Saiba como usar o Windows ACL para gerenciar permissões de acesso a dados em seu NAS ASUSTOR.

OBJETIVOS DO CURSO

1. Compreender os princípios básicos da utilização do Windows ACL com o seu ASUSTOR NAS
2. Utilize o Windows ACL para gerir as permissões de acesso aos dados no seu ASUSTOR NAS

PRÉ-REQUISITOS

Pré-requisitos do Curso：

NAS 106: Usando NAS com Microsoft Windows

Studenti by měli mít pracovní znalosti o:

Instalação e inicialização do ASUSTOR NAS Criação de volumes de armazenamento e pastas partilhadas Criação de utilizadores e grupos locais na ADM

VISÃO GERAL

1. Introdução ao Windows ACL

1.1 O que é o Windows ACL?

1.2 Preciso de activar o Windows ACL?

2. Configurar o Windows ACL

2.1 Activação do Windows ACL

2.2 Configuração das permissões do Windows ACL com o ADM File Explorer

2.3 Configuração das permissões do Windows ACL com o Windows Explorer

2.4 Regras de permissão e precauções do Windows ACL

2.5 Mover objectos para o seu NAS mantendo as permissões ACL

1. Introdução ao Windows ACL

1.1 O que é o Windows ACL?

Windows ACL são os 13 tipos diferentes de permissões de ficheiros concebidos pela Microsoft para sistemas de ficheiros NTFS que podem ser aplicados a utilizadores e grupos específicos. Dentro deste tipo de infra-estrutura, os administradores podem fazer configurações mais detalhadas e precisas das permissões de acesso. 

Além disso, na infra-estrutura do domínio Windows AD (amplamente utilizada pelas empresas), as permissões Windows ACL podem ser aplicadas a todos os utilizadores e grupos do domínio. Os utilizadores podem utilizar qualquer computador da rede para iniciar sessão, e desde que utilizem o mesmo nome de conta, todas as permissões permanecerão as mesmas. O pessoal informático não precisará de configurar permissões para cada servidor individual e estação de trabalho do PC, aumentando significativamente a eficiência da gestão. 

A fim de integrar mais de perto o ASUSTOR NAS com domínios AD, simplificando a gestão de TI e aumentando a produtividade, ASUSTOR integrou profundamente o sistema de permissões Windows ACL com ADM, fornecendo as seguintes características únicas:

1. A capacidade de permitir o Windows ACL para pastas individuais partilhadas

2. Suporte compreensivo para todos os 13 tipos de permissões de Windows ACL

3. Possibilidade de ver as permissões efectivas do Windows ACL em detalhe a partir do interior da ADM

4. Apoio aos utilizadores e grupos da rede

5. Capacidade de aplicar as permissões ACL ao Samba, File Explorer, AFP, FTP, WebDAV, protocolos de transferência de ficheiros Rsync

1.2 Preciso de activar o Windows ACL?

Como descrito na secção anterior, o Windows ACL fornece até 13 definições de permissão diferentes que podem ser aplicadas a todos os utilizadores e grupos no NAS e no domínio (se o NAS tiver sido adicionado a um domínio Windows AD). Em caso de planeamento ou configuração incorrecta das permissões, existe a possibilidade de todos os utilizadores não poderem aceder a uma determinada pasta ou ficheiro. Obviamente, este tipo de erro pode ser resolvido utilizando uma conta de administrador, mas a quantidade de tempo perdido desde quando o problema ocorre pela primeira vez até quando é resolvido pode ser vista como um custo intangível significativo para as empresas. 

O ASUSTOR NAS foi desenvolvido com base no sistema operativo Linux, pelo que as configurações nativas da ADM utilizam o mecanismo de gestão de permissões Linux:

Permissões aplicáveis: RW (Read & Write), RO (Read Only), DA (Deny Access)

As permissões podem ser aplicadas: "Proprietário", ao grupo de que o proprietário faz parte e "Outro".

O menor número de opções permite uma configuração mais simples.  No entanto, a flexibilidade e adaptabilidade das permissões é muito limitada. Por exemplo, ao utilizar o mecanismo de permissões do Linux, não é possível dar a um utilizador a capacidade de editar um ficheiro sem lhe dar permissão para apagar o ficheiro.

Se estiver a utilizar o seu NAS apenas entre si e um número limitado de familiares e amigos, então recomenda-se que utilize o mecanismo original de gestão de permissões da ADM. No entanto, se o seu NAS estiver a ser utilizado para armazenamento de dados empresariais, sugere-se que primeiro consulte o seu pessoal de TI para decidir se é apropriado activar as permissões do Windows ACL e depois completar um plano de implementação das permissões caso decida utilizá-lo.

Proporcionámos-lhe a flexibilidade necessária para activar ou desactivar o Windows ACL para pastas partilhadas únicas, o que é muito útil para avaliação e planeamento. Pode criar uma pasta partilhada para testes, activar o Windows ACL e depois configurar as permissões. Posteriormente poderá verificar se os resultados são os que esperava que fossem. Uma vez obtidos os resultados pretendidos, pode então aplicar as definições à pasta partilhada da sua escolha. Isto permite-lhe evitar quaisquer erros ou erros no planeamento que possam negar o acesso a dados importantes, afectando o funcionamento do seu negócio.

2. Configurar o Windows ACL
2.1 Activação do Windows ACL
Criação de uma nova pasta partilhada

Entrar na ADM utilizando a conta "admin" ou uma conta de utilizador pertencente ao grupo "administradores". Seleccione [Controlo de Acesso] → [Pastas Partilhadas] → [Adicionar].

Introduza um nome para a sua nova pasta partilhada e depois clique em [Avançar].

Após definir os direitos de acesso para a pasta partilhada, seleccione a caixa de verificação [Activar Windows ACL] e depois clique em [Avançar].

Nota: Os direitos de acesso a pastas partilhadas são o primeiro nível de verificação de permissões. Se a um utilizador ou grupo não tiverem sido atribuídas aqui permissões de "Ler & Escrever", quaisquer permissões do Windows ACL que lhes tenham sido atribuídas serão bloqueadas. Por conseguinte, recomenda-se configurar direitos de acesso mais permissivos para pastas partilhadas que tenham o Windows ACL activado e depois utilizar o Windows ACL para configurar mais tarde permissões mais específicas.

Clique em [Terminar] para completar a criação da pasta partilhada.

Activação do Windows ACL para pastas partilhadas já existentes

Entrar na ADM utilizando a conta "admin" ou uma conta de utilizador pertencente ao grupo "administradores".

Seleccione [Controlo de Acesso] > [Pastas Partilhadas] → [A pasta partilhada para a qual deseja activar o Windows ACL para] → [Editar].

Seleccione o separador [Windows ACL] , seleccione a caixa de verificação [Activar Windows ACL] e depois clique em [Fechar].

2.2 Configuração das permissões do Windows ACL com o ADM File Explorer

Na ADM, abra File Explorer e depois seleccione uma pasta (ou subpasta ou ficheiro) partilhada para a qual activou o Windows ACL. Clique com o botão direito do rato sobre a pasta partilhada e depois seleccione [Propriedades].

A partir da janela de propriedades, seleccionar o separador [Permissão]. Aqui poderá ver as permissões actualmente configuradas para a pasta. Pode também gerir aqui as permissões para a pasta.


Depois de activar o Windows ACL para uma pasta partilhada, o sistema por defeito atribuirá permissões de "Ler & Escrever, mas não pode Apagar" a "Todos", "administradores" e à conta "admin". Estas permissões serão aplicadas apenas à pasta partilhada e não serão herdadas por objectos abaixo. Estas permissões padrão podem ser modificadas usando os botões [Editar] ou [Remover].

Nota: Um ficheiro ou pasta individual pode utilizar até um máximo de 250 permissões ACL do Windows (incluindo as permissões herdadas).

Incluir permissões herdáveis do pai deste objecto: Esta opção é activada por defeito. O sistema irá configurar automaticamente sub pastas e ficheiros para herdar permissões do objecto acima dele. A desactivação desta opção irá rejeitar todas as permissões hereditárias e apenas manterá as permissões recentemente adicionadas.

Substituir todas as permissões de objectos menores por permissões hereditárias a partir deste objecto: A activação desta opção irá substituir todas as permissões de subpastas e ficheiros por outras do objecto pai.

As funções de gestão que poderão ser utilizadas aqui são as seguintes:

Adicionar
Clique no botão [Adicionar] para criar uma nova permissão para o objecto.

