Мы используем cookie-файлы, чтобы улучшить эту веб-страницу. Ознакомьтесь с Политикой в отношении cookie-файлов .

NAS 471

Знакомимся с Windows ACL

Учимся использовать Windows ACL для управления правами доступа к данным в вашем ASUSTOR NAS.

2017-01-13

ЦЕЛИ КУРСА

После прохождения этого курса вы получите следующие знания и умения:

1. Понимание основных принципов использования Windows ACL с вашим ASUSTOR NAS
2. Использовать Windows ACL  для управления правами доступа к данным в вашем ASUSTOR NAS

ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ

Предварительные условия курса:

NAS 106: Работа с NAS в Microsoft Windows
Слушатели должны получить следующие практические знания:
Установка и инициализация ASUSTOR NAS
Создание томов хранения и общих папок
Создание локальных пользователей и групп в ADM

ПЛАН КУРСА
1. Введение в Windows ACL
1.1 Что такое Windows ACL?
1.2 Должен ли я включить Windows ACL?
2. Конфигурирование Windows ACL
2.1 Включение Windows ACL
2.2 Настройка разрешений Windows ACL с Файловым Менеджером ADM
2.3 Настройка разрешений Windows ACL с Проводником Windows
2.4 Правила разрешений и меры предосторожности Windows ACL
2.5 Перемещение объектов в ваш NAS с одновременным поддержанием разрешений ACL




1. Введение в Windows ACL

1.1 Что такое Windows ACL?

Windows ACL – это 13 разных типов прав доступа к файлам, разработанных Microsoft для файловых систем NTFS, которые могут быть применены к определенным пользователям и группам. В рамках этого типа инфраструктуры администраторы могут создавать более подробные и точные конфигурации прав доступа.


Кроме того, в доменной инфраструктуре AD Windows (широко используемой предприятиями), права доступа Windows ACL могут быть применены для всех пользователей и групп в домене. Пользователи для входа могут использовать любой компьютер в сети, и до тех пор, пока они используют одно и то же имя учетной записи, все права остаются прежними. ИТ-персоналу не нужно настраивать разрешения для каждого отдельного сервера и рабочей станции ПК, что существенно повышает эффективность управления.


Для того, чтобы более тесно интегрировать ASUSTOR NAS с доменами AD, упрощая управление ИТ и повышая производительность, ASUSTOR глубоко интегрировал систему разрешений Windows ACL с ADM, предоставляя следующие уникальные характеристики:

1. Возможность включить Windows ACL для отдельных общих папок
2. Комплексная поддержка всех 13 типов разрешений Windows ACL
3. Возможность просматривать действующие разрешения Windows ACL внутри ADM в деталях
4. Поддержка сетевых пользователей и групп
5. Возможность применить разрешения ACL к протоколам передачи файлов Samba, Файловый Менеджер, AFP, FTP, WebDAV, Rsync

1.2 Должен ли я включить Windows ACL?

Как описано в предыдущем разделе, Windows ACL предоставляет до 13 различных настроек разрешений, которые могут быть применены ко всем пользователям и группам на NAS и на домене (если NAS была добавлена к домену Windows AD). В случае неправильного планирования или конфигурации разрешений существует вероятность того, что никто из пользователей не сможет получить доступ к определенной папке или файлу. Очевидно, этот тип ошибки может быть решен с помощью использования учетной записи администратора, но количество потраченного времени от момента возникновения до момента решения может быть рассмотрено как существенная нематериальная стоимость для предприятий.


ASUSTOR NAS разработан на основе операционной системы Linux, поэтому собственные настройки ADM используют механизм управления разрешениями Linux:

Применимые разрешения: RW (Чтение и Запись), RO (Только чтение), DA (Запретить доступ)
Разрешения могут быть применимы к: “Владельцу”, группе, где владелец является частью, и “Другие”.

Меньшее количество опций позволяет более простые конфигурации. Тем не менее гибкость и регулируемость разрешений очень ограничена. Например, при использовании механизма разрешений Linux нет возможности дать пользователю способность редактировать файл, при этом не давая им разрешение на удаление файла.


Если вы используете ваш NAS только между собой и ограниченным числом семьи и друзей, то рекомендуется использовать исходный механизм управления разрешениями ADM. Однако, если ваш NAS используется для хранения бизнес-данных предприятия, рекомендуется сначала проконсультироваться с вашим ИТ-персоналом, чтобы решить, уместно-ли включить разрешения для Windows ACL, и затем исполнить план развертывания разрешений, если вы решили его использовать.


Мы обеспечили вас гибкостью включения или отключения Windows ACL для отдельных общих папок, что очень полезно при оценивании и планировании. Вы можете создать общую папку для тестирования, включить Windows ACL, и затем настроить параметры разрешений. После этого вы можете проверить, отвечают ли результаты вашим ожиданиям. Как только вы получили требующиеся вам результаты, вы можете применить настройки к выбранной вами общей папке. Это позволит вам избежать каких-либо ошибок в планировании, что могут закрыть доступ к важным данным, и, таким образом, повлиять на работу вашего предприятия.


2. Конфигурирование Windows ACL
2.1 Включение Windows ACL
Создание новой общей папки

Войдите в ADM, используя учетную запись «admin», или пользователя, входящего в группу «администраторов». Выберите [Управление доступом] → [Общие папки] [Добавить].


Введите имя новой общей папки и нажмите [Следующий].



После настройки прав доступа к общей папке отметьте галочкой [Включить Windows ACL] и нажмите [Следующий].



Примечание: Права доступа к общей папке - это первый слой проверки разрешений. Если пользователю или группе не были здесь даны разрешения "Чтение & Запись", то любые назначенные им права доступа для Windows ACL будут заблокированы. Поэтому рекомендуется в начале настроить более мягкие права доступа к общим папкам, имеющим включенный Windows ACL, и затем позднее использовать Windows ACL для дальнейшей настройки более конкретных разрешений.

Нажмите [Завершить] для завершения создания общей папки.



Включение Windows ACL для уже существующих общих папок

Войдите в ADM, используя учетную запись «admin» или учетную запись, принадлежащую группе «администраторов».
Выберите [Управление доступом] → [Общие папки] → [Общая папка, для которой вы хотите включить Windows ACL] [Редактировать].


Выберите вкладку [Windows ACL], выберите галочкой [Включить Windows ACL] и затем нажмите [Закрыть].

Про Windows ACL

1. После включения Windows ACL для общей папки права доступа пользователей или групп могут быть приданы общей папке и всем вложенным в нее подпапкам и файлам.

2. Следующие общие папки на поддерживают разрешения Windows ACL: Home, User Homes, PhotoGallery, Web, Surveillance, MyArchive, Сетевая Корзина, виртуальные устройства, внешние устройства (жесткие диски USB, оптические приводы).

3. После включения Windows ACL вы сможете использовать Файловый Менеджер ADM или Проводник Microsoft Windows для настройки разрешений. После отключения Windows ACL вы можете настраивать разрешения только в Файловом Менеджере ADM.

4. Если вы включите Windows ACL, а затем решите его отключить, всем файлам и папкам будет придано разрешение «Чтение и Запись» для всех пользователей.

5. Вне зависимости от того, используется ли Windows ACL или нет, пользователи, чтобы обращаться к общим папкам и файлам, будут нуждаться в разрешениях для них.


2.2 Настройка разрешений Windows ACL с Файловым Менеджером ADM

Откройте Файловый Менеджер из ADM и выберите общую папку (или подпапку или файл) для которой вы включили Windows ACL. Нажмите правую кнопку мышки и выберите [Параметры].



Из окна параметров выберите вкладку [Права доступа]. Здесь вы сможете увидеть разрешения для папки, настроенные в настоящее время. Также, здесь можно управлять разрешениями для папки.



После включения Windows ACL для общей папки система по умолчанию выдаст разрешение “Чтение и Запись, но нельзя Удалить” для учетных записей “Everyone”, “администраторов” и “admin”. Эти разрешения будут применяться только к общей папке и не будут наследоваться объектами ниже. Эти разрешения, установленные по умолчанию, могут быть изменены с помощью кнопки [Редактировать] или [Удалить].


Примечание: Отдельный файл или папка может использовать до максимум 250 разрешений Windows ACL (включая унаследованные разрешения).

Включить разрешения, наследуемые от родителя этого объекта: Эта опция включена по умолчанию. Система будет автоматически настраивать подпапки и файлы, чтобы унаследовать разрешения от вышестоящего объекта. Отключение этой опции отвергнет все наследуемые разрешения и сохранит только вновь добавленные разрешения.

Заменить все разрешения дочернего объекта на наследованные разрешения от данного объекта: Включение этой опции заменит все разрешения подпапок и файлов на те, что исходят от родительского объекта.

Вы сможете использовать следующие функции управления:

Добавить
Нажмите кнопку [Добавить], чтобы создать новое разрешение для объекта.



Пользователь или группа: указать пользователя или группу, по отношению к которым вы хотите применить разрешение.
Тип: Выберите [Разрешить] или [Запретить], чтобы предоставить или запретить разрешение пользователю или группе.
Применить к: Эта опция появится только при добавлении разрешений к папке. Из выпадающего меню вы можете выбрать, где будет применяться разрешение. Способ, по которому будет применяться разрешение, определится тем, отметите-ли вы галочкой [Эти разрешения применяются только к объектам и (или) контейнерам, которые находятся внутри контейнера], или нет.

Если [Эти разрешения применяются только к объектам и (или) контейнерам, которые находятся внутри контейнера] не отмечено галочкой:

Применить к

Применить разрешение к данной папке

Применить разрешение к подпапкам в данной папке

Применить разрешение к файлам в данной папке

Применить разрешение ко всем последующим подпапкам

Применить разрешение к файлам во всех последующих подпапках

Только данная папка

V

Данная папка, подпапки и файлы

V

V

V

V

V

Данная папка и подпапки

V

V

V

Данная папка и файлы

V

V

V

Только подпапки и файлы

V

V

V

V

Только подпапки

V

V

Только файлы

V

V


Если [Эти разрешения применяются только к объектам и (или) контейнерам, которые находятся внутри контейнера] отмечено галочкой:

Применить к

Применить разрешение к данной папке

Применить разрешение к подпапкам в данной папке

Применить разрешение к файлам в данной папке

Применить разрешение ко всем последующим подпапкам

Применить разрешение к файлам во всех последующих подпапках

Только данная папка

V

Данная папка, подпапки и файлы

V

V

V

Данная папка и подпапки

V

V

Данная папка и файлы

V

V

Только подпапки и файлы

V

V

Только подпапки

V

Только файлы

V


13 типов разрешений Windows ACL описаны ниже:

Обзор папок/Выполнение файлов: «Обзор папок» разрешает или запрещает перемещение по папкам, чтобы добраться до других файлов или папок, даже если пользователь не имеет прав доступа к пройденным папкам (применимо только к папкам). «Выполнение файлов» разрешает или запрещает работать программные файлы (применимо только к файлам).

Содержание папки/Чтение данных: «Содержание папки» разрешает или запрещает просмотр имен файлов и подпапок в папке (применимо только к папкам). «Чтение данных» разрешает или запрещает просмотр данных в файлах (применимо только к файлам).

Чтение атрибутов:
Позволяет или запрещает просмотр атрибутов файла или папки, такие, как «только для чтения», «скрытый», «сжатый» и «зашифрованный».

Чтение дополнительных атрибутов: Позволяет или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут варьироваться в зависимости от программы.

Создать файлы/запись данных: «Создать файлы» разрешает или запрещает создание файлов в папке (применимо только к папкам). «Запись данных» разрешает или запрещает внесение изменений в файл и перезапись существующего контента (применимо только к файлам).

Создать папки/добавление данных: «Создать папки» разрешает или запрещает создание папок внутри папки (применимо только к папкам). «Добавление данных» разрешает или запрещает внесение изменений в конец файла, но не изменение, удаление или перезапись существующих данных (применимо только к файлам).

Запись атрибутов: Позволяет или запрещает изменение атрибутов файла или папки.

Запись дополнительных атрибутов: Позволяет или запрещает изменение дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут варьироваться в зависимости от программы.

Удалить подпапки и файлы: Позволяет или запрещает удаление подпапок и файлов, даже если разрешение «Удалить» для подпапки или файла не было предоставлено (применимо к папкам).

Удалить: Позволяет или запрещает удаление файла или папки.

Чтение разрешений: Позволяет или запрещает чтение разрешений файла или папки.

Изменить разрешения: Позволяет или запрещает изменение прав доступа к файлу или папке.

Взять право владения: Позволяет или запрещает брать право владения файлом или папкой. Владелец файла или папки всегда может изменить разрешения на них, независимо от любых существующих разрешений, защищающих файл или папку.


Редактировать

Выбрав разрешение и затем нажав кнопку [Редактировать], вы сможете его модифицировать.


Удалить

Выбрав разрешение и затем нажав на кнопку [Удалить], вы удалите разрешение от данного объекта.


Действующие разрешения

При нажатии на кнопку [Действующие разрешения], и затем выбрав пользователя из списка, вы сможете просматривать эффективные разрешения пользователя по отношению к указанной папке или файлу. Действующие разрешения определяются комбинацией разрешений Windows ACL и правами доступа к общей папке.


2.3 Настройка разрешений Windows ACL с Проводником Windows

1. Во-первых, используйте учетную запись администратора для отображения включенной общей папки под управлением Windows ACL в качестве сетевого диска. Для дальнейшей информации, пожалуйста, обратитесь к курсу NAS 106: Работа с сетевым хранилищем в Microsoft Windows.

2. Нажмите правую кнопку мышки на любой файл или подпапку внутри общей папки и затем выберите [Параметры]. Следующее, выберите вкладку [Безопасность]. Здесь вы сможете увидеть список пользователей и групп пользователей и их права доступа ACL для файла или подпапки.



Если объект одновременно унаследовал разрешения от своего родителя и также явные разрешения, унаследованные разрешения будут выведены серым цветом, в то время, как явные разрешения будут выведены черным цветом.

3. Нажмите [Редактировать] [Добавить]. В поле [Из этой локации:] вы должны увидеть следующую информацию:
Если NAS был добавлен к домену Windows AD, вы увидите имя домена AD.
Если NAS не был добавлен к домену Windows AD, вы увидите IP адрес NAS.


4. В поле [Введите имена объектов для выбора] введите следующую информацию:
Если NAS был добавлен в домен Windows AD, введите имя пользователя или группы пользователей домена и затем нажмите [Проверить имена] для того, чтобы подтвердить имя пользователя/группы. Затем нажмите [OK].

Если NAS не был добавлен в домен Windows AD, введите имя локального пользователя или группы ADM и затем нажмите [Проверить имена] для того, чтобы подтвердить имя пользователя/группы. Затем нажмите [OK].


5. Теперь вы можете увидеть вновь добавленного пользователя или группу в списке [Group or user names:]. Выберите пользователя или группу, и затем используйте флажки [Разрешить] и [Запретить] для настройки их прав доступа на данный объект. По завершении нажмите [Применить].


2.4 Правила разрешений и меры предосторожности Windows ACL
2.4.1 Конфликтующие разрешения ACL
Если вы столкнулись с конфликтующими разрешениями Windows ACL, приоритет будет отдан явным разрешениям объекта. Например, если пользователь Helen наследует разрешения "Разрешить чтение и выполнение" для файла, но заданные явные разрешения для файла "Запретить чтение и выполнение", то Хелен не сможет получить доступ к файлу.

И наоборот, если Хелен наследует разрешение "Запретить Чтение», но явным разрешением, данным для файла, является "Разрешить чтение", то Helen сможет получить доступ к файлу.


2.4.2 Правила перемещения файлов и папок


Копировать

Переместить

Перемещение в той же общей папке

A1. ACL отключен

Сохранить существующие разрешения

Сохранить существующие разрешения

A2. ACL включен

Удалить разрешения ACL, наследованные от исходной папки


Удалить явные разрешения
ACL


Применить разрешения
ACL, наследованные от папки назначения

Удалить явные разрешения ACL


Сохранить явные разрешения
ACL


Применить разрешения
ACL, наследованные от папки назначения

Перемещение между различными общими папками

B1.

ACL отключен
â
ACL
включен

Сохранить существующие разрешения

Сохранить существующие разрешения

B2.

ACL отключен
â
ACL
включен

Применить разрешения ACL, наследованные от папки назначения

Применить разрешения ACL, наследованные от папки назначения

B3.

ACL включен
â
ACL
отключен

Удалить все разрешения ACL


Разрешения будут сброшены до "Полный доступ для всех пользователей”

Удалить все разрешения ACL


Разрешения будут сброшены до "Полный доступ для всех пользователей”

B4.

ACL включен
â
ACL
включен

Удалить разрешения ACL, наследованные от исходной папки

Удалить явные разрешения ACL

Применить разрешения
ACL, наследованные от папки назначения

Удалить разрешения ACL, наследованные от исходной папки

Удалить явные разрешения ACL

Применить разрешения
ACL, наследованные от папки назначения


Исключения: Когда данные удалены из общей папки с включенным ACL и перемещены в сетевую корзину, правила из "B3" в приведенной выше таблице не будут применяться. Это сделано для предотвращения ситуации, когда файлы с разрешением "Запретить доступ" могут быть удалены и перемещены в сетевую корзину, и затем стать полностью доступными для всех пользователей. Принимая во внимание конфиденциальность и безопасность, файлам, перемещенным в сетевую корзину из папки с включенным ACL, будет присвоено разрешение "Чтение и запись для владельцев, запретить доступ для всех других пользователей".

2.4.3 Разрешения удаления файлов
Есть 2 разрешения, связанные с удалением файлов:
1. Пользователь имеет явное разрешение "Удалить" для файла
2. Пользователь имеет разрешение "Удалить подпапки и файлы" для родительской папки файла.

Если какое-либо из вышеуказанных разрешений настроено как "Запретить", то пользователь не сможет удалить файл.

Только если ни одно из вышеуказанных разрешений был сконфигурировано как "Запретить", и по крайней мере одно из них был сконфигурировано как "Разрешить", то пользователь сможет удалить файл.

2.4.4 Права Доступа объектов

После того как Windows ACL включен для папки общего доступа, каждый объект (подпапки и файлы), содержащийся в папке, также будет иметь право доступа. Для того, чтобы увидеть права доступа к объекту, выберите его из Файлового Менеджера ADM, нажмите правую кнопку мышки и выберите [Параметры]. Там будет ссылка для редактирования в секции [Права доступа к общей папке] во вкладке [Общие сведения].







Человек, имеющий право доступа, сможет настраивать разрешения ACL. Например, пользователь oscar в приведенном выше рисунке, является владельцем папки ACL Demo. Поэтому oscar сможет настраивать разрешения ACL для папки и подпапки, и файлов, содержащихся в нем.

Для каждого вновь добавленного объекта права доступа для создателя объекта будет установлены по умолчанию. Кроме того, пользователи в группе администраторов смогут менять права доступа. Например, если мы хотели передать право владения папки ACL Demo (рисунок выше) другим пользователям (то есть, Helen), то oscar и все пользователи в группе администратора будут иметь способность передавать право собственности. Как только Helen становится владельцем папки ACL Demo, она будет иметь возможность перенастраивать разрешения для подпапок и файлов, даже если первоначально она не имела права доступа к ним.


2.5 Перемещение объектов в ваш NAS с одновременным поддержанием разрешений ACL
В момент, когда все ПК с ОС Windows и устройства NAS в сетевой среде были добавлены к тому же домену Windows AD, все учетные записи пользователей и разрешения к домену могут быть объединены вместе. Тем не менее, при перемещении файлов или папок с сервера ПК на NAS существующие разрешения ACL не будут сохранены (применение правил - в секции 2.4.2). Это заставит ИТ-персонал перенастроить разрешения.
Если вы хотите сохранить существующие разрешения ACL при перемещении файлов или папок на NAS, вы можете воспользоваться FastCopy –сторонним програмным обеспечением (http://ipmsg.org/tools/fastcopy.html.en). В примере ниже показано, как пользоваться FastCopy.
1. Во-первых, используйте учетную запись администратора Windows для отображения общей папки со включенным Windows ACL в качестве сетевого диска. Для дальнейшей информации смотрите NAS 106: Работа с сетевым хранилищем в Microsoft Windows. В нашем примере мы отобразили общую папку как сетевой диск "Z:".




2. Откройте FastCopy.



3. [Source]: Укажите исходную папку здесь.

[DestDir]: Укажите папку назначения здесь (сетевой диск "Z:" отображен в шаге 1)

Отметьте галочкой [ACL], чтобы гарантировать, что FastCopy сохранит исходные разрешения ACL ваших файлов при их перемещении.

Нажмите [Execute], чтобы начать перемещение папки.


4. После того, как папка была успешно перемещена, все данные, перемещенные в место назначения, сохранят свои разрешения ACL от источника (включая все явные и наследуемые разрешения). Эти данные не будут наследовать разрешения от родительского объекта в источнике.

Была ли эта статья полезной? Да / Нет