie Fehler oder Planungsfehler vermeiden, die den Zugriff auf wichtige Daten verweigern und den Betrieb Ihres Unternehmens beeinträchtigen könnten.

2. Windows ACL konfigurieren
2.1 Aktivieren von Windows ACL

Einen neuen gemeinsamen Ordner erstellen

Melden Sie sich mit dem Konto "admin" oder einem Benutzerkonto, das der Gruppe "administrators" angehört, bei ADM an. Wählen Sie [Zugriffskontrolle] → [Gemeinsame Ordner] → [Hinzufügen].

Geben Sie einen Namen für Ihren neuen gemeinsamen Ordner ein und klicken Sie dann auf [Weiter].

Nachdem Sie die Zugriffsrechte für den gemeinsamen Ordner festgelegt haben, aktivieren Sie das Kontrollkästchen [Windows ACL aktivieren] und klicken dann auf [Weiter].

Hinweis: Die Zugriffsrechte für freigegebene Ordner sind die erste Ebene der Berechtigungsprüfung. Wenn einem Benutzer oder einer Gruppe hier keine "Lese- und Schreibrechte" zugewiesen wurden, werden alle Windows ACL-Berechtigungen, die ihnen zugewiesen wurden, blockiert. Daher ist es empfehlenswert, für gemeinsame Ordner, für die Windows ACL aktiviert ist, weniger strenge Zugriffsrechte zu konfigurieren und dann Windows ACL zu verwenden, um später spezifischere Berechtigungen zu konfigurieren.

Klicken Sie auf [Fertigstellen], um die Erstellung des gemeinsamen Ordners abzuschließen.

Aktivieren der Windows ACL für bereits vorhandene gemeinsame Ordner

Melden Sie sich im ADM mit dem Konto "admin" oder einem Benutzerkonto der Gruppe "administrators" an.

Wählen Sie [Zugriffskontrolle] > [Gemeinsame Ordner] → [Der gemeinsame Ordner, für den Sie Windows ACL aktivieren möchten] → [Bearbeiten].

Wählen Sie die Registerkarte [Windows ACL], aktivieren Sie das Kontrollkästchen [Enable Windows ACL] und klicken Sie dann auf [Close].

2.2 Konfigurieren von Windows ACL-Berechtigungen mit ADM File Explorer

Öffnen Sie im ADM den Datei-Explorer und wählen Sie einen freigegebenen Ordner (oder einen Unterordner oder eine Datei), für den Sie Windows ACL aktiviert haben. Klicken Sie mit der rechten Maustaste auf den freigegebenen Ordner und wählen Sie dann [Eigenschaften].

Wählen Sie im Eigenschaftenfenster die Registerkarte [Berechtigung]. Hier können Sie die aktuell konfigurierten Berechtigungen für den Ordner sehen. Sie können hier auch die Berechtigungen für den Ordner verwalten.

Nach der Aktivierung von Windows ACL für einen gemeinsamen Ordner weist das System standardmäßig "Lese- und Schreibrechte, aber keine Löschrechte" für "Alle", "Administratoren" und das "admin"-Konto zu. Diese Berechtigungen gelten nur für den gemeinsamen Ordner und werden nicht an darunter liegende Objekte vererbt. Diese Standardberechtigungen können mit den Schaltflächen [Bearbeiten] oder [Entfernen] geändert werden.

Hinweis: Eine einzelne Datei oder ein einzelner Ordner kann bis zu 250 Windows ACL-Berechtigungen verwenden (einschließlich vererbter Berechtigungen).

Vererbbare Berechtigungen vom übergeordneten Objekt einschließen: Diese Option ist standardmäßig aktiviert. Das System konfiguriert Unterordner und Dateien automatisch so, dass sie die Berechtigungen des übergeordneten Objekts erben. Wenn Sie diese Option deaktivieren, werden alle vererbbaren Berechtigungen abgelehnt und nur neu hinzugefügte Berechtigungen beibehalten.

Alle Berechtigungen von Unterobjekten durch vererbbare Berechtigungen von diesem Objekt ersetzen: Wenn Sie diese Option aktivieren, werden alle Unterordner- und Dateiberechtigungen durch diejenigen des übergeordneten Objekts ersetzt.

The management functions that you will be able to use here are as follows:

Hinzufügen

Klicken Sie auf die Schaltfläche [Hinzufügen], um eine neue Berechtigung für das Objekt zu erstellen.

Benutzer oder Gruppe: Geben Sie den Benutzer oder die Gruppe an, auf den/die Sie die Berechtigung anwenden möchten.

Typ: Wählen Sie [Zulassen] oder [Verweigern], um die Berechtigung für den Benutzer oder die Gruppe zu gewähren oder zu verweigern.

Anwenden auf: Diese Option wird nur beim Hinzufügen von Berechtigungen für einen Ordner angezeigt. Aus dem Dropdown-Menü können Sie auswählen, wo die Berechtigung angewendet werden soll. Die Art und Weise, in der die Berechtigung angewendet wird, hängt davon ab, ob Sie das Kontrollkästchen [Diese Berechtigungen nur auf Objekte und/oder Container innerhalb des Containers anwenden] aktivieren oder nicht.

Wenn das Kontrollkästchen [Diese Berechtigungen nur auf Objekte und/oder Container innerhalb des Containers anwenden] nicht markiert ist:

Wenn das Kontrollkästchen [Diese Berechtigungen nur auf Objekte und/oder Container innerhalb des Containers anwenden] markiert ist:

Bearbeiten

Wenn Sie eine Berechtigung auswählen und dann auf die Schaltfläche [Bearbeiten] klicken, können Sie die Berechtigung ändern.

Entfernen

Wenn Sie eine Berechtigung markieren und dann auf [Entfernen] klicken, wird die Berechtigung aus dem aktuellen Objekt entfernt.

Wirksame Berechtigungen

Wenn Sie auf die Schaltfläche [Effektive Berechtigungen] klicken und dann einen Benutzer aus der Liste auswählen, können Sie die effektiven Berechtigungen des Benutzers in Bezug auf den angegebenen Ordner oder die angegebene Datei anzeigen. Die effektiven Berechtigungen werden aus der Kombination von Windows ACL-Berechtigungen und Zugriffsrechten für gemeinsame Ordner ermittelt.

2.3 Konfigurieren von Windows ACL-Berechtigungen mit Windows Explorer

1. Verwenden Sie zunächst ein Windows-Administratorkonto, um einen Windows ACL-aktivierten gemeinsamen Ordner als Netzlaufwerk zuzuordnen. Für weitere Informationen siehe NAS 106: Verwendung von NAS mit Microsoft Windows.

2. Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Unterordner des gemeinsamen Ordners und wählen Sie [Eigenschaften]. Wählen Sie dann die Registerkarte [Sicherheit]. Hier sehen Sie eine Liste der Benutzer und Gruppen und deren ACL-Berechtigungen für die Datei oder den Unterordner.



Wenn ein Objekt gleichzeitig geerbte Berechtigungen von seinem Elternteil und explizite Berechtigungen hat, werden die geerbten Berechtigungen grau und die expliziten Berechtigungen schwarz dargestellt.

3. Klicken Sie auf [Bearbeiten] → [Hinzufügen]. Im Feld [Von diesem Ort:] sollten Sie die folgenden Informationen sehen:

Wenn der NAS zu einer Windows AD-Domäne hinzugefügt wurde, wird der AD-Domänenname angezeigt.

Wenn der NAS nicht zu einer Windows AD-Domäne hinzugefügt wurde, sehen Sie die IP-Adresse des NAS.

4. Geben Sie in das Feld [Geben Sie die auszuwählenden Objektnamen ein] die folgenden Informationen ein:

Wenn der NAS zu einer Windows AD-Domäne hinzugefügt wurde, geben Sie den Namen des Domänenbenutzers oder der Gruppe ein und klicken Sie dann auf [Namen prüfen], um den Benutzer-/Gruppennamen zu überprüfen. Klicken Sie dann auf [OK].

Wenn der NAS nicht zu einer Windows AD-Domäne hinzugefügt wurde, geben Sie den lokalen ADM-Benutzer- oder Gruppennamen ein und klicken Sie dann auf [Namen prüfen], um den Benutzer-/Gruppennamen zu überprüfen. Klicken Sie dann auf [OK].

5. Jetzt sollten Sie den neu hinzugefügten Benutzer oder die Gruppe in der Liste [Gruppen- oder Benutzernamen:] sehen können. Wählen Sie den Benutzer oder die Gruppe aus und verwenden Sie dann die Kontrollkästchen [Zulassen] und [Verweigern], um die Zugriffsrechte für das Objekt zu konfigurieren. Wenn Sie fertig sind, klicken Sie auf [Übernehmen].

2.4 Windows ACL-Berechtigungsregeln und Vorsichtsmaßnahmen

2.4.1 ACL Widersprüchliche ACL-Berechtigungen

Wenn Sie auf widersprüchliche Windows ACL-Berechtigungen stoßen, haben die expliziten Berechtigungen des Objekts Vorrang. Wenn beispielsweise der Benutzer Helen die Berechtigung "Lesen und Ausführen zulassen" für eine Datei erbt, die expliziten Berechtigungen für die Datei jedoch "Lesen und Ausführen verweigern" lauten, kann Helen nicht auf die Datei zugreifen.

Umgekehrt kann Helen auf die Datei zugreifen, wenn sie die Berechtigung "Lesen verweigern" erbt, die explizite Berechtigung für die Datei aber "Lesen zulassen" lautet.

2.4.2 Regeln für das Verschieben von Dateien und Ordnern

Ausnahmen: Wenn Daten aus einem ACL-aktivierten gemeinsamen Ordner gelöscht und in den Netzwerk-Papierkorb verschoben werden, gelten die Regeln von "B3" in der obigen Tabelle nicht. Damit soll verhindert werden, dass Dateien mit der Berechtigung "Zugriff verweigern" gelöscht und in den Netzwerk-Papierkorb verschoben werden und dann für alle Benutzer voll zugänglich werden. Unter Berücksichtigung des Datenschutzes und der Sicherheit werden Dateien aus ACL-aktivierten Ordnern, die in den Netzwerk-Papierkorb verschoben werden, mit der Berechtigung "Lesen und Schreiben für Eigentümer, Zugriff verweigern für alle anderen Benutzer" versehen.

2.4.3 Berechtigungen zum Löschen von Dateien

Mit dem Löschen von Dateien sind 2 Berechtigungen verbunden:

1. Der Benutzer hat die ausdrückliche Berechtigung "Löschen" für die Datei

2. Der Benutzer hat die Berechtigung "Unterordner und Dateien löschen" für den übergeordneten Ordner der Datei.

Wenn eine der oben genannten Berechtigungen als "Verweigern" konfiguriert ist, kann der Benutzer die Datei nicht löschen.

Nur wenn keine der oben genannten Berechtigungen als "Verweigern" und mindestens eine davon als "Zulassen" konfiguriert wurde, kann der Benutzer die Datei löschen.

2.4.4 Zugriffsrecht auf Objekte

Nachdem die Windows ACL für einen gemeinsamen Ordner aktiviert wurde, hat jedes Objekt (Unterordner und Dateien), das in diesem Ordner enthalten ist, ein Zugriffsrecht. Sie können die Zugriffsrechte für ein Objekt anzeigen, indem Sie es im ADM-Datei-Explorer auswählen, mit der rechten Maustaste darauf klicken und dann [Eigenschaften] wählen. Im Abschnitt [Zugriffsrechte für freigegebene Ordner] auf der Registerkarte [Allgemein] finden Sie einen Link zum Bearbeiten.

Personen, die über Zugriffsrechte verfügen, können ACL-Berechtigungen für den Ordner konfigurieren. Zum Beispiel ist der Benutzer oscar in der obigen Grafik der Eigentümer des ACL-Ordners Demo. Daher kann oscar die ACL-Berechtigungen für den Ordner und die darin enthaltenen Unterordner und Dateien konfigurieren.

Für jedes neu hinzugefügte Objekt wird standardmäßig der Ersteller des Objekts als Zugriffsberechtigter festgelegt. Darüber hinaus können die Benutzer der Administratorgruppe die Zugriffsrechte ändern. Wenn wir zum Beispiel den Besitz des ACL-Demo-Ordners in der obigen Grafik auf andere Benutzer (z. B. Helen) übertragen wollen, können Oscar und alle Benutzer in der Administratorgruppe den Besitz übertragen. Sobald Helen Eigentümerin des ACL-Demo-Ordners wird, kann sie die Berechtigungen für die Unterordner und Dateien neu konfigurieren, auch wenn sie ursprünglich keine Zugriffsberechtigung für diese hatte.

2.5 Verschieben von Objekten auf Ihren NAS unter Beibehaltung der ACL-Berechtigungen

Wenn alle Windows-PCs und NAS-Geräte in einer Netzwerkumgebung zur gleichen Windows AD-Domäne hinzugefügt wurden, können alle Benutzerkonten und Berechtigungen in der Domäne zusammengeführt werden. Wenn jedoch Dateien oder Ordner von einem PC-Server auf ein NAS-Gerät verschoben werden, werden die bestehenden ACL-Berechtigungen nicht beibehalten (unter Verwendung der Regeln in Abschnitt 2.4.2). Dies führt dazu, dass das IT-Personal die Berechtigungen neu konfigurieren muss.

Wenn Sie die bestehenden ACL-Berechtigungen beim Verschieben von Dateien oder Ordnern auf Ihren NAS beibehalten möchten, können Sie Fastcopy, eine Software eines Drittanbieters, verwenden (http://ipmsg.org/tools/fastcopy.html.en). Im folgenden Beispiel wird gezeigt, wie Sie diese Fastcopy verwenden können.
1. First, use a Windows administrator account to map a Windows ACL enabled shared folder as a network drive. For more information, please see NAS 106: Using NAS with Microsoft Windows. In unserem Beispiel haben wir einen gemeinsamen Ordner als Netzlaufwerk "Z:" zugeordnet.

2. Öffnen Sie Fastcopy.

3. [Source]: Specify the source folder here.

[DestDir]: Specify the destination folder here (the “Z:” network drive mapped in step 1)

Aktivieren Sie das Kontrollkästchen [ACL], um sicherzustellen, dass Fastcopy die ursprünglichen ACL-Berechtigungen Ihrer Dateien beim Verschieben beibehält.

Klicken Sie auf [Ausführen], um mit dem Verschieben des Ordners zu beginnen.

4. Nachdem der Ordner erfolgreich verschoben wurde, behalten alle zum Ziel verschobenen Daten ihre ACL-Berechtigungen aus der Quelle bei (einschließlich aller expliziten und geerbten Berechtigungen). Diese Daten erben keine Berechtigungen vom übergeordneten Objekt an der Quelle.