本文介紹在Windows作業系統中,如何以AD域身份掛載SMB檔案系統。以及掛載成功後,如何以AD域身份訪問SMB協議檔案系統,查看和編輯檔案或目錄的ACL。
前提條件
SMB檔案系統掛載點已接入AD域。具體操作,請參見將SMB檔案系統掛載點接入AD域。
背景資訊
在SMB檔案系統掛載點接入AD域前,僅支援以匿名使用者身份掛載並使用SMB檔案系統。在SMB檔案系統掛載點接入AD域後,您可以設定是否繼續允許匿名使用者身份掛載訪問。
如果繼續允許匿名訪問檔案系統,裝置可以通過Kerberos認證以域身份訪問檔案系統,也可以通過NTLM認證以Everyone身份訪問檔案系統。
如果已設定為不允許匿名訪問檔案系統,該檔案系統將只允許通過Kerberos認證協議的Windows用戶端以AD域使用者身份進行掛載。
方式一:Windows用戶端加入AD域並掛載SMB檔案系統
以下步驟將以Windows Server 2012版本作業系統為例介紹如何將Windows用戶端加入AD域並掛載SMB檔案系統。
配置Windows用戶端的DNS伺服器位址。
登入Windows用戶端。
在案頭左下角,單擊開始。
在開始功能表列,單擊控制台。
在控制台對話方塊,選擇 。
在網路與共用中心對話方塊查看活動網路地區,單擊乙太網路。
在乙太網路屬性對話方塊,單擊屬性。
在乙太網路屬性對話方塊此串連使用下列專案:地區,選中Internet協議版本4(TCP/IPv4),單擊屬性。
在Internet協議版本4(TCP/IPv4)屬性對話方塊,選中使用下面的DNS伺服器位址,設定DNS伺服器位址為AD網域服務器的IP地址。
使用命令提示字元工具執行ping命令,pingAD網域名稱,驗證Windows用戶端和AD域之間的連通性。
將Windows用戶端加入AD域。
在控制台對話方塊,選擇 。
在系統對話方塊電腦名稱、域和工作群組設定地區,單擊更改設定。
在系統屬性對話方塊,單擊更改。
在電腦名稱/域更改對話方塊,填寫已搭建的AD網域名稱。根據介面提示,單擊確定完成配置。
重啟Windows用戶端,使修改配置生效。
掛載SMB檔案系統。
以AD域身份登入Windows用戶端,使用命令提示字元工具執行以下命令,掛載SMB檔案系統。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare
方式二:Windows用戶端串連AD伺服器並掛載SMB檔案系統
以下步驟將以Windows Server 2012版本作業系統為例介紹通過配置DNS伺服器串連AD伺服器,然後掛載SMB檔案系統。
配置Windows用戶端的DNS伺服器位址。
登入Windows用戶端。
在案頭左下角,單擊開始。
在開始功能表列,單擊控制台。
在控制台對話方塊,選擇 。
在網路與共用中心對話方塊查看活動網路地區,單擊乙太網路。
在乙太網路屬性對話方塊,單擊屬性。
在乙太網路屬性對話方塊此串連使用下列專案:地區,選中Internet協議版本4(TCP/IPv4),單擊屬性。
在Internet協議版本4(TCP/IPv4)屬性對話方塊,選中使用下面的DNS伺服器位址,設定DNS伺服器位址為AD網域服務器的IP地址。
使用命令提示字元工具執行ping命令,pingAD網域名稱,驗證Windows用戶端和AD域之間的連通性。
掛載SMB檔案系統。
在Windows用戶端,使用命令提示字元工具執行以下命令,以AD域身份掛載SMB檔案系統。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD
其中,
EXAMPLE.com
為您已搭建的AD網域名稱。
管理SMB檔案系統ACL
開啟ACL功能並以AD域身份掛載SMB檔案系統後,您可以採用以下方式查看和編輯檔案或目錄ACL。
mklink命令列工具
您可以使用mklink命令列工具,在Windows本地磁碟為SMB檔案系統掛載點產生符號連結,同時查看和編輯檔案或目錄的ACL。
使用命令提示字元工具建立檔案系統映射。
mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare
其中,
\myshare
為符號連結的檔案系統路徑,nas-mount-target.nas.aliyuncs.com\myshare
為SMB檔案系統的掛載點。為普通使用者添加使用符號連結的許可權。
如果您使用系統管理員Administrator,請跳過此步驟。
使用系統管理員Administrator搜尋並運行secpol.msc。
在本地安全性原則對話方塊,選擇本地策略使用者權限分配,按照頁面提示將指定使用者加入建立符號連結的許可權組中。
使用普通使用者重新登入Windows用戶端。
訪問SMB檔案系統並查看檔案或目錄ACL。
產生符號連結後,您可以以訪問Windows本地磁碟子目錄的形式訪問SMB檔案系統,同時支援查看和編輯檔案或目錄的ACL。
Windows檔案總管
在Windows本地磁碟為SMB檔案系統掛載點產生符號連結,可以通過Windows的檔案總管(File Explorer)查看、編輯檔案和目錄的ACL。
找到目標檔案或目錄,按右鍵屬性。
在屬性對話方塊,單擊安全頁簽,然後單擊編輯。
在許可權對話方塊,單擊添加,按照頁面提示填寫相關資訊。
在使用Windows檔案總管查看SMB檔案系統時,如果需要回退本地磁碟路徑,請單擊回退(下圖中的標註1)或者上退(下圖中的標註2)按鈕,但是不要選中路徑中的某一段(下圖中的標註3)來回退。
在使用Windows檔案總管訪問和使用檔案系統時,阿里雲SMB檔案系統並沒有實際加入使用者的AD域。如果不是通過本地磁碟路徑C:\myshare訪問檔案系統,而是通過普通網路路徑\\nas-mount-point.nas.aliyuncs.com\myshare訪問,在設定ACL時,會遇到因RPC伺服器不可用而無法確定NAS掛載點是否已加入域的情況。
Windows檔案總管對C:\myshare修改許可權並不會應用到檔案系統的根目錄。修改根目錄許可權需要使用Set-Acl Powershell
命令或者icacls
命令列。
PowerShell命令
Windows PowerShell支援Get-Acl
和Set-Acl
來查看和編輯檔案或目錄ACL。
icacls命令
icacls命令是Windows命令列中的ACL操作標準命令。您可以通過icacls
命令查看和編輯檔案或目錄ACL。
樣本:
icacls z:
#添加使用者的完全控制許可權
icacls z: /grant <使用者名稱>:(F)
#添加administrator的完全控制許可權
icacls z: /grant administrator:(F)
icacls z:
#刪除使用者的所有許可權
icacls z: /remove <使用者名稱>
#刪除Everyone的所有許可權
icacls z: /remove <使用者名稱>
icacls z: