学习如何使用 Windows ACL 管理数据访问权限

课程目的
完成此课程后您将能够：
1. 了解 ASUSTOR NAS 的 Windows ACL 权限原则

2. 使用 Windows ACL 管理数据访问权限

必修项目
课程必修项目：
NAS 106 在 Microsoft Windows 上使用 NAS
学生须先具备以下知识：
ASUSTOR NAS 的初始化安装
建立 Volume 及共享文件夹

建立 ADM 本机使用者

大纲
1. Windows ACL 简介
1.1 什么是 Windows ACL
1.2 我需要启用 Windows ACL 吗
2 设定 Windows ACL
2.1 功能启用
2.2 使用 ADM 档案总管设定
2.3 使用 Windows 档案总管设定
2.4 权限规则及注意事项

2.5 如何搬移对象至 NAS 同时保有原本 ACL 设定

---

1. Windows ACL 简介

1.1 什么是 Windows ACL

Windows ACL 是微软为 NTFS 文件系统设计的 13 种细部权限，套用对象可以是特定用户或群组，在这种架构下管理者能对文件夹或档案存取做更细腻的配置。
另外，在许多企业广泛采用的 Windows AD 网域架构中，数据 ACL 权限的套用对象能扩及到网域使用者及群组。无论用户在网域中哪一台计算机登入，只要账号是一样的，权限规则都会一致，IT 人员无需为每台服务器或工作站 PC 分别制定权限控管的规则，可大幅增加管理效率。
为使华芸 NAS 更密切的与 AD 网域结合，以达到简化 IT 管理，提高生产力的目的，我们将 Windows ACL 权限系统与 ADM 做深度整合，并提供以下特点：
1. 能够针对个别共享文件夹启用 Windows ACL
2. 完整支持 Windows 13 种进阶访问权限设定
3. 可在 ADM 详细观看 Windows ACL 的有效权限
4. 支持网域使用者及群组
5. ACL 设定可套用至 Samba，File Explorer，AFP，FTP，WebDAV，Rsync 等数据传输协议

1.2 我需要启用 Windows ACL 吗
如同上面章节所述，Windows ACL 提供了多达 13 个权限选项，套用对象为本机和网域 (若NAS 已成功加入 AD) 的所有使用者和群组。一旦规划不当，有可能发生所有的人都无法存取某些文件夹或档案的情形。当然，这种错误状况可以藉由 admin 账号取得拥有权的作法解除，但是在问题发生到解决之间所花费的时间和人力也是一种无形的成本。
华芸 NAS 是基于 Linux 操作系统所开发的服务器，所以 ADM 原生的设计沿用 了 Linux 的访问控制机制，也就是：
可供设定权限：RW (可擦写)，RO (只读)，DA (拒绝存取)
权限套用对象：拥有者，拥有者所属群组，其他
选项少，意谓着设定简单；但是相对的，权限配置的变化及弹性就很有限。例如：使用 Linux 的权限机制就无法做到某个用户能写入数据，但无法删除的配置。
因此，如果您的 NAS 仅供个人及分享给有限的亲朋好友使用，建议使用 ADM 原生访问控制机制即可。若是供公司数据储存用途，仍需由 IT 人员进行 ACL 启用与否的评估，并且预先做好权限配置的规划。

我们提供了可针对单一共享文件夹选择启用或停用 ACL 的设定弹性，对于事前评估与规划非常有帮助。您可以建立一个测试用共享文件夹，启用 Windows ACL 之后进行设定，然后检查是否使用者的访问控制都符合预期，确认后再将规则正式套用到目的端共享文件夹。避免规划上的疏忽使得数据无法存取，影响公司正常营运。

2. 设定 Windows ACL

2.1 如何启用 Windows ACL

新建共享文件夹

以 admin 账号或是隶属于 administrator 群组的账号登入 ADM，点选 “访问控制” > “共享文件夹” > “新增”。

输入共享文件夹名称后，按 ”下一步”。

设定共享文件夹访问权限后，勾选 “开启 Windows ACL” 选项，按 “下一步”。

注意：共享文件夹的 “访问权限” 是第一层的权限检查。如果某个使用者或群组在这里未被赋予读写权限，即使 Windows ACL 有作设定亦会被阻挡。因此，启用 Windows ACL 之共享文件夹，建议在 “访问权限” 的设定从宽，由 Windows ACL 制定详细存取规则。

按下 “完成”，启用 Windows ACL 的共享文件夹即新增完成。

为既有的共享文件夹启用 Windows ACL
以 admin 账号或是隶属于 administrator 群组的账号登入 ADM，点选 “访问控制” > “共享文件夹” > 选择欲启用 Windows ACL 的共享文件夹 > “编辑”。

选择 “Windows ACL” 标签 > 勾选 “开启 Windows ACL” > 按 “关闭” 即完成启用步骤。

关于 Windows ACL 1. 启用 Windows ACL 之后，该共享文件夹以及其内含的所有子文件夹/档案都可以个别指派使用者或群组权限。 2. 下列共享文件夹不支持 Windows ACL 权限管理系统：Home，User Homes，Photo Gallery，Web，Surveillance，MyArchive，资源回收桶，虚拟磁盘，外接装置 (USB 硬盘，光驱)。 3. 启用 Windows ACL，您将可以使用 ADM 档案总管或是 Windows 档案总管自定义权限；停用 Windows ACL，您将只能从 ADM 档案总管设定权限。 4. 如启用 Windows ACL 而后续停用此功能，所有文件夹/档案将被重新设定为所有使用者都能完整存取。 5. 无论使用 Windows ACL 与否，使用者都将需要共享文件夹与档案两方的权限来存取档案。

2.2 使用 ADM 档案总管设定
ADM > 档案总管 > 在启用 Windows ACL 的共享文件夹 (子文件夹或档案) 按鼠标右键，选择 “属性”。

在 “属性” 页面选择 “权限” 卷标，可看到目前配置给这个对象的权限列表，还可进行权限的管理。

为一个共享文件夹启用 Windows ACL后，系统默认会配置可擦写，但是不能删除的权限给 Everyone，administrators 群组和 admin 账号，且套用到共享文件夹本身，不会向下继承。这些预设权限可使用 “编辑” 或 “移除” 按钮作修改。

注意：单一档案或文件夹支持 Windows ACL 权限总和 (包含继承权限) 为 250 笔。

包括从此对象的父项继承而来的权限：此选项默认为勾选，系统默认子文件夹或档案会从上一层对象继承权限。取消勾选即会拒绝所有继承的权限，仅保留新增之权限。

以这个对象的继承权限取代所有子对象的权限：勾选此选项，则所有子文件夹和档案的所有权限项目都会重设为从父对象继承而来的权限项目。

在这里能进行的管理功能有：
新增

点击 “新增” 按钮为这个对象建立新的权限项目。

使用者或群组：指定您想自定义权限的使用者或群组。
类别：选择 “允许” 或 “拒绝” 来授予或拒绝使用者或群组的权限。
套用到：此选项仅在为文件夹设定权限时出现。您可以从下拉式选单选择这笔新增权限套用的位置，套用方式视您是否选取 “仅套用这些权限到此容器中的对象及 (或) 容器” 而定。

当清除 “仅套用这些权限到此容器中的对象及 (或) 容器“ 复选框时

套用在	套用权限到目前文件夹	套用权限到目前文件夹中的子文件夹	套用权限到目前文件夹中的档案	套用权限到所有后续子文件夹	套用权限到所有后续子文件夹中的档案
只有这个文件夹	V
这个文件夹、子文件夹及档案	V	V	V	V	V
这个文件夹及子文件夹	V	V		V
这个文件夹及档案	V		V		V
只有子文件夹及档案		V	V	V	V
只有子文件夹		V		V
只有档案			V		V

当选取 “仅套用这些权限到此容器中的对象及 (或) 容器” 复选框时

套用在	套用权限到目前文件夹	套用权限到目前文件夹中的子文件夹	套用权限到目前文件夹中的档案	套用权限到所有后续子文件夹	套用权限到所有后续子文件夹中的档案
只有这个文件夹	V
这个文件夹、子文件夹及档案	V	V	V
这个文件夹及子文件夹	V	V
这个文件夹及档案	V		V
只有子文件夹及档案		V	V
只有子文件夹		V
只有档案			V

Windows ACL 的 13 种权限，其涵义叙述如下： 周游文件夹 / 执行档案：套用在文件夹，表示即使没有文件夹的其他权限，也可以切换到该文件夹中；套用在档案，表示可以执行该档案。 列出文件夹 / 读取数据：套用在文件夹，表示可以检视其中的子文件夹名称与文件名；套用在档案，表示可以读取档案内容。 读取属性：可以检视文件夹或档案的只读、隐藏、压缩及加密等一般属性。 读取扩充属性：可以检视文件夹或档案的扩充属性，不同类型的档案会有不同的扩充属性，例如 WORD 档有自定义与摘要 2 个扩充属性。 建立档案 / 写入资料：套用在文件夹，表示可以在其中建立新的档案；套用在档案，表示可以修改现有的档案内容，但无法在档案的后面附加新的数据。 建立文件夹 / 附加数据：套用在文件夹，表示可以在其中建立新的子文件夹；套用在档案，表示可以在档尾附加上新的资料，但不能修改现有档案内容。 写入属性：表示可以修改文件夹或档案的一般属性。 写入扩充属性：表示可以修改文件夹或档案的扩充属性。 删除子文件夹及档案：表示可以删除文件夹中的子文件夹与档案。 删除：表示可以删除文件夹或档案。 读取权限：表示可以检视文件夹或档案的权限设定。 变更权限：表示可以修改文件夹或档案的权限设定。 取得拥有权：表示可以取得文件夹或档案的拥有权。文件夹或档案的拥有者，无论其对文件夹或档案的权限为何，永远具备有修改此文件夹或档案权限的能力。

编辑
选取一笔既有的权限，点击 “编辑” 按钮即可进行修改。
移除
选取一笔既有的权限，点击 “移除” 即可将此权限由该对象移除。

有效权限

按下此按钮并由用户列表进行选择，可检视特定使用者或群组对该档案或文件夹的有效权限。此有效权限是由 Windows ACL 与共享文件夹权限共同计算出来的结果。

2.3 使用 Windows 档案总管设定

1 请参考 NAS 106：在 Microsoft Windows 上使用NAS 使用有管理权限之账号将已启用 Windows ACL 的文件夹联机成网络驱动器机。

2. 以鼠标右键点按共享文件夹里的档案或文件夹，选择 “内容”，然后单击 “安全性”页签。您可以在这里看到用户或群组清单，及其档案或文件夹的 ACL 权限。

如果一个对象同时拥有继承自父对象的权限和明确定义的权限，继承权限会以反灰的颜色勾选，明确权限以黑色勾选。

3. 按下 “编辑” > “新增”。 在显示的窗口中，您会在 “从这个位置字段” 中看到以下任一信息：

• 如果 NAS 有加入 AD 网域，您可以看到 AD 网域的名称。
• 如果 NAS 没有加入 AD 网域，您可以看到 NAS 的 IP 或名称。

4. 在 “输入对象名称来选取” 字段输入以下任一信息：

• 如果 NAS 有加入 AD 网域，请输入网域使用者 / 群组的名称，单击 “检查名称” 来验证该使用者 / 组名，然后单击 “确定”。
• 如果 NAS 没有加入 AD 网域，请输入 ADM 本地使用者 / 群组的名称，单击 “检查名称” 来验证该使用者 / 组名，然后单击 “确定”。

5. 现在您已经可以在清单上看到新增的使用者或群组。选择使用者或群组，然后勾选权限区块中的允许或拒绝复选框，以设定他们存取文件夹或档案的权限。按下 “套用” 使设定生效。

2.4 Windows ACL 权限规则及注意事项
2.4.1 ACL 权限冲突时

若是遇到 Windows ACL 权限冲突的情况，优先层级会落在对象本身的明确权限上。以下例说明，使用者 Helen 自上层文件夹继承而来的权限为 “允许读取和执行”，但是直接赋予档案 app2.docx 的明确权限为 “拒绝读取和执行”，因此 Helen 还是无法开启这个档案。

