全部產品
Search
文件中心

File Storage NAS:Windows用戶端以AD域使用者身份掛載並使用SMB檔案系統

更新時間:Jul 06, 2024

本文介紹在Windows作業系統中,如何以AD域身份掛載SMB檔案系統。以及掛載成功後,如何以AD域身份訪問SMB協議檔案系統,查看和編輯檔案或目錄的ACL。

前提條件

SMB檔案系統掛載點已接入AD域。具體操作,請參見將SMB檔案系統掛載點接入AD域

背景資訊

在SMB檔案系統掛載點接入AD域前,僅支援以匿名使用者身份掛載並使用SMB檔案系統。在SMB檔案系統掛載點接入AD域後,您可以設定是否繼續允許匿名使用者身份掛載訪問。

  • 如果繼續允許匿名訪問檔案系統,裝置可以通過Kerberos認證以域身份訪問檔案系統,也可以通過NTLM認證以Everyone身份訪問檔案系統。

  • 如果已設定為不允許匿名訪問檔案系統,該檔案系統將只允許通過Kerberos認證協議的Windows用戶端以AD域使用者身份進行掛載。

方式一:Windows用戶端加入AD域並掛載SMB檔案系統

以下步驟將以Windows Server 2012版本作業系統為例介紹如何將Windows用戶端加入AD域並掛載SMB檔案系統。

  1. 配置Windows用戶端的DNS伺服器位址。

    1. 登入Windows用戶端。

    2. 在案頭左下角,單擊開始

    3. 開始功能表列,單擊控制台

    4. 控制台對話方塊,選擇網路和Internet > 網路和共用中心

    5. 網路與共用中心對話方塊查看活動網路地區,單擊乙太網路

    6. 乙太網路屬性對話方塊,單擊屬性

    7. 乙太網路屬性對話方塊此串連使用下列專案:地區,選中Internet協議版本4(TCP/IPv4),單擊屬性

    8. Internet協議版本4(TCP/IPv4)屬性對話方塊,選中使用下面的DNS伺服器位址,設定DNS伺服器位址為AD網域服務器的IP地址。SMB_ACl_DNS

    9. 使用命令提示字元工具執行ping命令,pingAD網域名稱,驗證Windows用戶端和AD域之間的連通性。SMB ACL001

  2. 將Windows用戶端加入AD域。

    1. 控制台對話方塊,選擇系統和安全 > 系統

    2. 系統對話方塊電腦名稱、域和工作群組設定地區,單擊更改設定

    3. 系統屬性對話方塊,單擊更改

    4. 電腦名稱/域更改對話方塊,填寫已搭建的AD網域名稱。根據介面提示,單擊確定完成配置。SMB_ACl_AD_Domain

    5. 重啟Windows用戶端,使修改配置生效。

  3. 掛載SMB檔案系統。

    以AD域身份登入Windows用戶端,使用命令提示字元工具執行以下命令,掛載SMB檔案系統。

    net use z: \\nas-mount-target.nas.aliyuncs.com\myshare

方式二:Windows用戶端串連AD伺服器並掛載SMB檔案系統

以下步驟將以Windows Server 2012版本作業系統為例介紹通過配置DNS伺服器串連AD伺服器,然後掛載SMB檔案系統。

  1. 配置Windows用戶端的DNS伺服器位址。

    1. 登入Windows用戶端。

    2. 在案頭左下角,單擊開始

    3. 開始功能表列,單擊控制台

    4. 控制台對話方塊,選擇網路和Internet > 網路和共用中心

    5. 網路與共用中心對話方塊查看活動網路地區,單擊乙太網路

    6. 乙太網路屬性對話方塊,單擊屬性

    7. 乙太網路屬性對話方塊此串連使用下列專案:地區,選中Internet協議版本4(TCP/IPv4),單擊屬性

    8. Internet協議版本4(TCP/IPv4)屬性對話方塊,選中使用下面的DNS伺服器位址,設定DNS伺服器位址為AD網域服務器的IP地址。SMB_ACl_DNS

    9. 使用命令提示字元工具執行ping命令,pingAD網域名稱,驗證Windows用戶端和AD域之間的連通性。SMB ACL001

  2. 掛載SMB檔案系統。

    在Windows用戶端,使用命令提示字元工具執行以下命令,以AD域身份掛載SMB檔案系統。

    net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD

    其中,EXAMPLE.com為您已搭建的AD網域名稱。

管理SMB檔案系統ACL

開啟ACL功能並以AD域身份掛載SMB檔案系統後,您可以採用以下方式查看和編輯檔案或目錄ACL。

mklink命令列工具

您可以使用mklink命令列工具,在Windows本地磁碟為SMB檔案系統掛載點產生符號連結,同時查看和編輯檔案或目錄的ACL。

  1. 使用命令提示字元工具建立檔案系統映射。

    mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare

    其中,\myshare為符號連結的檔案系統路徑,nas-mount-target.nas.aliyuncs.com\myshare為SMB檔案系統的掛載點。

  2. 為普通使用者添加使用符號連結的許可權。

    如果您使用系統管理員Administrator,請跳過此步驟。

    1. 使用系統管理員Administrator搜尋並運行secpol.msc。secpol

    2. 本地安全性原則對話方塊,選擇本地策略使用者權限分配,按照頁面提示將指定使用者加入建立符號連結的許可權組中。AD掛載SMBsecpol_03

    3. 使用普通使用者重新登入Windows用戶端。

  3. 訪問SMB檔案系統並查看檔案或目錄ACL。

    產生符號連結後,您可以以訪問Windows本地磁碟子目錄的形式訪問SMB檔案系統,同時支援查看和編輯檔案或目錄的ACL。

Windows檔案總管

在Windows本地磁碟為SMB檔案系統掛載點產生符號連結,可以通過Windows的檔案總管(File Explorer)查看、編輯檔案和目錄的ACL。

  1. 找到目標檔案或目錄,按右鍵屬性set_sec_02

  2. 屬性對話方塊,單擊安全頁簽,然後單擊編輯set_sec_03

  3. 在許可權對話方塊,單擊添加,按照頁面提示填寫相關資訊。set_sec_04set_sec_05

在使用Windows檔案總管查看SMB檔案系統時,如果需要回退本地磁碟路徑,請單擊回退(下圖中的標註1)或者上退(下圖中的標註2)按鈕,但是不要選中路徑中的某一段(下圖中的標註3)來回退。檔案管理工具訪問SMB檔案

在使用Windows檔案總管訪問和使用檔案系統時,阿里雲SMB檔案系統並沒有實際加入使用者的AD域。如果不是通過本地磁碟路徑C:\myshare訪問檔案系統,而是通過普通網路路徑\\nas-mount-point.nas.aliyuncs.com\myshare訪問,在設定ACL時,會遇到因RPC伺服器不可用而無法確定NAS掛載點是否已加入域的情況。SMB_ACL_系統提示_1SMB_ACL_系統提示_2

重要

Windows檔案總管對C:\myshare修改許可權並不會應用到檔案系統的根目錄。修改根目錄許可權需要使用Set-Acl Powershell命令或者icacls命令列。

PowerShell命令

Windows PowerShell支援Get-AclSet-Acl來查看和編輯檔案或目錄ACL。

  • Get-Acl

    $value = Get-Acl -Path "Z:"# Set properties
    $value.Access

    Get-Acl

    Set properties
    $identity = "Administrator"
    $fileSystemRights = "FullControl"
    $type = "Allow"
    # Create new rule
    $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
    $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
    # Apply new rule
    $value.SetAccessRule($fileSystemAccessRule)
    $value.Access

    set

  • Set-Acl

    Set-Acl命令修改許可權不需要mylink c:\myshare捷徑,可以直接修改掛載盤路徑,也可以修改根目錄許可權。

    Set-Acl $value -Path "Z:"
    重要

    根目錄許可權修改最好在檔案系統剛建立時就設定妥當,否則由於繼承機制,命令會需要修改子目錄和子檔案。

icacls命令

icacls命令是Windows命令列中的ACL操作標準命令。您可以通過icacls命令查看和編輯檔案或目錄ACL。

樣本:

icacls z:
#添加使用者的完全控制許可權
icacls z: /grant <使用者名稱>:(F)
#添加administrator的完全控制許可權
icacls z: /grant administrator:(F)
icacls z:
#刪除使用者的所有許可權
icacls z: /remove <使用者名稱>
#刪除Everyone的所有許可權
icacls z: /remove <使用者名稱>
icacls z:

320