从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

在完成AD域接入之后,用户即可开始以AD域用户身份挂载使用阿里云SMB协议文件系统了。本文介绍了几种SMB文件系统的挂在方式以及简单的ACL特性使用方法的演示。
SMB协议文件系统的老用户需要删除已有NAS文件系统挂载之后再重新挂载。
阿里云NAS SMB协议文件系统在连通AD域之前,都只支持以匿名方式来挂载,以Everyone用户的身份和权限来使用文件系统。当一个SMB协议文件系统开通AD认证功能之后,用户可以设置是否继续允许匿名挂载访问。

  • 如果一个SMB协议文件系统允许匿名访问,已加入AD域的设备将通过Kerberos认证以域用户身份进行挂载,而未加入AD域的设备可以通过NTLM认证协继续匿名挂载挂载,以Everyone用户的身份使用文件系统。
  • 如果一个SMB协议文件系统已设置为不允许匿访问,那该文件系统将只允许已加入AD域的设备通过Kerberos认证协议以域用户身份进行挂载。

:请使用Windows系统的命令行工具(cmd)运行本文中提供的命令。

NAS用户可以继续参考使用阿里云控制台提供的基于net use命令行工具的挂载命令来挂载文件系统。在该模式下,用户可以正常访问文件系统和查看文件或目录的ACL,但不能编辑修改ACL内容。以下为使用net use工具进行文件系统挂载的CMD命令模板:

net use [可用的目标盘符] [SMB协议NAS文件系统挂载点域名]

命令范例:

net use z: \\nas-mount-point.nas.aliyuncs.com\myshare

使用net use命令挂载SMB协议NAS文件系统的命令运行效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

关于net use工具的更多详情请参考微软官方文档:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/gg651155(v%3Dws.11))

创建符号链接,以子目录形式访问文件并可修改ACL

NAS用户也可以使用mklink命令行工具为NAS文件系统挂载点在Windows本地盘下生成符号链接,以访问Windows本地盘的子目录的形式来访问NAS文件系统。在该模式下,用户可以正常访问文件系统,也可以查看和编辑文件或目录的ACL。以下为使用mklink工具进行文件系统挂载的CMD命令模板:

mklink /D [符号链接的文件系统路径] [SMB协议NAS文件系统挂载点域名]

命令范例:

mklink /D c:\myshare \\nas-mount-point.nas.aliyuncs.com\myshare

使用mklink命令挂载SMB协议NAS文件系统的命令运行效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

关于mklink工具的更多详情请参考微软官方文档:

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/mklink

注意:Windows系统默认情况下只有系统管理员Administrator可以创建符号链接,如果普通用户需要创建符号链接,需要由管理员为该用户添加权限。以管理员权限搜索并运行secpol.msc, 并将指定用户加入“创建符号链接”的权限组中(如下图)。
权限设定完成之后需要该用户需要重新登录系统后才会生效。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

使用Windows文件资源管理器查看/编辑ACL

在挂载成功后,用户可以通过Windows的文件资源管理器(File Explorer)查看或编辑文件和目录的ACL。

下图为使用mklink工具以C盘下的符号链接的形式挂载使用SMB协议NAS文件系统后使用Windows的文件资源管理器(File Explorer)查看NAS文件系统中文件的安全属性(即ACL)的示例(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

这里需要注意的是,阿里云NAS文件系统并没有实际加入用户的AD域,所以通过普通网络文件系统方式设置ACL会遇到系统提示因RPC服务器不可用而无法确定NAS挂载点是否已加入域的情况。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

此时,通过mklink挂载的用户可以按下GIF动图的指示免去RPC调用从而编辑ACL。
从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

更多

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点:

  1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍,总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
  2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持,介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
  3. 安装并启用Active Directory域服务与DNS服务,介绍如何在VPC中安装并启用AD域服务和DNS服务。
  4. 将Windows系统机器加入AD域,介绍如何将windows机器加入AD域。
  5. 将阿里云SMB协议文件系统挂载点接入AD域,介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
  6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  7. Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  8. 阿里云SMB协议文件系统ACL权限控制使用指南,介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
  9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile,介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
  10. MacOS客户端连接阿里云NAS SMB文件系统,介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。
上一篇:SAP Commerce Cloud WCMS 里的 home 页面和 SAP Spartacus Page API 返回的数据比较


下一篇:【南京往事之PF澳洲项目】