如何管理 Windows 的 ACL 权限
概述
Synology NAS 支持的 ACL 服务,可让专业 IT 人员利用熟悉的 Windows 使用经验,方便地微调公司数据的安全性层级。所有使用者及群组的权限,可在富有弹性的权限规则下,于根层级 (共享文件夹) 及文件层级 (子文件夹及文件) 中设置,并且将设置套用至 Synology NAS 提供的其他文件分享服务:File Station、FTP、NFS、AFP。
本文章将引导您管理 Synology NAS 的 ACL 权限,并将 ACL 适当地从 Windows 服务器移转至 Synology NAS。
什么是 ACL?
访问控制列表 (Access Control List, ACL) 是 Windows 环境下依附于对象 (如文件、文件夹、或程序) 的访问控制项目 (Access Control Entry, ACE)。ACL 中的每个项目决定了用户或群组对象的访问权限。举例来说,如果 ACL 项目依附在「业务及会计报表」文件上的内容如下:「授权:业务 - 只读;授权:会计 - 修改;拒绝:工程师 - 禁止存取)」,那么属于「会计」群组的使用者拥有修改文件的权限,而业务经理只拥有读取的权限,工程师则连存取的权限都没有。
Synology NAS 支持的 ACL 功能,可能会提示您将文件从 Windows PC 移转至 Synology NAS。运行移转之前,请记住一件事:数据迁移过程中如有差错,很可能会导致 ACL 信息遗失。为避免此事发生,本文的最后一个章节将说明如何适当地移转 ACL 权限。
内容
开始进行之前的准备
管理 DiskStation 的 ACL
将 ACL 设置从 PC 服务器上移转
1 开始进行之前的准备
本文章假设您已经为 DiskStation 完成以下的准备工作:
Synology DiskStation 的硬件安装
Synology DiskStation Manager 的软件安装 (DSM,网页接口的 DiskStation 操作系统)
建立存储空间及共享文件夹 (请参阅此处)
建立 DSM 本机使用者 (请参阅此处)
将 Synology DiskStation 加入 Windows ADS 网域 (请参阅此处)
请参阅快速安装指南来了解更多硬盘及软件安装方式的相关信息。您也可以参阅 Synology DiskStation 使用手册 (可于 Synology下载中心取得) 来对本文介绍的各主题有概略的认识。
注意:
ACL 信息只能存储于以 DSM 30 及以上版本建立的存储空间,DSM 23 及之前的版本则不支持 ACL。
以下为无法启动 ACL 的共享文件夹:photo、surveillance、web、homes、NetBackup、usbshare、sdshare、esatashare。
2 管理 DiskStation 的 ACL
如果 DiskStation 上的存储空间是以 DSM 30 及以上版本建立而成,身为管理员的您 (DSM admin 或是属于 administrators 群组的使用者,亦或是网域管理员) 不仅可以为存储空间上的共享文件夹启动 ACL、通过 Windows 计算机存取文件夹上的文件,还可以为下列使用者或群组指定文件夹 (及其数据) 的 ACL 访问权限:
如果 DiskStation 有加入 ADS 网域,您可以为网域使用者或群组指定 ACL 访问权限。
如果 DiskStation 没有加入 ADS 网域,您可以为 DSM 本地使用者或群组指定 ACL 访问权限。
本章节说明如何为 DiskStation 共享文件夹启动 ACL,以及如何为共享文件夹中的文件编辑 ACL 访问权限。
重要:如果您想为网域使用者或群组编辑 ACL 权限,请确认您的 Windows 计算机及 DiskStation 是否已加入同一个 ADS 网域。
若要为 DiskStation 共享文件夹启动 ACL:
请以管理员 (DSM admin 或是属于 administrators 群组的使用者) 或是网域管理员的身分登入 DSM。
注意:如果您想以网域管理员的身分登入,请在使用者名称字段输入网域_名称\使用者名称。
前往主选单 > 控制面板 > 共享文件夹,然后新增或选择存储空间上的目的地共享文件夹,该存储空间必须是以 DSM 30 及以上版本建立而成。
单击编辑,单击 Windows 访问控制列表页签,选择允许编辑 Windows 访问控制列表,然后单击确定。
选择文件夹列表上的共享文件夹,单击权限设置,然后运行下列操作,以确认管理员确实拥有存取共享文件夹的完整权限:
如果 DiskStation 有加入 ADS 网域,请从下拉式选单选择网域使用者,确认网域管理员拥有该共享文件夹的读写权限,然后单击确定。
如果 DiskStation 没有加入 ADS 网域,请从下拉式选单选择本地使用者,确认 DSM 管理员 (admin 或是属于administrators 群组的使用者) 拥有该共享文件夹的读写权限,然后单击确定。
若要为使用者或群组指定文件或文件夹的 ACL 权限:
请参阅此处的方法 2 来学习如何通过 CIFS 存取 DiskStation 上存放的文件。当画面上出现认证信息提示时,请使用若要为 DiskStation 共享文件夹启动 ACL 章节中提到的使用者凭证信息:
如果 DiskStation 有加入 ADS 网域,请使用网域管理员的使用者凭证信息来进行认证。
如果 DiskStation 没有加入 ADS 网域,请使用 DSM 管理员的使用者凭证信息来进行认证。
以鼠标右键点按共享文件夹里的文件或文件夹,选择内容,然后单击安全性页签。您可以在这里看到用户或群组清单,及其文件或文件夹的 ACL 权限。依照预设,Everyone 群组 (包括所有 DSM 本地群组及网域群组) 拥有读、写、修改共享文件夹中文件或文件夹的权限。
单击编辑 > 新增 (在 Windows XP 环境下请直接按新增)。在显示的窗口中,您会在从这个位置字段中看到以下任一信息:
如果 DiskStation 有加入 ADS 网域,您可以看到 ADS 网域的名称。
如果 DiskStation 没有加入 ADS 网域,您可以看到 DiskStation 的 IP 或 DiskStation 的名称。
请在输入对象名称来选取字段输入以下任一信息:
如果 DiskStation 有加入 ADS 网域,请输入网域使用者 / 群组的名称,单击检查名称来验证该使用者 / 组名,然后单击确定。
如果 DiskStation 没有加入 ADS 网域,请输入 DSM 本地使用者 / 群组的名称,单击检查名称来验证该使用者 / 组名,然后单击确定。
现在您已经可以在清单上看到新增的使用者或群组。选择使用者或群组,然后勾选 [使用者或群组] 的权限区块中的允许或拒绝复选框,以设置他们存取文件夹或文件的权限 (请见第 2 步骤)。
单击套用。
关于权限继承及冲突:
ACL 权限采继承制,由父对象延伸至子对象。举例来说,如果「业务」文件夹的 ACL 项目赋予用户「小美」只读的权限,那么 ACL 项目就可以套用到「业务」文件夹里的所有文件 (例如:「年度报表xls」),也就是说,使用者可以开启文件夹中所有文件。继承权限会以灰色复选标记显示,父对象权限则以黑色表示。
若是遇到权限冲突的情况,优先层级会落在拒绝权限上。在上述例子中,基于权限继承的特性,小美拥有「业务」文件夹以及该文件夹内「年度报表xls」的只读权限。如果现在情况改变,小美在「业务」文件夹的只读权限被拒绝,但仍赋予其「年度报表xls」的只读权限,她还是无法开启「年度报表xls」,因为从「业务」文件夹继承而来的拒绝权限优先于其他存取规则。
3 将 ACL 设置从 PC 服务器上移转
在办公环境下,所有计算机都会一并加入同一个 ADS 网域,但如果 PC 服务器的存储空间出现不足的情况,IT 专业人员可能就需要以 Synology DiskStation 取代 PC 服务器,做为公司的数据中心。不过,在数据迁移的过程中,一定会遇到一件令人头痛的事:原先设置好的 ACL 权限无法原封不动地搬移至目的地文件夹 (请参阅此处来取得详细信息)。
ACL<访问控制列表(Access Control List)>
♫ 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
♫ ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
ACL作用
♫ 可以限制网络流量、提高网络性能。
♫ 提供对通信流量的控制手段。
♫ 是提供网络安全访问的基本手段。
♫ 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
ACL 3P原则
♬ 每种协议一个 ACL
♬ 每个方向一个 ACL
♬ 每个接口一个 ACL
ACL执行过程
♬ 一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。 ♬ 数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
♬ 如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。
♬ Cisco隐藏语句 deny any any
ACL分类
♬ 标准ACL
♬ 扩展ACL
♬ 命名ACL
♬ 时间ACL
♬ 自反ACL
♬ 动态ACL
♬ Established ACL
♬ 限速ACL
♬ 分类ACL
♬ Turbo ACL
♬ 设备保护 ACL
♬ 过境ACL
♬ 分布式时间ACL
我是合肥清默的学员,想知道更多的知识,请加入知识群:137962123
r3(config)#access-list permit tcp 19216812 000255 host 1111 eq http //允许指定IP段访问指定IP的指定服务
r3(config)# access-list 110 permit tcp 19216812 000255 host 1111 eq dns
r3(config)#access-list 110 permit tcp 19216813 000255 host 1111 eq http
r3(config)# access-list 110 permit tcp 19216813 000255 host 1111 eq dns
r3(config)# access-list 110 deny ip any any
r3(config)#int f0/1
r3(config-if)#ip access-group 110 in 在端口中实现。
指定四个语句,允许访问的两个服务到1111这样不至将来填加一个1112的服务的时候,会默认给阻止掉了。
上面两个仁兄,思路没问题,第一个要建立两个ACL,但是一个接口的同一个方向,只能用一条ACL,所以你配置两个ACL,行不通。 第二个DENY19216810的网段思路没问题。可是这样这个IP访问其他服务器的这两个服务的时候,就会阻止,而且,你这个还少一个any 关键字。
0条评论