NAS 471 Windows ACL 存取權限簡介 使用 Windows ACL 管理資料存取權限 A S U S T O R C O L L E G E
課程目的 完成此課程後您將能夠 : 1. 了解 ASUSTOR NAS 的 Windows ACL 權限原則 2. 使用 Windows ACL 管理資料存取權限 必修項目 課程必修項目 : NAS 106 在 Microsoft Windows 上使用 NAS 學生須先具備以下知識 : ASUSTOR NAS 的初始化安裝建立 olume 及共用資料夾建立 ADM 本機使用者 大綱 1. Windows ACL 簡介 1.1 什麼是 Windows ACL 1.2 我需要啟用 Windows ACL 嗎 2. 設定 Windows ACL 2.1 功能啟用 2.2 使用 ADM 檔案總管設定 2.3 使用 Windows 檔案總管設定 2.4 Windows ACL 權限規則及注意事項 2.5 如何搬移物件至 NAS 同時保有原本 ACL 設定 A S U S T O R C O L L E G E / 2
1. Windows ACL 簡介 1.1 什麼是 Windows ACL Windows ACL 是微軟為 NTFS 檔案系統設計的 13 種細部權限, 套用對象可以是特定使用者或群組, 在這種架構下管理者能對資料夾或檔案存取做更細膩的配置 另外, 在許多企業廣泛採用的 Windows AD 網域架構中, 資料 ACL 權限的套用對象能擴及到網域使用者及群組 無論使用者在網域中哪一台電腦登入, 只要帳號是一樣的, 權限規則都會一致,IT 人員無需為每台伺服器或工作站 PC 分別制定權限控管的規則, 可大幅增加管理效率 為使華芸 NAS 更密切的與 AD 網域結合, 以達到簡化 IT 管理, 提高生產力的目的, 我們將 Windows ACL 權限系統與 ADM 做深度整合, 並提供以下特點 : 1. 能夠針對個別共用資料夾啟用 Windows ACL 2. 完整支援 Windows 13 種進階存取權限設定 3. 可在 ADM 詳細觀看 Windows ACL 的有效權限 4. 支援網域使用者及群組 5. ACL 設定可套用至 Samba,File Explorer,AFP,FTP,WebDA,Rsync 等資料傳輸協定 1.2 我需要啟用 Windows ACL 嗎 如同上面章節所述,Windows ACL 提供了多達 13 個權限選項, 套用對象為本機和網域 ( 若 NAS 已成功加入 AD) 的所有使用者和群組 一旦規劃不當, 有可能發生所有的人都無法存取某些資料夾或檔案的情形 當然, 這種錯誤狀況可以藉由 admin 帳號取得擁有權的作法解除, 但是在問題發生到解決之間所花費的時間和人力也是一種無形的成本 華芸 NAS 是基於 Linux 作業系統所開發的伺服器, 所以 ADM 原生的設計沿用了 Linux 的存取控制機制, 也就是 : 可供設定權限 :RW ( 可讀寫 ),RO ( 唯讀 ),DA ( 拒絕存取 ) 權限套用對象 : 擁有者, 擁有者所屬群組, 其他選項少, 意謂著設定簡單 ; 但是相對的, 權限配置的變化及彈性就很有限 例如 : 使用 Linux 的權限機制就無法做到某個使用者能寫入資料, 但無法刪除的配置 因此, 如果您的 NAS 僅供個人及分享給有限的親朋好友使用, 建議使用 ADM 原生存取控制機制即可 若是供公司資料儲存用途, 仍需由 IT 人員進行 ACL 啟用與否的評估, 並且預先做好權限配置的規劃 A S U S T O R C O L L E G E / 3
我們提供了可針對單一共用資料夾選擇啟用或停用 ACL 的設定彈性, 對於事前評估與規劃非常有幫助 您可以建立一個測試用共用資料夾, 啟用 Windows ACL 之後進行設定, 然後檢查是否使用者的存取控制都符合預期, 確認後再將規則正式套用到目的端共用資料夾 避免規劃上的疏忽使得資料無法存取, 影響公司正常營運 A S U S T O R C O L L E G E / 4
2. 設定 Windows ACL 2.1 如何啟用 Windows ACL 新建共用資料夾 以 admin 帳號或是隸屬於 administrator 群組的帳號登入 ADM, 點選 存取控制 > 共用資料夾 > 新增 輸入共用資料夾名稱後, 按 下一步 A S U S T O R C O L L E G E / 5
設定共用資料夾存取權限後, 勾選 開啟 Windows ACL 選項, 按 下一步 注意 : 共用資料夾的 存取權限 是第一層的權限檢查 如果某個使用者或群組在這裡未被賦予讀寫權限, 即使 Windows ACL 有作設定亦會被阻擋 因此, 啟用 Windows ACL 之共用資料夾, 建議在 存取權限 的設定從寬, 由 Windows ACL 制定詳細存取規則 按下 完成, 啟用 Windows ACL 的共用資料夾即新增完成 為既有的共用資料夾啟用 Windows ACL 以 admin 帳號或是隸屬於 administrator 群組的帳號登入 ADM, 點選 存取控制 > 共用資料夾 A S U S T O R C O L L E G E / 6
> 選擇欲啟用 Windows ACL 的共用資料夾 > 編輯 選擇 Windows ACL 標籤 > 勾選 開啟 Windows ACL > 按 關閉 即完成啟用步驟 關於 Windows ACL 1. 啟用 Windows ACL 之後, 該共用資料夾以及其內含的所有子資料夾 / 檔案都可以個別指派使用者或群組權限 2. 下列共用資料夾不支援 Windows ACL 權限管理系統 :Home,User Homes,Photo Gallery,Web,Surveillance,MyArchive, 資源回收桶, 虛擬磁碟, 外接裝置 (USB 硬碟, 光碟機 ) 3. 啟用 Windows ACL, 您將可以使用 ADM 檔案總管或是 Windows 檔案總管自訂權限 ; 停用 Windows ACL, 您將只能從 ADM 檔案總管設定權 A S U S T O R C O L L E G E / 7
限 4. 如啟用 Windows ACL 而後續停用此功能, 所有資料夾 / 檔案將被重新設定為所有使用者都能完整存取 5. 無論使用 Windows ACL 與否, 使用者都將需要共用資料夾與檔案兩方的權限來存取檔案 2.2 使用 ADM 檔案總管設定 ADM > 檔案總管 > 在啟用 Windows ACL 的共用資料夾 ( 子資料夾或檔案 ) 按滑鼠右鍵, 選擇 屬性 在 屬性 頁面選擇 權限 標籤, 可看到目前配置給這個物件的權限清單, 還可進行權限的管理 A S U S T O R C O L L E G E / 8
為一個共用資料夾啟用 Windows ACL 後, 系統預設會配置可讀寫, 但是不能刪除的權限給 Everyone,administrators 群組和 admin 帳號, 且套用到共用資料夾本身, 不會向下繼承 這些預設權限可使用 編輯 或 移除 按鈕作修改 注意 : 單一檔案或資料夾支援 Windows ACL 權限總和 ( 包含繼承權限 ) 為 250 筆 包括從此物件的父項繼承而來的權限 : 此選項預設為勾選, 系統預設子資料夾或檔案會從上一層物件繼承權限 取消勾選即會拒絕所有繼承的權限, 僅保留新增之權限 以這個物件的繼承權限取代所有子物件的權限 : 勾選此選項, 則所有子資料夾和檔案的所有權限項目都會重設為從父物件繼承而來的權限項目 在這裡能進行的管理功能有 : 新增點擊 新增 按鈕為這個物件建立新的權限項目 A S U S T O R C O L L E G E / 9
使用者或群組 : 指定您想自訂權限的使用者或群組 類別 : 選擇 允許 或 拒絕 來授予或拒絕使用者或群組的權限 套用到 : 此選項僅在為資料夾設定權限時出現 您可以從下拉式選單選擇這筆新增權限套用的位置, 套用方式視您是否選取 僅套用這些權限到此容器中的物件及 ( 或 ) 容器 而定 當清除 僅套用這些權限到此容器中的物件及 ( 或 ) 容器 核取方塊時 套用在 套用權限到目前資料夾 套用權限到目前資料夾中的子資料夾 套用權限到目前資料夾中的檔案 套用權限到所有後續子資料夾 套用權限到所有後續子資料夾中的檔案 只有這個資 料夾 這個資料 夾 子資料 夾及檔案 A S U S T O R C O L L E G E / 10
這個資料夾 及子資料夾 這個資料夾 及檔案 只有子資料 夾及檔案 只有子資料 夾 只有檔案 當選取 僅套用這些權限到此容器中的物件及 ( 或 ) 容器 核取方塊時 套用在 套用權限到目前資料夾 套用權限到目前資料夾中的子資料夾 套用權限到目前資料夾中的檔案 套用權限到所有後續子資料夾 套用權限到所有後續子資料夾中的檔案 只有這個資 料夾 這個資料 夾 子資料 夾及檔案 這個資料夾 及子資料夾 這個資料夾 及檔案 只有子資料 夾及檔案 只有子資料 夾 只有檔案 Windows ACL 的 13 種權限, 其涵義敘述如下 : - 周遊資料夾 / 執行檔案 : 套用在資料夾, 表示即使沒有資料夾的其他權限, 也可以切換到該資料夾中 ; 套用在檔案, 表示可以執行該檔案 A S U S T O R C O L L E G E / 11
- 列出資料夾 / 讀取資料 : 套用在資料夾, 表示可以檢視其中的子資料夾名稱與檔案名稱 ; 套用在檔案, 表示可以讀取檔案內容 - 讀取屬性 : 可以檢視資料夾或檔案的唯讀 隱藏 壓縮及加密等一般屬性 - 讀取擴充屬性 : 可以檢視資料夾或檔案的擴充屬性, 不同類型的檔案會有不同的擴充屬性, 例如 WORD 檔有自訂與摘要 2 個擴充屬性 - 建立檔案 / 寫入資料 : 套用在資料夾, 表示可以在其中建立新的檔案 ; 套用在檔案, 表示可以修改現有的檔案內容, 但無法在檔案的後面附加新的資料 - 建立資料夾 / 附加資料 : 套用在資料夾, 表示可以在其中建立新的子資料夾 ; 套用在檔案, 表示可以在檔尾附加上新的資料, 但不能修改現有檔案內容 - 寫入屬性 : 表示可以修改資料夾或檔案的一般屬性 - 寫入擴充屬性 : 表示可以修改資料夾或檔案的擴充屬性 - 刪除子資料夾及檔案 : 表示可以刪除資料夾中的子資料夾與檔案 - 刪除 : 表示可以刪除資料夾或檔案 - 讀取權限 : 表示可以檢視資料夾或檔案的權限設定 - 變更使用權限 : 表示可以修改資料夾或檔案的權限設定 - 取得擁有權 : 表示可以取得資料夾或檔案的擁有權 資料夾或檔案的擁有者, 無論其對資料夾或檔案的權限為何, 永遠具備有修改此資料夾或檔案權限的能力 編輯選取一筆既有的權限, 點擊 編輯 按鈕即可進行修改 移除選取一筆既有的權限, 點擊 移除 即可將此權限由該物件移除 有效權限按下此按鈕並由使用者清單進行選擇, 可檢視特定使用者或群組對該檔案或資料夾的有效權限 此有效權限是由 Windows ACL 與共用資料夾權限共同計算出來的結果 A S U S T O R C O L L E G E / 12
2.3 使用 Windows 檔案總管設定 1. 請參考 NAS 106: 在 Microsoft Windows 上使用 NAS 使用有管理權限之帳號將已啟用 Windows ACL 的資料夾連線成網路磁碟機 2. 以滑鼠右鍵點按共用資料夾裡的檔案或資料夾, 選擇 內容, 然後按一下 安全性 頁籤 您可以在這裡看到使用者或群組清單, 及其檔案或資料夾的 ACL 權限 如果一個物件同時擁有繼承自父物件的權限和明確定義的權限, 繼承權限會以反灰的顏色勾選, 明確權限以黑色勾選 3. 按下 編輯 > 新增 在顯示的視窗中, 您會在 從這個位置欄位 中看到以下任一資訊 : - 如果 NAS 有加入 AD 網域, 您可以看到 AD 網域的名稱 - 如果 NAS 沒有加入 AD 網域, 您可以看到 NAS 的 IP 或名稱 A S U S T O R C O L L E G E / 13
4. 在 輸入物件名稱來選取 欄位輸入以下任一資訊 : - 如果 NAS 有加入 AD 網域, 請輸入網域使用者 / 群組的名稱, 按一下 檢查名稱 來驗證該使用者 / 群組名稱, 然後按一下 確定 - 如果 NAS 沒有加入 AD 網域, 請輸入 ADM 本地使用者 / 群組的名稱, 按一下 檢查名稱 來驗證該使用者 / 群組名稱, 然後按一下 確定 5. 現在您已經可以在清單上看到新增的使用者或群組 選擇使用者或群組, 然後勾選權限區塊中的允許或拒絕核取方塊, 以設定他們存取資料夾或檔案的權限 按下 套用 使設定生效 A S U S T O R C O L L E G E / 14
2.4 Windows ACL 權限規則及注意事項 2.4.1 ACL 權限衝突時若是遇到 Windows ACL 權限衝突的情況, 優先層級會落在物件本身的明確權限上 以下例說明, 使用者 Helen 自上層資料夾繼承而來的權限為 允許讀取和執行, 但是直接賦予檔案 app2.docx 的明確權限為 拒絕讀取和執行, 因此 Helen 還是無法開啟這個檔案 A S U S T O R C O L L E G E / 15
如果狀況相反,Helen 由父資料夾繼承權限為 拒絕讀取, 但直接賦予 app2.docx 的明確權限為 允許讀取, 那麼 Helen 就可以開啟此檔案 2.4.2 檔案 / 資料夾搬移的規則 複製 (Copy) 移動 (Move) A1. 未啟用 ACL 保留既有權限保留既有權限 同一個共用資料夾 內搬移 A2. 啟用 ACL 清除來源資料夾的繼承 ACL 清除本身的明確 ACL 套用目的資料夾的繼承 ACL 清除來源資料夾的繼承 ACL 保留本身的明確 ACL 套用目的資料夾的繼承 ACL A S U S T O R C O L L E G E / 16
B1. 未啟用 ACL 未啟用 ACL 保留既有權限 保留既有權限 B2. 不同共用資料夾之 未啟用 ACL 啟用 ACL 套用目的資料夾的繼承 ACL 套用目的資料夾的繼承 ACL 間搬移 B3. 啟用 ACL 未啟用 ACL 清除所有 ACL 權限被重新設定為 " 所有使用者都能完整存取 " 清除所有 ACL 權限被重新設定為 " 所有使用者都能完整存取 " B4. 啟用 ACL 啟用 ACL 清除來源資料夾的繼承 ACL 清除本身的明確 ACL 套用目的資料夾的繼承 ACL 清除來源資料夾的繼承 ACL 清除本身的明確 ACL 套用目的資料夾的繼承 ACL 例外規則 : 當啟用 ACL 資料夾內的資料被刪除而移動到 資源回收桶 時, 並非套用上表 B3 之原則 ; 否則某個原本被限制讀取的檔案, 一旦刪除進入 資源回收桶 後, 即可被所有人存取 為檔案隱私及安全性考量, 由啟用 ACL 的資料夾搬移到 資源回收桶 內的檔案權限會被重新設定為 僅檔案擁有者可讀寫, 其他所有使用者拒絕存取 2.4.3 檔案刪除的權限配置 與 使用者可否執行檔案刪除 相關的權限有兩個 : 1. 使用者對該檔案有 刪除 的明確權限 ; 2. 使用者對該檔案的父資料夾擁有 " 刪除子資料夾及檔案 " 權限 若任一權限被設為 拒絕, 則使用者無法刪除該檔案 唯有在兩個權限皆未被設定 拒絕, 且任一權限被設為 允許 的狀況下, 使用者才可刪除該 檔案 2.4.4 物件的擁有權 A S U S T O R C O L L E G E / 17
當一個共用資料夾被啟用 Windows ACL 之後, 其內含的每個物件 ( 包括子資料夾, 檔案 ) 都有擁 有者 在 ADM 的檔案總管選擇物件, 按滑鼠右鍵, 選擇 屬性, 在 一般 標籤下就可看到該 物件的擁有者 物件的擁有者最重要的特性為可以設定此物件的 ACL 以上例說明,John 為資料夾 ttt 的擁有者, 因此 John 可以對 ttt 這個資料夾以及內含子資料夾, 檔案設定 ACL 每個新增的物件其建立者即為預設的擁有者 ; 除此之外,administrator 群組成員對所有物件都有變更擁有者的能力 舉上圖為例, 要將資料夾 ttt 的擁有權轉移給其他使用者 ( 如 :Helen), 除了 John 之外, 所有 administrator 群組成員也都可以進行這項作業 一旦 Helen 成為資料夾 ttt 的擁有者, 即使原本她不具有其子資料夾或檔案的存取權限, 也可重新設定 2.5 如何搬移物件至 NAS 同時保有原本 ACL 設定 當網路環境中所有 Windows PC 和 NAS 都加入同一個 AD 網域後, 網域中所有帳號及權限原則都可被整合為一 然而, 當檔案 / 資料夾由 PC 伺服器搬移至 NAS 時, 會套用 2.4.2 章節所說明的規則, 原有的 ACL 權限將不被保留, 而造成 IT 人員需另行設定的困擾 如欲移轉檔案 / 資料夾至 NAS, 同時又保留原本的 ACL 設定, 可使用免費第三方工具軟體 Fastcopy (http://ipmsg.org/tools/fastcopy.html.en) 以下為您說明操作步驟: 1. 請參考 NAS 106: 在 Microsoft Windows 上使用 NAS 使用有管理權限之帳號將已啟用 Windows ACL 的資料夾連線成網路磁碟機 在此取名為 Z: 為範例 A S U S T O R C O L L E G E / 18
2. 執行 Fastcopy 程式 3. [Source]: 在此指定來源資料夾 [DestDir]: 在此指定目的端資料夾 ( 也就是步驟一設定好的網路磁碟機 Z:) 勾選下方的 ACL 選項, 讓 Fastcopy 在搬移資料時一併保留原本 ACL 屬性 按下 Execute 開始執行資料搬移 A S U S T O R C O L L E G E / 19
4. 搬移完成後, 目的端資料仍會保有與來源端相同之 ACL 權限 ( 包含所有明確及繼承權限 ); 而 且不會繼承任何來自目的端父系物件的權限 A S U S T O R C O L L E G E / 20