Dowiedz się, jak używać Windows ACL do zarządzania uprawnieniami dostępu do danych na ASUSTOR NAS.

CELE KURSU

1. Zrozumienie podstawowych zasad korzystania z Windows ACL z ASUSTOR NAS
2. Użyj Windows ACL do zarządzania uprawnieniami dostępu do danych na ASUSTOR NAS

1. Wprowadzenie do Windows ACL
1.1 Czym jest Windows ACL?

Windows ACL to 13 różnych typów uprawnień do plików zaprojektowanych przez Microsoft dla systemów plików NTFS, które mogą być stosowane do konkretnych użytkowników i grup. W ramach tego typu infrastruktury administratorzy mogą dokonywać bardziej szczegółowych i precyzyjnych konfiguracji uprawnień dostępu.

Ponadto w infrastrukturze domeny Windows AD (szeroko stosowanej przez przedsiębiorstwa) uprawnienia Windows ACL mogą być stosowane do wszystkich użytkowników i grup w domenie. Użytkownicy mogą używać dowolnego komputera w sieci do zalogowania się i dopóki używają tej samej nazwy konta, wszystkie uprawnienia pozostaną takie same. Personel IT nie będzie musiał konfigurować uprawnień dla każdego pojedynczego serwera i stacji roboczej PC, co znacznie zwiększa efektywność zarządzania.

W celu ściślejszej integracji ASUSTOR NAS z domenami AD, upraszczając zarządzanie IT i zwiększając produktywność, ASUSTOR głęboko zintegrował system uprawnień Windows ACL z ADM, zapewniając następujące unikalne cechy:

1. Możliwość włączenia Windows ACL dla poszczególnych folderów współdzielonych.

2. Kompleksowe wsparcie dla wszystkich 13 typów uprawnień Windows ACL.

3. Możliwość szczegółowego przeglądania efektywnych uprawnień Windows ACL z poziomu ADM

4. Wsparcie dla użytkowników sieciowych i grup

5. Możliwość zastosowania uprawnień ACL do protokołów transferu plików Samba, File Explorer, AFP, FTP, WebDAV, Rsync

1.2 Czy muszę włączyć Windows ACL?

Jak opisano w poprzedniej sekcji, Windows ACL zapewnia do 13 różnych ustawień uprawnień, które mogą być stosowane do wszystkich użytkowników i grup na NAS oraz w domenie (jeśli NAS został dodany do domeny Windows AD). W przypadku niewłaściwego planowania lub konfiguracji uprawnień istnieje możliwość, że wszyscy użytkownicy nie będą mieli dostępu do określonego folderu lub pliku. Oczywiście, tego typu błędy mogą być rozwiązane poprzez użycie konta administratora, ale ilość zmarnowanego czasu od momentu pojawienia się problemu do momentu jego rozwiązania może być postrzegana jako znaczący koszt niematerialny dla firm.

ASUSTOR NAS został opracowany w oparciu o system operacyjny Linux, więc natywne ustawienia ADM wykorzystują mechanizm zarządzania uprawnieniami Linux:

Stosowane uprawnienia: RW (Read & Write), RO (Read Only), DA (Deny Access)

Uprawnienia mogą być stosowane do: "Owner", grupy, do której należy właściciel oraz "Other".

Mniejsza liczba opcji pozwala na prostszą konfigurację.  Jednak elastyczność i możliwość dostosowania uprawnień jest bardzo ograniczona. Na przykład, podczas korzystania z mechanizmu uprawnień systemu Linux, nie jest możliwe nadanie użytkownikowi możliwości edycji pliku, jednocześnie nie dając mu uprawnień do usunięcia pliku.

Jeżeli używasz swojego NAS tylko pomiędzy sobą i ograniczoną liczbą rodziny i przyjaciół, wtedy zalecane jest użycie oryginalnego mechanizmu zarządzania uprawnieniami ADM. Jednakże, jeżeli Państwa NAS jest wykorzystywany do przechowywania danych biznesowych, sugerujemy najpierw skonsultować się z personelem IT, aby zdecydować, czy właściwe jest włączenie uprawnień Windows ACL, a następnie wypełnić plan wdrożenia uprawnień, jeżeli zdecydują się Państwo na jego użycie.

Zapewniliśmy elastyczność umożliwiającą włączenie lub wyłączenie Windows ACL dla pojedynczych folderów współdzielonych, co jest bardzo pomocne przy ocenie i planowaniu. Możesz utworzyć folder współdzielony do testowania, włączyć Windows ACL, a następnie skonfigurować ustawienia uprawnień. Następnie możesz sprawdzić, czy wyniki są takie, jakich oczekiwałeś. Po uzyskaniu wyników, których wymagasz, możesz następnie zastosować ustawienia do wybranego folderu współdzielonego. Dzięki temu można uniknąć pomyłek lub błędów w planowaniu, które mogłyby uniemożliwić dostęp do ważnych danych, wpływając na funkcjonowanie firmy.

2. Konfiguracja Windows ACL
2.1 Włączenie Windows ACL
Tworzenie nowego folderu współdzielonego

Zaloguj się do ADM używając konta "admin" lub konta użytkownika należącego do grupy "administrators". Wybierz . [Kontrola dostępu] → [Foldery współdzielone] → [Dodaj].

Wprowadź nazwę nowego folderu udostępnionego, a następnie kliknij przycisk [Dalej].

Po ustawieniu praw dostępu do udostępnionego folderu zaznacz pole wyboru [Włącz Windows ACL], a następnie kliknij przycisk [Dalej].

Uwaga: Prawa dostępu do folderów współdzielonych są pierwszą warstwą sprawdzania uprawnień. Jeśli użytkownikowi lub grupie nie przypisano tutaj uprawnień "Odczyt i zapis", wszelkie przypisane im uprawnienia Windows ACL zostaną zablokowane. Dlatego zaleca się skonfigurowanie łagodniejszych praw dostępu do folderów współdzielonych, które mają włączone Windows ACL, a następnie użycie Windows ACL do dalszej konfiguracji bardziej szczegółowych uprawnień w późniejszym czasie.

Kliknij [Finish], aby zakończyć tworzenie folderu współdzielonego.

Włączenie Windows ACL dla już istniejących folderów współdzielonych

Zaloguj się do ADM używając konta "admin" lub konta użytkownika należącego do grupy "administrators".
Wybierz [Kontrola dostępu] > [Foldery udostępnione] → [Folder udostępniony, dla którego chcesz włączyć Windows ACL] → [Edytuj].

Wybierz kartę [Windows ACL], zaznacz pole wyboru [Enable Windows ACL], a następnie kliknij przycisk [Close].

2.2 Konfiguracja uprawnień ACL systemu Windows za pomocą Eksploratora plików ADM

Z poziomu ADM otwórz Eksploratora plików, a następnie wybierz udostępniony folder (lub podfolder lub plik), dla którego włączono Windows ACL. Kliknij prawym przyciskiem myszy na udostępniony folder, a następnie wybierz [Właściwości].

W oknie właściwości wybierz zakładkę [Permission]. Tutaj będziesz mógł zobaczyć aktualnie skonfigurowane uprawnienia dla folderu. Możesz tu również zarządzać uprawnieniami dla folderu.


Po włączeniu windowsowego ACL dla folderu współdzielonego, system domyślnie przydzieli uprawnienia "Odczyt i zapis, ale nie może usuwać" dla "Everyone", "administrators" i konta "admin". Uprawnienia te zostaną zastosowane tylko do folderu współdzielonego i nie będą dziedziczone przez obiekty poniżej. Te domyślne uprawnienia mogą być modyfikowane za pomocą przycisków [Edytuj] lub [Usuń].

Uwaga: Pojedynczy plik lub folder może wykorzystywać maksymalnie 250 uprawnień Windows ACL (łącznie z uprawnieniami dziedziczonymi).

Dołącz uprawnienia dziedziczone z rodzica tego obiektu: Ta opcja jest domyślnie włączona. System automatycznie skonfiguruje podfoldery i pliki do dziedziczenia uprawnień po obiekcie znajdującym się nad nim. Wyłączenie tej opcji spowoduje odrzucenie wszystkich dziedziczonych uprawnień i zachowanie tylko nowo dodanych uprawnień.

Zastąp wszystkie uprawnienia obiektów potomnych uprawnieniami dziedziczonymi z tego obiektu: Włączenie tej opcji spowoduje zastąpienie wszystkich uprawnień do podfolderów i plików uprawnieniami z obiektu nadrzędnego.

Funkcje zarządzania, z których będziesz mógł tutaj skorzystać, są następujące:

Dodaj
Kliknij przycisk [Dodaj], aby utworzyć nowe uprawnienie dla obiektu.

Użytkownik lub grupa: określ użytkownika lub grupę, do której chcesz zastosować uprawnienie.

Typ: Wybierz [Zezwól] lub [Odmów], aby przyznać lub odmówić uprawnienia użytkownikowi lub grupie.

Zastosuj do: Ta opcja pojawi się tylko podczas dodawania uprawnień do folderu. Z rozwijanego menu możesz wybrać, gdzie dane uprawnienie zostanie zastosowane. Sposób, w jaki uprawnienie zostanie zastosowane, zależy od tego, czy zaznaczysz pole wyboru [Zastosuj te uprawnienia do obiektów i/lub kontenerów tylko w obrębie kontenera].

Gdy pole wyboru [Zastosuj te uprawnienia do obiektów i/lub kontenerów tylko w obrębie kontenera] jest odznaczone:

Gdy zaznaczone jest pole wyboru [Apply these permissions to objects and/or containers within the container only]

Edytuj

Zaznaczenie uprawnienia, a następnie kliknięcie przycisku [Edytuj] pozwoli na modyfikację uprawnienia.

Usuń

Wybranie uprawnienia, a następnie kliknięcie przycisku [Usuń] spowoduje usunięcie uprawnienia z bieżącego obiektu.

Skuteczne uprawnienia
Kliknięcie przycisku [Effective Permissions], a następnie wybranie użytkownika z listy pozwoli na wyświetlenie efektywnych uprawnień użytkownika w odniesieniu do wskazanego folderu lub pliku. Efektywne uprawnienia są określane na podstawie kombinacji uprawnień Windows ACL i praw dostępu do folderów współdzielonych.

2.3 Konfiguracja uprawnień Windows ACL za pomocą Eksploratora Windows

1. Najpierw użyj konta administratora systemu Windows, aby zmapować folder udostępniony z włączoną funkcją Windows ACL jako dysk sieciowy. Więcej informacji na ten temat można znaleźć na stronie NAS 106: Używanie NAS z Microsoft Windows.

2. Kliknij prawym przyciskiem myszy dowolny plik lub podfolder w obrębie folderu udostępnionego, a następnie wybierz opcję [Właściwości]. Następnie należy wybrać zakładkę [Zabezpieczenia]. Tutaj będzie można zobaczyć listę użytkowników i grup oraz ich uprawnienia ACL dla pliku lub podfolderu.



Jeśli obiekt posiada jednocześnie uprawnienia dziedziczone od swojego rodzica oraz uprawnienia jawne, to uprawnienia dziedziczone zostaną sprawdzone na szaro, natomiast uprawnienia jawne na czarno.

3.Kliknij na [Edytuj] → [Dodaj]. W polu [Z tej lokalizacji:] powinieneś zobaczyć następujące informacje:

Jeśli NAS został dodany do domeny Windows AD, zobaczysz nazwę domeny AD.

Jeśli NAS nie został dodany do domeny Windows AD, zobaczysz adres IP NAS.

4. W polu [Wprowadź nazwy obiektów do wyboru], wprowadź następujące informacje:

Jeżeli NAS został dodany do domeny Windows AD, wprowadź nazwę użytkownika lub grupy domeny, a następnie kliknij [Sprawdź nazwy] w celu weryfikacji nazwy użytkownika/grupy. Następnie należy kliknąć na [OK].

Jeżeli NAS nie został dodany do domeny Windows AD, wprowadź nazwę użytkownika lub grupy lokalnej ADM, a następnie kliknij [Sprawdź nazwę] w celu weryfikacji nazwy użytkownika/grupy. Następnie należy kliknąć na [OK].

5. Teraz powinieneś widzieć nowo dodanego użytkownika lub grupę na liście [Nazwy grup lub użytkowników:]. Wybierz użytkownika lub grupę, a następnie użyj pól wyboru [Zezwól] i [Odmów], aby skonfigurować ich uprawnienia dostępu do obiektu. Po zakończeniu kliknij na [Zastosuj].

2.4 Zasady i środki ostrożności dotyczące uprawnień ACL systemu Windows
2.4.1ACL Konflikt uprawnień ACL

Jeśli napotkasz sprzeczne uprawnienia Windows ACL, to pierwszeństwo będą miały jawne uprawnienia obiektu. Na przykład, jeśli użytkownik Helen dziedziczy uprawnienia "Allow Read & Execute" dla pliku, ale jawne uprawnienia dla pliku to "Deny Read & Execute", to Helen nie będzie mogła uzyskać dostępu do pliku.

I odwrotnie, jeśli Helen odziedziczy uprawnienia "Deny Read", ale jawne uprawnienia nadane plikowi to "Allow Read", wtedy Helen będzie mogła uzyskać dostęp do pliku.

2.4.2 Zasady przenoszenia plików i folderów

Wyjątki: Gdy dane są usuwane z folderu współdzielonego z włączonym ACL i przenoszone do Sieciowego Kosza, reguły z "B3" w powyższym wykresie nie będą miały zastosowania. Ma to na celu zapobieżenie sytuacji, w której pliki z uprawnieniami "Deny Access" zostaną usunięte i przeniesione do Sieciowego Kosza, a następnie staną się w pełni dostępne dla wszystkich użytkowników. Biorąc pod uwagę prywatność i bezpieczeństwo, pliki z folderów z włączonym ACL, które są przenoszone do Sieciowego Kosza, będą miały przypisane uprawnienia "Read & Write for Owners, Deny Access for all Other Users".

2.4.3 Uprawnienia do usuwania plików

Z usuwaniem plików związane są 2 uprawnienia:

1. Użytkownik posiada jawne uprawnienie "Usuń" dla pliku

2. Użytkownik posiada uprawnienie "Usuń podfoldery i pliki" dla folderu nadrzędnego pliku.

Jeśli którekolwiek z powyższych uprawnień jest skonfigurowane jako "Deny", wtedy użytkownik nie będzie mógł usunąć pliku.

Tylko jeśli żadne z powyższych uprawnień nie zostało skonfigurowane jako "Deny" i przynajmniej jedno z nich zostało skonfigurowane jako "Allow", użytkownik będzie mógł usunąć plik.

2.4.4 Prawo dostępu do obiektów

Po włączeniu Windows ACL dla udostępnionego folderu, każdy obiekt (podfoldery i pliki) zawarty w tym folderze będzie miał prawo dostępu. Prawo dostępu do obiektu można wyświetlić, wybierając go w Eksploratorze plików ADM, klikając go prawym przyciskiem myszy, a następnie wybierając opcję [Właściwości]. W sekcji [Prawa dostępu do folderu udostępnionego] na zakładce [Ogólne] będzie znajdował się link do edycji.

Osoba posiadająca prawo dostępu będzie mogła skonfigurować dla niego uprawnienia ACL. Na przykład, użytkownik oscar na powyższej grafice, jest właścicielem folderu ACL Demo. Dlatego oscar będzie mógł skonfigurować uprawnienia ACL dla tego folderu oraz podfolderu i plików w nim zawartych.

Dla każdego nowo dodanego obiektu, jako prawa dostępu domyślnie ustawiony będzie jego twórca. Dodatkowo użytkownicy z grupy Administrator będą mieli możliwość modyfikacji praw dostępu. Na przykład, jeśli chcielibyśmy przenieść własność folderu ACL Demo na powyższej grafice na innego użytkownika (np. Helen), oscar i wszyscy użytkownicy w grupie administratorów mieliby możliwość przeniesienia własności. Gdy Helen stanie się właścicielem folderu ACL Demo, będzie mogła ponownie skonfigurować uprawnienia do jego podfolderów i plików, nawet jeśli pierwotnie nie miała do nich uprawnień dostępu.

2.5 Przenoszenie obiektów na NAS przy zachowaniu uprawnień ACL

Gdy wszystkie komputery PC z systemem Windows i urządzenia NAS w środowisku sieciowym zostały dodane do tej samej domeny Windows AD, wszystkie konta użytkowników i uprawnienia w domenie mogą zostać połączone razem. Jednak podczas przenoszenia plików lub folderów z serwera PC do urządzenia NAS, istniejące uprawnienia ACL nie zostaną zachowane (przy użyciu reguł z sekcji 2.4.2). Powoduje to, że personel IT musi ponownie skonfigurować uprawnienia.

Jeśli chcesz zachować istniejące uprawnienia ACL podczas przenoszenia plików lub folderów na NAS, możesz wykorzystać Fastcopy, oprogramowanie innej firmy (http://ipmsg.org/tools/fastcopy.html.en). W poniższym przykładzie zademonstrujemy, jak korzystać z tego Fastcopy.

1. Najpierw użyj konta administratora systemu Windows, aby zmapować folder udostępniony z włączoną funkcją Windows ACL jako dysk sieciowy. Aby uzyskać więcej informacji, zobacz. NAS 106: Używanie NAS z Microsoft Windows. W naszym przykładzie zmapowaliśmy udostępniony folder jako dysk sieciowy "Z:".

2. Otwórz Fastcopy.

3. Source [Źródło]: Określ tutaj folder źródłowy.

[DestDir]: Określ tutaj folder docelowy (dysk sieciowy "Z:" zmapowany w kroku 1).

Zaznacz pole wyboru [ACL], aby Fastcopy zachował oryginalne uprawnienia ACL plików podczas ich przenoszenia.

Kliknij na [Execute], aby rozpocząć przenoszenie folderu.

4. Po pomyślnym przeniesieniu folderu, wszystkie dane przeniesione do miejsca docelowego zachowają swoje uprawnienia ACL ze źródła (w tym wszystkie uprawnienia jawne i dziedziczone). Dane te nie będą dziedziczyć żadnych uprawnień z obiektu nadrzędnego w źródle.