Windows用戶端以AD域使用者身份掛載並使用SMB檔案系統 - Apsara File Storage NAS

本文介紹在Windows作業系統中，如何以AD域身份掛載SMB檔案系統。以及掛載成功後，如何以AD域身份訪問SMB協議檔案系統，查看和編輯檔案或目錄的ACL。

前提條件

SMB檔案系統掛載點已接入AD域。具體操作，請參見將SMB檔案系統掛載點接入AD域。

背景資訊

在SMB檔案系統掛載點接入AD域前，僅支援以匿名使用者身份掛載並使用SMB檔案系統。在SMB檔案系統掛載點接入AD域後，您可以設定是否繼續允許匿名使用者身份掛載訪問。

如果繼續允許匿名訪問檔案系統，裝置可以通過Kerberos認證以域身份訪問檔案系統，也可以通過NTLM認證以Everyone身份訪問檔案系統。
如果已設定為不允許匿名訪問檔案系統，該檔案系統將只允許通過Kerberos認證協議的Windows用戶端以AD域使用者身份進行掛載。

方式一：Windows用戶端加入AD域並掛載SMB檔案系統

以下步驟將以Windows Server 2012版本作業系統為例介紹如何將Windows用戶端加入AD域並掛載SMB檔案系統。

配置Windows用戶端的DNS伺服器位址。
1. 登入Windows用戶端。
2. 在案頭左下角，單擊開始。
3. 在開始功能表列，單擊控制台。
4. 在控制台對話方塊，選擇網路和Internet > 網路和共用中心。
5. 在網路與共用中心對話方塊查看活動網路地區，單擊乙太網路。
6. 在乙太網路屬性對話方塊，單擊屬性。
7. 在乙太網路屬性對話方塊此串連使用下列專案：地區，選中Internet協議版本4（TCP/IPv4），單擊屬性。
8. 在Internet協議版本4（TCP/IPv4）屬性對話方塊，選中使用下面的DNS伺服器位址，設定DNS伺服器位址為AD網域服務器的IP地址。
9. 使用命令提示字元工具執行ping命令，pingAD網域名稱，驗證Windows用戶端和AD域之間的連通性。
將Windows用戶端加入AD域。
1. 在控制台對話方塊，選擇系統和安全 > 系統。
2. 在系統對話方塊電腦名稱、域和工作群組設定地區，單擊更改設定。
3. 在系統屬性對話方塊，單擊更改。
4. 在電腦名稱/域更改對話方塊，填寫已搭建的AD網域名稱。根據介面提示，單擊確定完成配置。
5. 重啟Windows用戶端，使修改配置生效。
掛載SMB檔案系統。
以AD域身份登入Windows用戶端，使用命令提示字元工具執行以下命令，掛載SMB檔案系統。
```
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare
```

方式二：Windows用戶端串連AD伺服器並掛載SMB檔案系統

以下步驟將以Windows Server 2012版本作業系統為例介紹通過配置DNS伺服器串連AD伺服器，然後掛載SMB檔案系統。

配置Windows用戶端的DNS伺服器位址。
1. 登入Windows用戶端。
2. 在案頭左下角，單擊開始。
3. 在開始功能表列，單擊控制台。
4. 在控制台對話方塊，選擇網路和Internet > 網路和共用中心。
5. 在網路與共用中心對話方塊查看活動網路地區，單擊乙太網路。
6. 在乙太網路屬性對話方塊，單擊屬性。
7. 在乙太網路屬性對話方塊此串連使用下列專案：地區，選中Internet協議版本4（TCP/IPv4），單擊屬性。
8. 在Internet協議版本4（TCP/IPv4）屬性對話方塊，選中使用下面的DNS伺服器位址，設定DNS伺服器位址為AD網域服務器的IP地址。
9. 使用命令提示字元工具執行ping命令，pingAD網域名稱，驗證Windows用戶端和AD域之間的連通性。
掛載SMB檔案系統。
在Windows用戶端，使用命令提示字元工具執行以下命令，以AD域身份掛載SMB檔案系統。
```
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD
```
其中，EXAMPLE.com為您已搭建的AD網域名稱。

管理SMB檔案系統ACL

開啟ACL功能並以AD域身份掛載SMB檔案系統後，您可以採用以下方式查看和編輯檔案或目錄ACL。

mklink命令列工具

您可以使用mklink命令列工具，在Windows本地磁碟為SMB檔案系統掛載點產生符號連結，同時查看和編輯檔案或目錄的ACL。

使用命令提示字元工具建立檔案系統映射。
```
mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare
```
其中，\myshare為符號連結的檔案系統路徑，nas-mount-target.nas.aliyuncs.com\myshare為SMB檔案系統的掛載點。
為普通使用者添加使用符號連結的許可權。
如果您使用系統管理員Administrator，請跳過此步驟。
1. 使用系統管理員Administrator搜尋並運行secpol.msc。
2. 在本地安全性原則對話方塊，選擇本地策略使用者權限分配，按照頁面提示將指定使用者加入建立符號連結的許可權組中。
3. 使用普通使用者重新登入Windows用戶端。
訪問SMB檔案系統並查看檔案或目錄ACL。
產生符號連結後，您可以以訪問Windows本地磁碟子目錄的形式訪問SMB檔案系統，同時支援查看和編輯檔案或目錄的ACL。

Windows檔案總管

在Windows本地磁碟為SMB檔案系統掛載點產生符號連結，可以通過Windows的檔案總管（File Explorer）查看、編輯檔案和目錄的ACL。

找到目標檔案或目錄，按右鍵屬性。
在屬性對話方塊，單擊安全頁簽，然後單擊編輯。
在許可權對話方塊，單擊添加，按照頁面提示填寫相關資訊。

在使用Windows檔案總管查看SMB檔案系統時，如果需要回退本地磁碟路徑，請單擊回退（下圖中的標註1）或者上退（下圖中的標註2）按鈕，但是不要選中路徑中的某一段（下圖中的標註3）來回退。檔案管理工具訪問SMB檔案

在使用Windows檔案總管訪問和使用檔案系統時，阿里雲SMB檔案系統並沒有實際加入使用者的AD域。如果不是通過本地磁碟路徑C:\myshare訪問檔案系統，而是通過普通網路路徑\\nas-mount-point.nas.aliyuncs.com\myshare訪問，在設定ACL時，會遇到因RPC伺服器不可用而無法確定NAS掛載點是否已加入域的情況。 SMB_ACL_系統提示_1 SMB_ACL_系統提示_2

重要

Windows檔案總管對C:\myshare修改許可權並不會應用到檔案系統的根目錄。修改根目錄許可權需要使用Set-Acl Powershell命令或者icacls命令列。

PowerShell命令

Windows PowerShell支援Get-Acl和Set-Acl來查看和編輯檔案或目錄ACL。

Get-Acl

$value = Get-Acl -Path "Z:"# Set properties
$value.Access

Set properties
$identity = "Administrator"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$value.SetAccessRule($fileSystemAccessRule)
$value.Access

Set-Acl
Set-Acl命令修改許可權不需要mylink c:\myshare捷徑，可以直接修改掛載盤路徑，也可以修改根目錄許可權。
```
Set-Acl $value -Path "Z:"
```
重要
根目錄許可權修改最好在檔案系統剛建立時就設定妥當，否則由於繼承機制，命令會需要修改子目錄和子檔案。

icacls命令

icacls命令是Windows命令列中的ACL操作標準命令。您可以通過icacls命令查看和編輯檔案或目錄ACL。

樣本：

icacls z:
#添加使用者的完全控制許可權
icacls z: /grant <使用者名稱>:(F)
#添加administrator的完全控制許可權
icacls z: /grant administrator:(F)
icacls z:
#刪除使用者的所有許可權
icacls z: /remove <使用者名稱>
#刪除Everyone的所有許可權
icacls z: /remove <使用者名稱>
icacls z: