NAS_471_如何使用 Windows ACL 管理数据访问权限
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
建立文件夹/附加数据:套用在文件夹,表示可以在其中建立新的子文件夹;套用在档案, 表示可以在档尾附加上新的资料,但不能修改现有档案内容。
写入属性:表示可以修改文件夹或档案的一般属性。 写入扩充属性:表示可以修改文件夹或档案的扩充属性。 删除子文件夹及档案:表示可以删除文件夹中的子文件夹与档案。 删除:表示可以删除文件夹或档案。 读取权限:表示可以检视文件夹或档案的权限设定。 变更权限:表示可以修改文件夹或档案的权限设定。 取得拥有权:表示可以取得文件夹或档案的拥有权。文件夹或档案的拥有者,无论其对文件
夹或档案的权限为何,永远具备有修改此文件夹或档案权限的能力。
编辑 选取一笔既有的权限,点击 “编辑” 按钮即可进行修改。 移除 选取一笔既有的权限,点击 “移除” 即可将此权限由该对象移除。
有效权限
按下此按钮并由用户列表进行选择,可检视特定使用者或群组对该档案或文件夹的有效权限。此有效权限是由 Windows ACL 与共享文件夹权限共同计算出来的结果。
档案
Windows ACL的13种权限,其涵义叙述如下:
周游文件夹/执行档案:套用在文件夹,表示即使没有文件夹的其他权限,也可以切换到该 文件夹中;套用在档案,表示可以执行该档案。
列出文件夹/读取数据:套用在文件夹,表示可以检视其中的子文件夹名称与文件名;套用 在档案,表示可以读取档案内容。
Web,Surveillance,MyArchive,资源回收桶,虚拟磁盘,外接装置(USB 硬盘,光驱)。 3. 启用 Windows ACL,您将可以Biblioteka Baidu用 ADM 档案总管或是 Windows 档案总管自定义权限;停
用 Windows ACL,您将只能从 ADM 档案总管设定权限。 4. 如启用 Windows ACL 而后续停用此功能,所有文件夹/档案将被重新设定为所有使用者都能完
整存取。 5. 无论使用 Windows ACL 与否,使用者都将需要共享文件夹与档案两方的权限来存取档案。
2.2 使用 ADM 档案总管设定 ADM > 档案总管 > 在启用 Windows ACL 的共享文件夹 (子文件夹或档案) 按鼠标右键,选择 “属性”。
WINDOWS ACL 访问权限简介 在 “属性” 页面选择 “权限” 卷标,可看到目前配置给这个对象的权限列表,还可进行权限的管理。
NAS 471
Windows ACL 访问权限简介
学习如何使用 Windows ACL 管理数据访问权限
课程目的 完成此课程后您将能够: 1. 了解 ASUSTOR NAS 的 Windows ACL 权限原则 2. 使用 Windows ACL 管理数据访问权限
必修项目 课程必修项目: NAS 106 在 Microsoft Windows 上使用 NAS 须先具备以下知识: ASUSTOR NAS 的初始化安装 建立 Volume 及共享文件夹 建立 ADM 本机使用者
WINDOWS ACL 访问权限简介 式视您是否选取“仅套用这些权限到此容器中的对象及 (或) 容器” 而定。
当清除 “仅套用这些权限到此容器中的对象及 (或) 容器“ 复选框时
套用权 套用权限到
套用权限到
套用权限到 套用权限到
限到目 目前文件夹
所有后续子
套用在
目前文件夹 所有后续子
前文件 中的子文件
WINDOWS ACL 访问权限简介
关于 Windows ACL 1. 启用 Windows ACL 之后,该共享文件夹以及其内含的所有子文件夹/档案都可以个别指派使用
者或群组权限。 2. 下列共享文件夹不支持 Windows ACL 权限管理系统:Home,User Homes,Photo Gallery,
套用在
套用权 限到目 前文件
夹
套用权限 到目前文 件夹中的 子文件夹
套用权限 到目前文 件夹中的
档案
套用权限 到所有后 续子文件
夹
只有这个 V 文件夹