如果状况相反，Helen 由父文件夹继承权限为 “拒绝读取”，但直接赋予 app2.docx 的明确权限为 “允许读取”，那么 Helen 就可以开启此档案。

2.4.2 档案 / 文件夹搬移的规则

		复制 (Copy)	移动 (Move)
同一个共享文件夹内搬移	A1. 未启用 ACL	保留既有权限	保留既有权限
	A2. 启用 ACL	清除源数据夹的继承 ACL 清除本身的明确 ACL 套用目标文档夹的继承 ACL	清除源数据夹的继承 ACL 保留本身的明确 ACL 套用目标文档夹的继承 ACL
不同共享文件夹之间搬移	B1. 未启用 ACL â 未启用 ACL	保留既有权限	保留既有权限
	B2. 未启用 ACL â 启用 ACL	套用目标文档夹的继承 ACL	套用目标文档夹的继承 ACL
	B3. 启用 ACL â 未启用 ACL	清除所有 ACL 权限被重新设定为 "所有使用者都能完整存取"	清除所有 ACL 权限被重新设定为 "所有使用者都能完整存取"
	B4. 启用 ACL â 启用 ACL	清除源数据夹的继承 ACL 清除本身的明确 ACL 套用目标文档夹的继承 ACL	清除源数据夹的继承 ACL 清除本身的明确 ACL 套用目标文档夹的继承 ACL

例外规则：当启用 ACL 文件夹内的数据被删除而移动到 “资源回收桶” 时，并非套用上表 B3 之原则；否则某个原本被限制读取的档案，一旦删除进入 “资源回收桶” 后，即可被所有人存取。为档案隐私及安全性考虑，由启用 ACL 的文件夹搬移到 “资源回收桶” 内的档案权限会被重新设定为 “仅档案拥有者可擦写，其他所有使用者拒绝存取”。

2.4.3 档案删除的权限配置
与 “使用者可否执行档案删除” 相关的权限有两个：
1. 使用者对该档案有 “删除” 的明确权限；
2. 使用者对该档案的父文件夹拥有 "删除子文件夹及档案" 权限。

若任一权限被设为 “拒绝”，则使用者无法删除该档案。
唯有在两个权限皆未被设定 “拒绝”，且任一权限被设为 “允许” 的状况下，使用者才可删除该档案。

2.4.4 物件的存取权

当一个共享文件夹被启用 Windows ACL 之后，其内含的每个对象 (包括子文件夹，档案) 都有访问权限。在 ADM 的档案总管选择对象，按鼠标右键，选择 “属性”，在 “一般” 标签下就可看到该对象的访问权限。

对象的访问权限最重要的特性为可以设定此对象的 ACL。以上例说明，oscar 为文件夹 ACL Demo 的拥有者，因此 oscar 可以对 ACL Demo 这个文件夹以及内含子文件夹，档案设定 ACL。
每个新增的对象其建立者即为预设的拥有者；除此之外，administrator 群组成员对所有对象都有变更拥有者的能力。举上图为例，要将文件夹 ACL Demo 的拥有权转移给其他使用者 (如：Helen)，除了 oscar 之外，所有 administrator 群组成员也都可以进行这项作业。一旦 Helen 成为文件夹 ACL Demo 的拥有者，即使原本她不具有其子文件夹或档案的访问权限，也可重新设定。

2.5 如何搬移对象至 NAS 同时保有原本 ACL 设定
当网络环境中所有 Windows PC 和 NAS 都加入同一个 AD 网域后，网域中所有账号及权限原则都可被整合为一。然而，当档案 / 文件夹由 PC 服务器搬移至 NAS 时，会套用 2.4.2 章节所说明的规则，原有的 ACL 权限将不被保留，而造成 IT 人员需另行设定的困扰。
如欲移转档案 / 文件夹至 NAS，同时又保留原本的 ACL 设定，可使用免费第三方工具软件 Fastcopy (http://ipmsg.org/tools/fastcopy.html.en)。以下为您说明操作步骤：

1. 请参考 NAS 106：在 Microsoft Windows 上使用NAS 使用有管理权限之账号将已启用 Windows ACL 的文件夹联机成网络驱动器机。在此取名为 Z: 为范例。

2. 执行 Fastcopy 程序。

3. [Source]：在此指定源数据夹
[DestDir]：在此指定目的端文件夹 (也就是步骤一设定好的网络驱动器机 Z:)
勾选下方的 “ACL” 选项，让 Fastcopy 在搬移数据时一并保留原本 ACL 属性。

按下 “Execute” 开始执行数据搬移。

4. 搬移完成后，目的端数据仍会保有与来源端相同之 ACL 权限 (包含所有明确及继承权限)；而且不会继承任何来自目的端父系对象的权限。