Windows用戶端以AD域使用者身份掛載並使用SMB檔案系統

您可以使用mklink命令列工具，在Windows本地磁碟為SMB檔案系統掛載點產生符號連結，同時查看和編輯檔案或目錄的ACL。

1. 使用命令提示字元工具建立檔案系統映射。

   mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare

   其中，\myshare為符號連結的檔案系統路徑，nas-mount-target.nas.aliyuncs.com\myshare為SMB檔案系統的掛載點。

2. 為普通使用者添加使用符號連結的許可權。

   如果您使用系統管理員Administrator，請跳過此步驟。

   1. 使用系統管理員Administrator搜尋並運行secpol.msc。

   2. 在本地安全性原則對話方塊，選擇本地策略使用者權限分配，按照頁面提示將指定使用者加入建立符號連結的許可權組中。

   3. 使用普通使用者重新登入Windows用戶端。

3. 訪問SMB檔案系統並查看檔案或目錄ACL。

   產生符號連結後，您可以以訪問Windows本地磁碟子目錄的形式訪問SMB檔案系統，同時支援查看和編輯檔案或目錄的ACL。

在Windows本地磁碟為SMB檔案系統掛載點產生符號連結，可以通過Windows的檔案總管（File Explorer）查看、編輯檔案和目錄的ACL。

1. 找到目標檔案或目錄，按右鍵屬性。

2. 在屬性對話方塊，單擊安全頁簽，然後單擊編輯。

3. 在許可權對話方塊，單擊添加，按照頁面提示填寫相關資訊。

在使用Windows檔案總管查看SMB檔案系統時，如果需要回退本地磁碟路徑，請單擊回退（下圖中的標註1）或者上退（下圖中的標註2）按鈕，但是不要選中路徑中的某一段（下圖中的標註3）來回退。

在使用Windows檔案總管訪問和使用檔案系統時，阿里雲SMB檔案系統並沒有實際加入使用者的AD域。如果不是通過本地磁碟路徑C:\myshare訪問檔案系統，而是通過普通網路路徑\\nas-mount-point.nas.aliyuncs.com\myshare訪問，在設定ACL時，會遇到因RPC伺服器不可用而無法確定NAS掛載點是否已加入域的情況。

Windows PowerShell支援Get-Acl和Set-Acl來查看和編輯檔案或目錄ACL。

• Get-Acl

  $value = Get-Acl -Path "Z:"# Set properties
  $value.Access

  

  Set properties
  $identity = "Administrator"
  $fileSystemRights = "FullControl"
  $type = "Allow"
  # Create new rule
  $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
  $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
  # Apply new rule
  $value.SetAccessRule($fileSystemAccessRule)
  $value.Access

  

• Set-Acl

  Set-Acl命令修改許可權不需要mylink c:\myshare捷徑，可以直接修改掛載盤路徑，也可以修改根目錄許可權。

  Set-Acl $value -Path "Z:"

  重要

  根目錄許可權修改最好在檔案系統剛建立時就設定妥當，否則由於繼承機制，命令會需要修改子目錄和子檔案。

icacls命令是Windows命令列中的ACL操作標準命令。您可以通過icacls命令查看和編輯檔案或目錄ACL。

樣本：

icacls z:
#添加使用者的完全控制許可權
icacls z: /grant <使用者名稱>:(F)
#添加administrator的完全控制許可權
icacls z: /grant administrator:(F)
icacls z:
#刪除使用者的所有許可權
icacls z: /remove <使用者名稱>
#刪除Everyone的所有許可權
icacls z: /remove <使用者名稱>
icacls z: