本文通過一個操作實例說明如何使用云存儲網關的Windows權限控制功能實現基于訪問權限的枚舉。

前提條件

  • 已經創建了SMB共享并開啟了Windows權限控制功能。詳細步驟請參見開啟Windows權限控制
  • 已經創建了Windows系統的ECS實例作為客戶端,該ECS實例必須與云存儲網關處于同一專有網絡中。詳細步驟請參見創建ECS實例
  • 域控制器里已有三個域用戶:Administrator、user1user2。

背景信息

Windows文件系統中,即使用戶沒有權限對某個文件或文件夾進行操作,該文件或文件夾對用戶依然默認可見。開啟云存儲網關的Windows權限控制功能后,掛載至客戶端的共享目錄可以啟用基于訪問權限的枚舉,使用戶只能看到自身有權限操作的文件或文件夾。

本文中ECS實例的操作系統為Windows Server 2012 R2數據中心版。

添加用戶權限

  1. 登錄云存儲網關控制臺
  2. 選擇目標文件網關所在的地域,然后在網關列表頁面,找到并單擊目標文件網關。
  3. 選擇共享頁簽,在目標SMB共享右側的操作列中單擊設置
  4. SMB共享設置對話框中,將創建好的Administrator、user1user2加入讀寫權限用戶中。
  5. 單擊確認

掛載共享目錄并設置文件夾權限

  1. 登錄創建好的Windows系統ECS實例。
  2. 打開計算機,單擊映射網絡驅動器
  3. 選擇驅動器,在文件夾框中輸入云存儲網關的掛載點,然后單擊完成

    您可以在云存儲網關控制臺中找到目標云存儲網關,并在其共享頁面查看掛載點。

  4. Windows安全對話框中,輸入Administrator及其密碼,單擊確定
    輸入用戶名時,需要在前面添加AD域名,格式為:<AD域名>\Administrator。
  5. 進入掛載后的共享目錄,創建兩個新文件夾:user1user2
  6. 右鍵單擊user1文件夾,單擊屬性,選擇安全頁簽。
  7. 按照以下步驟設置user1文件夾的權限,使得只有Administratoruser1對該文件夾有操作權限。
    1. 單擊高級,在權限頁簽,單擊禁用繼承,然后刪除EveryoneDomain Users權限,單擊應用確定
    2. 單擊編輯,在權限對話框中單擊添加,輸入user1并單擊檢查名稱
    3. Windows安全對話框中,輸入user1及其密碼,單擊確定
      輸入用戶名時,需要在前面添加AD域名,格式為:<AD域名>\user1。
  8. 按照步驟7中的方法設置user2文件夾的權限,使得只有Administratoruser2對該文件夾有操作權限。

驗證Windows權限控制功能

  1. 這臺電腦中,右鍵單擊掛載的共享目錄,單擊斷開
  2. 刷新后,按照掛載共享目錄并設置文件夾權限中的步驟2與步驟3重新掛載共享目錄。
  3. 分別使用user1、user2Administrator連接并進入掛載后的共享目錄。
    結果如下:
    • user1只能看到user1文件夾。
    • user2只能看到user2文件夾。
    • Administrator能夠看到user1user2文件夾。

這樣,我們就通過云存儲網關的Windows權限控制功能實現了共享目錄中基于訪問權限的枚舉。