这个文件 V
V
V
夹、子文
件夹及档
案
这个文件 V
V
夹及子文
件夹
这个文件 V
V
夹及档案
只有子文 件夹及档 案
V
V
只有子文
V
件夹
只有档案
V
套用权限到 所有后续子 文件夹中的
大纲 1. Windows ACL 简介 1.1 什么是 Windows ACL 1.2 我需要启用 Windows ACL 吗 2 设定 Windows ACL 2.1 功能启用 2.2 使用 ADM 档案总管设定 2.3 使用 Windows 档案总管设定 2.4 权限规则及注意事项
2.5 如何搬移对象至 NAS 同时保有原本 ACL 设定
文件夹中的
中的档案 文件夹
夹
夹
档案
只有这个 V 文件夹
这个文件 V
V
V
V
V
夹、子文
件夹及档
案
这个文件 V
V
V
夹及子文
件夹
这个文件 V
V
V
夹及档案
只有子文 件夹及档 案
V
V
V
V
只有子文
V
V
件夹
只有档案
V
V
当选取 “仅套用这些权限到此容器中的对象及 (或) 容器” 复选框时
WINDOWS ACL 访问权限简介
为既有的共享文件夹启用 Windows ACL 以 admin 账号或是隶属于 administrator 群组的账号登入 ADM,点选 “访问控制” > “共享文件夹” > 选择欲 启用 Windows ACL 的共享文件夹 > “编辑”。
WINDOWS ACL 访问权限简介 选择 “Windows ACL” 标签 > 勾选 “开启 Windows ACL” > 按 “关闭” 即完成启用步骤。
WINDOWS ACL 访问权限简介 如果一个对象同时拥有继承自父对象的权限和明确定义的权限,继承权限会以反灰的颜色勾选,明确权限以黑 色勾选。 3. 按下 “编辑” > “新增”。 在显示的窗口中,您会在 “从这个位置字段” 中看到以下任一信息:
如果 NAS 有加入 AD 网域,您可以看到 AD 网域的名称。 如果 NAS 没有加入 AD 网域,您可以看到 NAS 的 IP 或名称。
输入共享文件夹名称后,按 ”下一步”。
WINDOWS ACL 访问权限简介 设定共享文件夹访问权限后,勾选 “开启 Windows ACL” 选项,按 “下一步”。
WINDOWS ACL 访问权限简介 注意:共享文件夹的 “访问权限” 是第一层的权限检查。如果某个使用者或群组在这里未被赋予读写权限,即 使 Windows ACL 有作设定亦会被阻挡。因此,启用 Windows ACL 之共享文件夹,建议在 “访问权限” 的设 定从宽,由 Windows ACL 制定详细存取规则。 按下 “完成”,启用 Windows ACL 的共享文件夹即新增完成。
1.2 我需要启用 Windows ACL 吗
如同上面章节所述,Windows ACL 提供了多达 13 个权限选项,套用对象为本机和网域 (若 NAS 已成功加 入 AD) 的所有使用者和群组。一旦规划不当,有可能发生所有的人都无法存取某些文件夹或档案的情形。当 然,这种错误状况可以藉由 admin 账号取得拥有权的作法解除,但是在问题发生到解决之间所花费的时间和 人力也是一种无形的成本。 华芸 NAS 是基于 Linux 操作系统所开发的服务器,所以 ADM 原生的设计沿用 了 Linux 的访问控制机 制,也就是: 可供设定权限:RW (可擦写),RO (只读),DA (拒绝存取) 权限套用对象:拥有者,拥有者所属群组,其他 选项少,意谓着设定简单;但是相对的,权限配置的变化及弹性就很有限。例如:使用 Linux 的权限机制就 无法做到某个用户能写入数据,但无法删除的配置。 因此,如果您的 NAS 仅供个人及分享给有限的亲朋好友使用,建议使用 ADM 原生访问控制机制即可。若 是供公司数据储存用途,仍需由 IT 人员进行 ACL 启用与否的评估,并且预先做好权限配置的规划。
读取属性:可以检视文件夹或档案的只读、隐藏、压缩及加密等一般属性。
WINDOWS ACL 访问权限简介
读取扩充属性:可以检视文件夹或档案的扩充属性,不同类型的档案会有不同的扩充属性, 例如WORD文件有自定义与摘要2个扩充属性。
建立档案/写入数据:套用在文件夹,表示可以在其中建立新的档案;套用在档案,表示可 以修改现有的档案内容,但无法在档案的后面附加新的数据。
WINDOWS ACL 访问权限简介
WINDOWS ACL 访问权限简介
1. Windows ACL 简介
1.1 什么是 Windows ACL
Windows ACL 是微软为 NTFS 文件系统设计的 13 种细部权限,套用对象可以是特定用户或群组,在这种架 构下管理者能对文件夹或档案存取做更细腻的配置。 另外,在许多企业广泛采用的 Windows AD 网域架构中,数据 ACL 权限的套用对象能扩及到网域使用者及 群组。无论用户在网域中哪一台计算机登入,只要账号是一样的,权限规则都会一致,IT 人员无需为每台服 务器或工作站 PC 分别制定权限控管的规则,可大幅增加管理效率。 为使华芸 NAS 更密切的与 AD 网域结合,以达到简化 IT 管理,提高生产力的目的,我们将 Windows ACL 权限系统与 ADM 做深度整合,并提供以下特点: 1. 能够针对个别共享文件夹启用 Windows ACL 2. 完整支持 Windows 13 种进阶访问权限设定 3. 可在 ADM 详细观看 Windows ACL 的有效权限 4. 支持网域使用者及群组 5. ACL 设定可套用至 Samba,File Explorer,AFP,FTP,WebDAV,Rsync 等数据传输协议
4. 在 “输入对象名称来选取” 字段输入以下任一信息: 如果 NAS 有加入 AD 网域,请输入网域使用者 / 群组的名称,单击 “检查名称” 来验证该使用者 / 组名, 然后单击“确定”。 如果 NAS 没有加入 AD 网域,请输入 ADM 本地使用者 / 群组的名称,单击 “检查名称” 来验证该使用 者 / 组名,然后单击 “确定”。
为一个共享文件夹启用 Windows ACL 后,系统默认会配置可擦写,但是不能删除的权限给 Everyone, administrators 群组和 admin 账号,且套用到共享文件夹本身,不会向下继承。这些预设权限可使用 “编辑” 或 “移除” 按钮作修改。 注意:单一档案或文件夹支持 Windows ACL 权限总和 (包含继承权限) 为 250 笔。 包括从此对象的父项继承而来的权限:此选项默认为勾选,系统默认子文件夹或档案会从上一层对象继承 权限。取消勾选即会拒绝所有继承的权限,仅保留新增之权限。 以这个对象的继承权限取代所有子对象的权限:勾选此选项,则所有子文件夹和档案的所有权限项目都会 重设为从父对象继承而来的权限项目。
我们提供了可针对单一共享文件夹选择启用或停用 ACL 的设定弹性,对于事前评估与规划非常有帮助。您可 以建立一个测试用共享文件夹,启用 Windows ACL 之后进行设定,然后检查是否使用者的访问控制都符合
WINDOWS ACL 访问权限简介 预期,确认后再将规则正式套用到目的端共享文件夹。避免规划上的疏忽使得数据无法存取,影响公司正常营 运。 2. 设定 Windows ACL 2.1 如何启用 Windows ACL 新建共享文件夹 以 admin 账号或是隶属于 administrator 群组的账号登入 ADM,点选 “访问控制” > “共享文件夹” > “新增”。
WINDOWS ACL 访问权限简介
2.3 使用 Windows 档案总管设定
1 请参考 NAS 106:在 Microsoft Windows 上使用 NAS 使用有管理权限之账号将已启用 Windows ACL 的文 件夹联机成网络驱动器机。
2. 以鼠标右键点按共享文件夹里的档案或文件夹,选择 “内容”,然后单击 “安全性”页签。您可以在这里看到用 户或群组清单,及其档案或文件夹的 ACL 权限。
在这里能进行的管理功能有: 新增
点击 “新增” 按钮为这个对象建立新的权限项目。
WINDOWS ACL 访问权限简介
使用者或群组:指定您想自定义权限的使用者或群组。 类别:选择 “允许” 或 “拒绝” 来授予或拒绝使用者或群组的权限。 套用到:此选项仅在为文件夹设定权限时出现。您可以从下拉式选单选择这笔新增权限套用的位置,套用方
写入属性:表示可以修改文件夹或档案的一般属性。 写入扩充属性:表示可以修改文件夹或档案的扩充属性。 删除子文件夹及档案:表示可以删除文件夹中的子文件夹与档案。 删除:表示可以删除文件夹或档案。 读取权限:表示可以检视文件夹或档案的权限设定。 变更权限:表示可以修改文件夹或档案的权限设定。 取得拥有权:表示可以取得文件夹或档案的拥有权。文件夹或档案的拥有者,无论其对文件
夹或档案的权限为何,永远具备有修改此文件夹或档案权限的能力。
编辑 选取一笔既有的权限,点击 “编辑” 按钮即可进行修改。 移除 选取一笔既有的权限,点击 “移除” 即可将此权限由该对象移除。
有效权限
按下此按钮并由用户列表进行选择,可检视特定使用者或群组对该档案或文件夹的有效权限。此有效权限是由 Windows ACL 与共享文件夹权限共同计算出来的结果。
档案
Windows ACL的13种权限,其涵义叙述如下:
周游文件夹/执行档案:套用在文件夹,表示即使没有文件夹的其他权限,也可以切换到该 文件夹中;套用在档案,表示可以执行该档案。
列出文件夹/读取数据:套用在文件夹,表示可以检视其中的子文件夹名称与文件名;套用 在档案,表示可以读取档案内容。
Web,Surveillance,MyArchive,资源回收桶,虚拟磁盘,外接装置(USB 硬盘,光驱)。 3. 启用 Windows ACL,您将可以Biblioteka Baidu用 ADM 档案总管或是 Windows 档案总管自定义权限;停
用 Windows ACL,您将只能从 ADM 档案总管设定权限。 4. 如启用 Windows ACL 而后续停用此功能,所有文件夹/档案将被重新设定为所有使用者都能完
整存取。 5. 无论使用 Windows ACL 与否,使用者都将需要共享文件夹与档案两方的权限来存取档案。
2.2 使用 ADM 档案总管设定 ADM > 档案总管 > 在启用 Windows ACL 的共享文件夹 (子文件夹或档案) 按鼠标右键,选择 “属性”。
WINDOWS ACL 访问权限简介 在 “属性” 页面选择 “权限” 卷标,可看到目前配置给这个对象的权限列表,还可进行权限的管理。
NAS 471
Windows ACL 访问权限简介
学习如何使用 Windows ACL 管理数据访问权限
课程目的 完成此课程后您将能够: 1. 了解 ASUSTOR NAS 的 Windows ACL 权限原则 2. 使用 Windows ACL 管理数据访问权限
必修项目 课程必修项目: NAS 106 在 Microsoft Windows 上使用 NAS 须先具备以下知识: ASUSTOR NAS 的初始化安装 建立 Volume 及共享文件夹 建立 ADM 本机使用者
WINDOWS ACL 访问权限简介 式视您是否选取“仅套用这些权限到此容器中的对象及 (或) 容器” 而定。
当清除 “仅套用这些权限到此容器中的对象及 (或) 容器“ 复选框时
套用权 套用权限到
套用权限到
套用权限到 套用权限到
限到目 目前文件夹
所有后续子
套用在
目前文件夹 所有后续子
前文件 中的子文件
WINDOWS ACL 访问权限简介
关于 Windows ACL 1. 启用 Windows ACL 之后,该共享文件夹以及其内含的所有子文件夹/档案都可以个别指派使用
者或群组权限。 2. 下列共享文件夹不支持 Windows ACL 权限管理系统:Home,User Homes,Photo Gallery,
套用在
套用权 限到目 前文件
夹
套用权限 到目前文 件夹中的 子文件夹
套用权限 到目前文 件夹中的
档案
套用权限 到所有后 续子文件
夹
只有这个 V 文件夹
这个文件 V
V
V
夹、子文
件夹及档
案
这个文件 V
V
夹及子文
件夹
这个文件 V
V
夹及档案
只有子文 件夹及档 案
V
V
只有子文
V
件夹
只有档案
V
套用权限到 所有后续子 文件夹中的
大纲 1. Windows ACL 简介 1.1 什么是 Windows ACL 1.2 我需要启用 Windows ACL 吗 2 设定 Windows ACL 2.1 功能启用 2.2 使用 ADM 档案总管设定 2.3 使用 Windows 档案总管设定 2.4 权限规则及注意事项
2.5 如何搬移对象至 NAS 同时保有原本 ACL 设定
文件夹中的
中的档案 文件夹
夹
夹
档案
只有这个 V 文件夹
这个文件 V
V
V
V
V
夹、子文
件夹及档
案
这个文件 V
V
V
夹及子文
件夹
这个文件 V
V
V
夹及档案
只有子文 件夹及档 案
V
V
V
V
只有子文
V
V
件夹
只有档案
V
V
当选取 “仅套用这些权限到此容器中的对象及 (或) 容器” 复选框时
WINDOWS ACL 访问权限简介
为既有的共享文件夹启用 Windows ACL 以 admin 账号或是隶属于 administrator 群组的账号登入 ADM,点选 “访问控制” > “共享文件夹” > 选择欲 启用 Windows ACL 的共享文件夹 > “编辑”。
WINDOWS ACL 访问权限简介 选择 “Windows ACL” 标签 > 勾选 “开启 Windows ACL” > 按 “关闭” 即完成启用步骤。
WINDOWS ACL 访问权限简介 如果一个对象同时拥有继承自父对象的权限和明确定义的权限,继承权限会以反灰的颜色勾选,明确权限以黑 色勾选。 3. 按下 “编辑” > “新增”。 在显示的窗口中,您会在 “从这个位置字段” 中看到以下任一信息:
如果 NAS 有加入 AD 网域,您可以看到 AD 网域的名称。 如果 NAS 没有加入 AD 网域,您可以看到 NAS 的 IP 或名称。
输入共享文件夹名称后,按 ”下一步”。
WINDOWS ACL 访问权限简介 设定共享文件夹访问权限后,勾选 “开启 Windows ACL” 选项,按 “下一步”。
WINDOWS ACL 访问权限简介 注意:共享文件夹的 “访问权限” 是第一层的权限检查。如果某个使用者或群组在这里未被赋予读写权限,即 使 Windows ACL 有作设定亦会被阻挡。因此,启用 Windows ACL 之共享文件夹,建议在 “访问权限” 的设 定从宽,由 Windows ACL 制定详细存取规则。 按下 “完成”,启用 Windows ACL 的共享文件夹即新增完成。
1.2 我需要启用 Windows ACL 吗
如同上面章节所述,Windows ACL 提供了多达 13 个权限选项,套用对象为本机和网域 (若 NAS 已成功加 入 AD) 的所有使用者和群组。一旦规划不当,有可能发生所有的人都无法存取某些文件夹或档案的情形。当 然,这种错误状况可以藉由 admin 账号取得拥有权的作法解除,但是在问题发生到解决之间所花费的时间和 人力也是一种无形的成本。 华芸 NAS 是基于 Linux 操作系统所开发的服务器,所以 ADM 原生的设计沿用 了 Linux 的访问控制机 制,也就是: 可供设定权限:RW (可擦写),RO (只读),DA (拒绝存取) 权限套用对象:拥有者,拥有者所属群组,其他 选项少,意谓着设定简单;但是相对的,权限配置的变化及弹性就很有限。例如:使用 Linux 的权限机制就 无法做到某个用户能写入数据,但无法删除的配置。 因此,如果您的 NAS 仅供个人及分享给有限的亲朋好友使用,建议使用 ADM 原生访问控制机制即可。若 是供公司数据储存用途,仍需由 IT 人员进行 ACL 启用与否的评估,并且预先做好权限配置的规划。
读取属性:可以检视文件夹或档案的只读、隐藏、压缩及加密等一般属性。
WINDOWS ACL 访问权限简介
读取扩充属性:可以检视文件夹或档案的扩充属性,不同类型的档案会有不同的扩充属性, 例如WORD文件有自定义与摘要2个扩充属性。
建立档案/写入数据:套用在文件夹,表示可以在其中建立新的档案;套用在档案,表示可 以修改现有的档案内容,但无法在档案的后面附加新的数据。
WINDOWS ACL 访问权限简介
WINDOWS ACL 访问权限简介
1. Windows ACL 简介
1.1 什么是 Windows ACL
Windows ACL 是微软为 NTFS 文件系统设计的 13 种细部权限,套用对象可以是特定用户或群组,在这种架 构下管理者能对文件夹或档案存取做更细腻的配置。 另外,在许多企业广泛采用的 Windows AD 网域架构中,数据 ACL 权限的套用对象能扩及到网域使用者及 群组。无论用户在网域中哪一台计算机登入,只要账号是一样的,权限规则都会一致,IT 人员无需为每台服 务器或工作站 PC 分别制定权限控管的规则,可大幅增加管理效率。 为使华芸 NAS 更密切的与 AD 网域结合,以达到简化 IT 管理,提高生产力的目的,我们将 Windows ACL 权限系统与 ADM 做深度整合,并提供以下特点: 1. 能够针对个别共享文件夹启用 Windows ACL 2. 完整支持 Windows 13 种进阶访问权限设定 3. 可在 ADM 详细观看 Windows ACL 的有效权限 4. 支持网域使用者及群组 5. ACL 设定可套用至 Samba,File Explorer,AFP,FTP,WebDAV,Rsync 等数据传输协议
4. 在 “输入对象名称来选取” 字段输入以下任一信息: 如果 NAS 有加入 AD 网域,请输入网域使用者 / 群组的名称,单击 “检查名称” 来验证该使用者 / 组名, 然后单击“确定”。 如果 NAS 没有加入 AD 网域,请输入 ADM 本地使用者 / 群组的名称,单击 “检查名称” 来验证该使用 者 / 组名,然后单击 “确定”。
为一个共享文件夹启用 Windows ACL 后,系统默认会配置可擦写,但是不能删除的权限给 Everyone, administrators 群组和 admin 账号,且套用到共享文件夹本身,不会向下继承。这些预设权限可使用 “编辑” 或 “移除” 按钮作修改。 注意:单一档案或文件夹支持 Windows ACL 权限总和 (包含继承权限) 为 250 笔。 包括从此对象的父项继承而来的权限:此选项默认为勾选,系统默认子文件夹或档案会从上一层对象继承 权限。取消勾选即会拒绝所有继承的权限,仅保留新增之权限。 以这个对象的继承权限取代所有子对象的权限:勾选此选项,则所有子文件夹和档案的所有权限项目都会 重设为从父对象继承而来的权限项目。
我们提供了可针对单一共享文件夹选择启用或停用 ACL 的设定弹性,对于事前评估与规划非常有帮助。您可 以建立一个测试用共享文件夹,启用 Windows ACL 之后进行设定,然后检查是否使用者的访问控制都符合
WINDOWS ACL 访问权限简介 预期,确认后再将规则正式套用到目的端共享文件夹。避免规划上的疏忽使得数据无法存取,影响公司正常营 运。 2. 设定 Windows ACL 2.1 如何启用 Windows ACL 新建共享文件夹 以 admin 账号或是隶属于 administrator 群组的账号登入 ADM,点选 “访问控制” > “共享文件夹” > “新增”。
WINDOWS ACL 访问权限简介
2.3 使用 Windows 档案总管设定
1 请参考 NAS 106:在 Microsoft Windows 上使用 NAS 使用有管理权限之账号将已启用 Windows ACL 的文 件夹联机成网络驱动器机。
2. 以鼠标右键点按共享文件夹里的档案或文件夹,选择 “内容”,然后单击 “安全性”页签。您可以在这里看到用 户或群组清单,及其档案或文件夹的 ACL 权限。
在这里能进行的管理功能有: 新增
点击 “新增” 按钮为这个对象建立新的权限项目。
WINDOWS ACL 访问权限简介
使用者或群组:指定您想自定义权限的使用者或群组。 类别:选择 “允许” 或 “拒绝” 来授予或拒绝使用者或群组的权限。 套用到:此选项仅在为文件夹设定权限时出现。您可以从下拉式选单选择这笔新增权限套用的位置,套用方