Utilizador ou grupo: especificar o utilizador ou grupo ao qual pretende aplicar a permissão.
Tipo: Seleccione [Permitir] ou [Negar] para conceder ou negar a permissão ao utilizador ou grupo.
Aplicar a: Esta opção só aparecerá quando se adicionam permissões a uma pasta. A partir do menu suspenso, pode seleccionar onde a permissão será aplicada. A forma como a permissão será aplicada será determinada pela selecção ou não da caixa de verificação [plicar estas permissões apenas a objectos e/ou contentores dentro do contentor].

Quando a caixa de verificação [Aplicar estas permissões apenas a objectos e/ou contentores dentro do contentor] estiver desmarcada:

Quando a caixa de verificação [Aplicar estas permissões apenas a objectos e/ou contentores dentro do contentor] é assinalada:

Editar

Seleccionar uma permissão e depois clicar no botão [Editar] permitir-lhe-á modificar a permissão.

Remover

Seleccionando uma permissão e depois clicando em [Remover] irá remover a permissão do objecto actual.

Permissões efectivas
Ao clicar no botão [Permissões efectivas] e depois seleccionar um utilizador da lista, será possível visualizar as permissões efectivas do utilizador no que diz respeito à pasta ou ficheiro especificado. As permissões efectivas são determinadas a partir da combinação de permissões Windows ACL e direitos de acesso a pastas partilhadas.

2.3 Configuração das permissões do Windows ACL com o Windows Explorer

1. Primeiro, utilizar uma conta de administrador do Windows para mapear uma pasta partilhada com o Windows ACL como uma unidade de rede. Para mais informações, consulte  NAS 106: Utilização de NAS com Microsoft Windows..

2. Clique com o botão direito do rato em qualquer ficheiro ou subpasta dentro da pasta partilhada e depois seleccione [Propriedades]. A seguir, seleccione o separador [Segurança]. Aqui, poderá ver uma lista de utilizadores e grupos e as suas permissões ACL para o ficheiro ou subpasta.



Se um objecto herdou simultaneamente permissões dos seus pais e também permissões explícitas, as permissões herdadas serão verificadas a cinzento enquanto que as permissões explícitas serão verificadas a preto.

3. Clique em [Editar] → [Adicionar. No campo [A partir deste local:] deverá ver a seguinte informação:

Se o NAS tiver sido adicionado a um domínio Windows AD, verá o nome de domínio AD.

Se o NAS não tiver sido adicionado a um domínio AD do Windows, verá o endereço IP do NAS.

4. No campo [Introduzir os nomes dos objectos a seleccionar], introduza as seguintes informações:
Se o NAS tiver sido adicionado a um domínio Windows AD, introduza o nome de utilizador ou grupo do domínio e depois clique em [Verificar Nomes] para verificar o nome de utilizador/grupo. Em seguida, clicar em [OK].

Se o NAS não tiver sido adicionado a um domínio Windows AD, introduza o nome local do utilizador ou grupo ADM e depois clique em [Verificar Nomes]  para verificar o nome do utilizador/grupo. Em seguida, clicar em [OK].

5. Agora, deverá ser possível ver o novo utilizador ou grupo adicionado na lista [Nomes de grupo ou de utilizador:]. Seleccione o utilizador ou grupo e depois use as caixas de verificação [Permitir] e [Negar] para configurar as suas permissões de acesso para o objecto. Uma vez terminado, clicar em [Aplicar].

2.4 Regras de permissão e precauções do Windows ACL
2.4.1 ACL Conflituosas permissões ACL

Se se deparar com permissões Windows ACL contraditórias, será dada prioridade às permissões explícitas do objecto. Por exemplo, se o utilizador Helen herdar as permissões "Allow Read & Execute" para um ficheiro, mas as permissões explícitas dadas para o ficheiro forem "Deny Read & Execute", então Helen não poderá aceder ao ficheiro.

Pelo contrário, se Helen herdar as permissões de "Negar Leitura" mas as permissões explícitas dadas ao ficheiro forem "Permitir Leitura", então Helen poderá aceder ao ficheiro.

2.4.2 Regras para a movimentação de ficheiros e pastas

Excepções: Quando os dados são apagados de uma pasta partilhada activada pela ACL e movidos para a lixeira da rede, as regras de "B3" no gráfico acima não se aplicarão. Isto é para evitar a situação em que ficheiros com permissões de "Negar Acesso" são apagados e movidos para a Lixeira da Rede e depois tornam-se totalmente acessíveis a todos os utilizadores. Tendo em consideração a privacidade e segurança, os ficheiros de pastas com ACL activadas que são movidos para a Lixeira da Rede receberão a permissão "Read & Write for Owners, Deny Access for all Other Users" (Ler e Escrever para Proprietários, Negar Acesso a todos os Outros Utilizadores).

2.4.3 Permissões de eliminação de ficheiros

Existem 2 permissões associadas à eliminação de ficheiros:

1. O utilizador tem permissão explícita para "Eliminar" o ficheiro

2. O utilizador tem a permissão "Eliminar subpastas e ficheiros" para a pasta principal do ficheiro.

Se alguma das permissões acima mencionadas for configurada como "Negar", então o utilizador não será capaz de apagar o ficheiro.

Apenas se nenhuma das permissões acima referidas tiver sido configurada como "Negar" e pelo menos uma delas tiver sido configurada como "Permitir", o utilizador será capaz de apagar o ficheiro.

2.4.4 Direito de acesso dos objectos

Após o Windows ACL ter sido activado para uma pasta partilhada, cada objecto (subpastas e ficheiros) contido dentro da pasta terá um direito de acesso. Pode ver o direito de acesso a um objecto seleccionando-o a partir do ADM File Explorer, clicando com o botão direito do rato sobre ele e depois seleccionando [Propriedades]. Haverá um link de edição na secção [Partilhar Direitos de Acesso a Pasta] do separador [Geral].

A pessoa que tiver direito de acesso poderá configurar as permissões ACL para o mesmo. Por exemplo, o utilizador oscar no gráfico acima, é o proprietário da pasta ACL Demo. Portanto, o Óscar poderá configurar as permissões ACL para a pasta e subpasta e ficheiros contidos na mesma.

Para cada objecto recentemente adicionado, o criador do objecto será definido como os direitos de acesso por defeito. Além disso, os utilizadores do grupo de administrador terão a possibilidade de modificar os direitos de acesso. Por exemplo, se quiséssemos transferir a propriedade da pasta ACL Demo no gráfico acima para outros utilizadores (isto é, Helen), oscar e todos os utilizadores do grupo de administrador teriam a capacidade de transferir a propriedade. Quando Helen se tornar proprietária da pasta ACL Demo, ela será capaz de reconfigurar as permissões para as suas subpastas e ficheiros, mesmo que não tivesse originalmente permissões de acesso para eles.

2.5 Mover objectos para o seu NAS mantendo as permissões ACL

Quando todos os PCs Windows e dispositivos NAS num ambiente de rede tiverem sido adicionados ao mesmo domínio Windows AD, todas as contas de utilizadores e permissões no domínio podem ser combinadas em conjunto. No entanto, ao mover ficheiros ou pastas de um servidor PC para um NAS, as permissões ACL existentes não serão retidas (utilizando as regras da secção 2.4.2). Isto faz com que o pessoal de TI tenha de reconfigurar as permissões.

Se desejar manter as permissões ACL existentes ao mover ficheiros ou pastas para o seu NAS, pode utilizar o Fastcopy, um software de terceiros (http://ipmsg.org/tools/fastcopy.html.en). No exemplo abaixo, iremos demonstrar como utilizar esta Fastcopy.
1. Primeiro, utilizar uma conta de administrador do Windows para mapear uma pasta partilhada com o Windows ACL como uma unidade de rede. Para mais informações, consulte NAS 106: Utilização de NAS com Microsoft Windows. No nosso exemplo, mapeámos uma pasta partilhada como a unidade de rede "Z:".

2. Abrir Fastcopy.

3. [Fonte]: Especifique aqui a pasta da fonte.

[DestDir]: Especifique aqui a pasta de destino (a unidade de rede "Z:" mapeada no passo 1)

Seleccione a caixa de verificação [ACL] para assegurar que o Fastcopy manterá as permissões originais ACL dos seus ficheiros quando os mover.

Clique em [Executar] para começar a mover a pasta.

4. Depois de a pasta ter sido movida com sucesso, todos os dados movidos para o destino terão retido as suas permissões ACL da fonte (incluindo todas as permissões explícitas e herdadas). Estes dados não herdarão quaisquer permissões do objecto pai na fonte.