本文介紹在Windows操作系統中,如何以AD域身份掛載SMB文件系統。以及掛載成功后,如何以AD域身份訪問SMB協議文件系統,查看和編輯文件或目錄的ACL。
前提條件
SMB文件系統掛載點已接入AD域。具體操作,請參見將SMB文件系統掛載點接入AD域。
背景信息
在SMB文件系統掛載點接入AD域前,僅支持以匿名用戶身份掛載并使用SMB文件系統。在SMB文件系統掛載點接入AD域后,您可以設置是否繼續允許匿名用戶身份掛載訪問。
如果繼續允許匿名訪問文件系統,設備可以通過Kerberos認證以域身份訪問文件系統,也可以通過NTLM認證以Everyone身份訪問文件系統。
如果已設置為不允許匿名訪問文件系統,該文件系統將只允許通過Kerberos認證協議的Windows客戶端以AD域用戶身份進行掛載。
方式一:Windows客戶端加入AD域并掛載SMB文件系統
以下步驟將以Windows Server 2012版本操作系統為例介紹如何將Windows客戶端加入AD域并掛載SMB文件系統。
配置Windows客戶端的DNS服務器地址。
登錄Windows客戶端。
在桌面左下角,單擊開始。
在開始菜單欄,單擊控制面板。
在控制面板對話框,選擇。
在網絡與共享中心對話框查看活動網絡區域,單擊以太網。
在以太網屬性對話框,單擊屬性。
在以太網屬性對話框此連接使用下列項目:區域,選中Internet協議版本4(TCP/IPv4),單擊屬性。
在Internet協議版本4(TCP/IPv4)屬性對話框,選中使用下面的DNS服務器地址,設置DNS服務器地址為AD域服務器的IP地址。
使用命令提示符工具執行ping命令,pingAD域名,驗證Windows客戶端和AD域之間的連通性。
將Windows客戶端加入AD域。
在控制面板對話框,選擇。
在系統對話框計算機名、域和工作組設置區域,單擊更改設置。
在系統屬性對話框,單擊更改。
在計算機名/域更改對話框,填寫已搭建的AD域名。根據界面提示,單擊確定完成配置。
重啟Windows客戶端,使修改配置生效。
掛載SMB文件系統。
以AD域身份登錄Windows客戶端,使用命令提示符工具執行以下命令,掛載SMB文件系統。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare
方式二:Windows客戶端連接AD服務器并掛載SMB文件系統
以下步驟將以Windows Server 2012版本操作系統為例介紹通過配置DNS服務器連接AD服務器,然后掛載SMB文件系統。
配置Windows客戶端的DNS服務器地址。
登錄Windows客戶端。
在桌面左下角,單擊開始。
在開始菜單欄,單擊控制面板。
在控制面板對話框,選擇。
在網絡與共享中心對話框查看活動網絡區域,單擊以太網。
在以太網屬性對話框,單擊屬性。
在以太網屬性對話框此連接使用下列項目:區域,選中Internet協議版本4(TCP/IPv4),單擊屬性。
在Internet協議版本4(TCP/IPv4)屬性對話框,選中使用下面的DNS服務器地址,設置DNS服務器地址為AD域服務器的IP地址。
使用命令提示符工具執行ping命令,pingAD域名,驗證Windows客戶端和AD域之間的連通性。
掛載SMB文件系統。
在Windows客戶端,使用命令提示符工具執行以下命令,以AD域身份掛載SMB文件系統。
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD其中,
EXAMPLE.com為您已搭建的AD域名。
管理SMB文件系統ACL
開啟ACL功能并以AD域身份掛載SMB文件系統后,您可以采用以下方式查看和編輯文件或目錄ACL。
mklink命令行工具
您可以使用mklink命令行工具,在Windows本地磁盤為SMB文件系統掛載點生成符號鏈接,同時查看和編輯文件或目錄的ACL。
使用命令提示符工具創建文件系統映射。
mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare其中,
\myshare為符號鏈接的文件系統路徑,nas-mount-target.nas.aliyuncs.com\myshare為SMB文件系統的掛載點。為普通用戶添加使用符號鏈接的權限。
如果您使用系統管理員Administrator,請跳過此步驟。
使用系統管理員Administrator搜索并運行secpol.msc。
在本地安全策略對話框,選擇本地策略用戶權限分配,按照頁面提示將指定用戶加入創建符號鏈接的權限組中。
使用普通用戶重新登錄Windows客戶端。
訪問SMB文件系統并查看文件或目錄ACL。
生成符號鏈接后,您可以以訪問Windows本地磁盤子目錄的形式訪問SMB文件系統,同時支持查看和編輯文件或目錄的ACL。
Windows文件資源管理器
在Windows本地磁盤為SMB文件系統掛載點生成符號鏈接,可以通過Windows的文件資源管理器(File Explorer)查看、編輯文件和目錄的ACL。
找到目標文件或目錄,右鍵單擊屬性。
在屬性對話框,單擊安全頁簽,然后單擊編輯。
在權限對話框,單擊添加,按照頁面提示填寫相關信息。
在使用Windows文件資源管理器查看SMB文件系統時,如果需要回退本地磁盤路徑,請單擊回退(下圖中的標注1)或者上退(下圖中的標注2)按鈕,但是不要選中路徑中的某一段(下圖中的標注3)來回退。
在使用Windows文件資源管理器訪問和使用文件系統時,阿里云SMB文件系統并沒有實際加入用戶的AD域。如果不是通過本地磁盤路徑C:\myshare訪問文件系統,而是通過普通網絡路徑\\nas-mount-point.nas.aliyuncs.com\myshare訪問,在設置ACL時,會遇到因RPC服務器不可用而無法確定NAS掛載點是否已加入域的情況。
Windows文件資源管理器對C:\myshare修改權限并不會應用到文件系統的根目錄。修改根目錄權限需要使用Set-Acl Powershell命令或者icacls命令行。
PowerShell命令
Windows PowerShell支持Get-Acl和Set-Acl來查看和編輯文件或目錄ACL。
$value = Get-Acl -Path "Z:"# Set properties $value.Access
Set properties $identity = "Administrator" $fileSystemRights = "FullControl" $type = "Allow" # Create new rule $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList # Apply new rule $value.SetAccessRule($fileSystemAccessRule) $value.Access
Set-Acl命令修改權限不需要
mylink c:\myshare快捷方式,可以直接修改掛載盤路徑,也可以修改根目錄權限。Set-Acl $value -Path "Z:"重要根目錄權限修改最好在文件系統剛創建時就設置妥當,否則由于繼承機制,命令會需要修改子目錄和子文件。
icacls命令
icacls命令是Windows命令行中的ACL操作標準命令。您可以通過icacls命令查看和編輯文件或目錄ACL。
示例:
icacls z:
#添加用戶的完全控制權限
icacls z: /grant <用戶名>:(F)
#添加administrator的完全控制權限
icacls z: /grant administrator:(F)
icacls z:
#刪除用戶的所有權限
icacls z: /remove <用戶名>
#刪除Everyone的所有權限
icacls z: /remove <用戶名>
icacls z:
