企业用户认证及文件权限控制【手把手操作指南】


1. 场景说明


千玺水泵公司拥有三个部门,销售部、财务部和信息技术部。其中销售部包括部长有10名员工,财务部包括部长共5名员工,信息技术部包括部长共1名员工。

企业用户认证及文件权限控制【手把手操作指南】

图1 千玺水泵有限公司组织架构图

要求:

  • 文件系统根目录下有销售部、财务部、信息技术部各部门目录。
  • 每个部门目录下有部门每个员工自己的主目录。
  • 依据公司保密规则,销售部和财务部相互之间不可访问对方数据。
  • 部门内部,员工不可以互访个人主目录。
  • 部门内部,可以访问和修改部门共享目录内的文件。
  • 信息技术部员工可以管理控制整个文件系统。


企业用户认证及文件权限控制【手把手操作指南】

图2 场景IT部署框架


千玺水泵信息技术人员王刚在阿里云ECS上部署一台AD域服务器,负责管理用户信息,域信息与NAS 文件系统连通。千玺水泵公司有多个类型客户端接入,包括Windows,MacOS,Linux机器,有些已经加入了AD域,有些新机器没有加入AD域,但是网络可以连接到AD域服务器,完成挂载文件系统时的身份验证操作。这里选择终端为最常见的Windows的机器演示。选择销售部李大、李二,金融部金盼盼,信息技术部王刚四个终端来演示不同部门不同用户的权限访问和文件管理。

特别提醒:动图播放块,可以下载再手动播放。

2. 名词解释

目前,阿里云文件存储 NAS 支持用户VPC(Virtual Private Cloud)或者用户IDC(Internet Data Center)内的AD域控制器的用户管理和文件系统访问权限控制,这样可以打通混合云用户的云上和云下用户认证以及文件系统权限控制。阿里云SMB协议文件存储服务可以依赖用户部署在线下或者阿里云上的AD域控制器,通过Kerberos网络身份认证协议来进行AD域用户身份的认证。用户可以在配置了域控制器的Windows或者Linux服务器上,以域用户身份连接并访问SMB文件系统,文件系统服务器可以得到用户的域身份,然后达到目录和文件级别的访问权限控制。如下图所示。

企业用户认证及文件权限控制【手把手操作指南】

图3 混合云用户认证及文件权限控制框架图

NAS

阿里云文件存储 NAS是一个可共享访问,弹性扩展,高可靠,高性能的分布式文件系统。广泛应用于容器存储、大数据分析、Web 服务和内容管理、应用程序开发和测试、媒体和娱乐工作流程、数据库备份。支持冷热数据分级存储。

详情请点击链接查看

ECS

云服务器ECS(Elastic Compute Service)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务。云服务器ECS免去了您采购IT硬件的前期准备,让您像使用水、电、天然气等公共资源一样便捷、高效地使用服务器,实现计算资源的即开即用和弹性伸缩。

详情请点击链接查看

VPC

专有网络(Virtual Private Cloud,简称VPC),帮助您基于阿里云构建一个逻辑隔离的专有云。专有网络由逻辑网络设备(如虚拟路由器,虚拟交换机)组成,可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。

详情请点击链接查看

弹性公网IP

弹性公网IP是独立的公网IP资源,可以与阿里云专有网络VPC类型的云服务器ECS、NAT网关、ENI网卡、私网负载均衡SLB绑定,并可以动态解绑,满足灵活管理的要求。弹性公网IP可为您在云上部署的网站提供Internet访问服务。

详细请点击链接查看

安全组

安全组是ECS实例的虚拟防火墙,用于设置单个或多个ECS实例的网络访问控制,每台ECS实例至少需要属于一个安全组。本文介绍如何在ECS控制台上创建一个安全组并设置安全组规则。

详细请点击链接查看

3. 资源规划

类别

配置项

说明

区域

区域

华东1(杭州)可用区F

专有云网络

状态

新购(也可复用原有VPC)

名称

vpc-yiyangshuibeng

IPv4网段

172.16.0.0/12

虚拟交换机

状态

新购(也可复用原有vswitch)

名称

vswitch-yiyangshuibeng

可用区

华东1 可用区F

IPv4网段

172.16.0.0/24

ECS

地域及可用区

华东1 可用区F

ECS名称

ecs_ad_dns

主机名

adserver

支付方式

根据需要选择预付费或后付费(本实践选择按后

付费–按量付费)

实例规格

ecs.t5-c1m2.xlarge (4c 8G)

镜像

WindowsServer

镜像版本

Windows Server 2012 R2 数据中心版 64位中文版

系统盘

Cloud_essd

硬盘容量

40GiB

公网带宽

根据需要选择按固定带宽或按流量付费。建议按量付费。

出口带宽

1Mbps

登录密码

自定义

安全加固

Active

ECS1/ECS2/ECS3/ECS4

地域及可用区

华东1 可用区F

ECS名称

LiDa-pc/LiEr-pc/JinPanPan-pc/WangGang-pc

主机名

LiDa/LiEr/JinPanPan/WangGang

支付方式

根据需要选择预付费或后付费(本实践选择按后

付费–按量付费)

实例规格

ecs.t5-c1m2.large (2c 4G)

镜像

WindowsServer

镜像版本

Windows Server 2012 R2 数据中心版 64位中文版

系统盘

Cloud_essd

硬盘容量

40GiB

登录密码

自定义

安全加固

Active

文件存储 NAS

NAS名称

nas-yiyangshuibeng

地域及可用区

华东1 可用区F

协议类型

SMB

存储类型

通用型

表1 资源规划表

4. 创建并部署所需资源

操作步骤

    1. 打开阿里云官网,用户名密码登陆。
    2. 点击右上角控制台,选择专有网络,创建VPC和VSwitch。

注意:创建VPC之前要确认该可用区有NAS ECS等相应的资源,这里选择杭州F可用区。

    1. 返回控制台,选择ECS,按照资源规划创建ECS、ECS1、ECS2、ECS3、ECS4。

注意:如果是首次创建ECS,会自动创建安全组,由于是Windows镜像默认开启3389端口。

创建ECS时要选择刚创建的VPC,其中ECS(ecs_ad_dns)配置了公网IP。

    1. 点击控制台,选择NAS,创建通用容量型NAS。

注意:有些可用区内,没有SMB,需要更换可用区。

如果在控制台未找到产品,可以在搜索框内搜索关键字。创建ECS/ECS1/ECS2/ECS3/ECS4/、NAS要选择在同一个VPC中。具体操作过程如下

4.1 创建 VPC 和 VSwitch

如果是第一次访问阿里云客户,需要在所选的可用区创建专有网络,即创建 VPC 和 Vwitch。如果是阿里云现有客户,忽略此步骤,使用可用区内已有VPC和VSwitch即可。

企业用户认证及文件权限控制【手把手操作指南】

动图1 创建VPC和VSwitch

4.2 创建 ECS

企业用户认证及文件权限控制【手把手操作指南】

动图2 创建ECS AD域控节点

4.3 创建 ECS1/ECS2/ECS3/ECS4

与创建ECS相同,在实例类型选择部分选择2vcpu,4G内存实例,未创建弹性IP,实例名和主机名按实际选择。

企业用户认证及文件权限控制【手把手操作指南】

动图3 创建ECS1 AD Client节点


使用同样的方法创建ECS2/ECS3/ECS4。汇总如下图,最后ECS控制台杭州F可用区中包含5个ECS,分别对应ecs_ad_dns,LiDa-pc,LiEr-pc,JinPanPan-pc,WangGang-pc。

企业用户认证及文件权限控制【手把手操作指南】

图4 ECS控制台ECS总览

4.4 设置安全组

连接Windows桌面需要在安全组中添加3389端口,添加方法如下。一般情况下在创建ECS的时候如果镜像是Windows会默认开通3389端口,如果未开通,请手动按照如下方法添加。

企业用户认证及文件权限控制【手把手操作指南】

动图4 创建安全组

4.5 创建文件存储 NAS


企业用户认证及文件权限控制【手把手操作指南】

动图5 创建文件存储NAS

除了分别创建资源外,阿里云也提供CADT(云速搭),使客户拖拉拽的方式实现在阿里云上部署所需资源。具体可参考链接:https://help.aliyun.com/document_detail/186134.html

5. 常用环境信息说明

ECS资源名

主机名

ECS名称

域控账户

ECS

adserver

ecs_ad_dns

ECS1

LiDa

LiDa-pc

LiDa

ECS2

LiEr

LiEr-pc

LiEr

ECS3

JinPanPan

JinPanPan-pc

JinPanPan

ECS4

WangGang

WangGang-pc

WangGang

表2 ECS 信息汇总

以下信息是在第6章节操作过程中需要填入的,列在这里便于后面填入信息时查找。

根域名

QIANXISHUIBENG.com

NetBIOS名称

QIANXISHUIBENG

file-system-id.region

026054b451-jvn5.cn-hangzhou

nas-mount-target

026054b451-jvn5.cn-hangzhou

DNS IP地址

172.16.0.127

表3 常用信息汇总表

6. AD域控节点配置

第6章节全部内容都在ecs_ad_dns节点操作,文档中的GIF文件可下载到本地再查看。

6.1 安装AD域控服务器和DNS服务

实现用户认证及文件权限控制,首先该企业需要有AD域服务器。可以在阿里云上创建Windows ECS虚拟机。为了使用Windows AD/ACL,首先需要在VPC内创建一个Active Directory域服务控制器。下面分步骤说明如何在Windows Server系统中安装与配置AD域服务和相应的DNS服务。参考以下步骤与GIF动图进行安装与配置:

操作步骤

  1. 连接Windows桌面,方法参见动图6 连接Windows桌面。
  2. 找到并打开服务器管理器程序。
  3. 在仪表板点击“添加角色和功能”并选择安装“Active Directory域服务”和“DNS服务器”。
  4. 安装完成后在服务器管理器主界面的右上角找到并点击️通知提示,然后进行“将此服务器提升为域控制器”的操作

过程中需要配置AD域的根域名、域功能级别、还原密码等。

  1. 完成后需要重启计算机激活服务。

企业用户认证及文件权限控制【手把手操作指南】

动图6 连接Windows桌面

企业用户认证及文件权限控制【手把手操作指南】

动图7 安装AD DNS服务

企业用户认证及文件权限控制【手把手操作指南】

动图8 配置AD域控服务器

此处以Windows Server 2012 R2系统为例,如果使用其他版本Windows server安装AD请参考安装并启用Active Directory域服务与DNS服务

6.2 AD域控服务器挂载SMB文件系统

本部分讲述如何通过阿里云Windows ECS实例挂载SMB文件系统。

6.2.1 开启Workstation和NetBIOS服务

首先要确认Window开启了Workstation和TCP/IP NetBIOS 。开启以上服务的操作只需要在挂载服务器执行一次即可,不需要在每次挂载时都执行一次。

操作步骤

  1. 连接到ECS Windows桌面。方法参见动图6 连接Windows桌面。
  2. 开启Workstation服务。
    1. 选择所有程序 > 附件 > 运行或使用快捷键Win+R,输入services.msc进入本地服务。
    2. 在服务中找到Workstation,确认运行状态为已启动,启动类型为自动。正常情况下,Workstation服务默认为启动状态。
  1. 开启TCP/IP NetBIOS Helper服务。
    1. 打开网络与共享中心,单击主机所连网络。
    2. 单击属性,双击Internet 协议版本 4进入属性框,单击高级
    3. 高级TCP IP设置对话框中,选择WINS > 启用TCP/IP上的NetBIOS
    4. 选择所有程序 > 附件 > 运行或使用快捷键Win+R,输入services.msc进入本地服务。
    5. 在服务中找到TCP/IP NetBIOS Helper,确认运行状态为已启动,启动类型为自动。正常情况下,TCP/IP NetBIOS Helper服务默认为启动状态。

企业用户认证及文件权限控制【手把手操作指南】

动图9 开启Workstation和NetBIOS服务

6.2.2 拷贝NAS文件系统 file-system-id.region

操作步骤

  1. 进入nas控制台
  2. 选择要挂载的文件系统
  3. 选择“挂载使用”
  4. 选择“通过命令行挂载到ECS”
  5. 点击拷贝按钮,粘贴到ECS中的新建txt文档中。

企业用户认证及文件权限控制【手把手操作指南】

动图10 拷贝NAS文件系统 file-system-id.region

6.2.3 手动挂载SMB文件系统

操作步骤

  1. 连接ECS Windows桌面,方法参见动图6 连接Windows桌面。
  2. 进入Windows命令行。方法参见动图A 打开Windows命令行。
  3. 执行命令挂载SMB文件系统。打开命令行窗口,执行以下命令挂载文件系统。

net use Z: \\file-system-id.region.nas.aliyuncs.com\myshare

#说明: 挂载命令格式:net use <挂载目标盘符> \\<挂载点地址>\myshare。myshare不允许更改。file-#system-id.region这部分需要查看6.2.2章节拷贝出来的file-system-id号。

  1. 确认SMB文件系统挂载成功。执行net use命令,检查挂载结果。如果回显包含命令成功完成信息,说明挂载成功。挂载成功后,您可以在ECS*问NAS文件系统,执行读取或写入操作。
  2. 重新挂载SMB文件系统,只需要右键点击断开,再重新执行3步骤命令即可。

或者执行 net use \\file-system-id.region.nas.aliyuncs.com\myshare \del 删除。

企业用户认证及文件权限控制【手把手操作指南】

动图A 打开Windows命令行

企业用户认证及文件权限控制【手把手操作指南】

动图11 手动挂载SMB文件系统

说明:本篇文章Windows的版本为2012R2,更多关于SMB ACL使用文档,请参见Windows客户端以AD域用户身份挂载并使用SMB文件系统

在配置完Windows ECS实例后,可以通过手动挂载SMB文件系统。自动挂载方法未在此部分说明,如需配置请参见Windows系统挂载SMB文件系统

6.3 将 NAS 文件系统挂载点接入AD域

通过将NAS文件系统的挂载点接入AD域内,可以在AD域中实现文件系统用户身份的认证管理和文件级别的访问权限控制。以AD域用户身份挂载使用SMB文件系统之前,需要在AD域内为SMB文件系统注册服务,生成Keytab密钥表文件并上传至NAS控制台开启SMB ACL功能。

操作步骤

Tips:命令可拷贝到Windows中的TXT文件中,避免每次输入。

  1. 登录AD域服务器。方法参见动图6 连接Windows桌面。
  2. 在ECS Windows AD域节点上运行命令行。方法参见动图A 打开Windows命令行。
  3. 在AD域服务器上,为SMB文件系统创建服务账号。Powershell 运行如下命令:

注意密码设置规则,避免报错,建议使用示例中的密码。

dsadd user CN=alinas,DC=QIANXISHUIBENG,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHe****Rd123 -pwdneverexpires yes


#说明:dsadd user CN=,DC=,DC=com -samid -display <用户描述文字> -pwd <用户密码> -pwdneverexpires yes

  1. 在AD域服务器上,为SMB文件系统挂载点注册并添加服务主体。

Powershell运行如下命令

注意:是nas-mount-target.nas.aliyuncs.com 而不是nas-mount-target.nas.aliyuncs.com/myshare

setspn -S cifs/nas-mount-target.nas.aliyuncs.com alinas

#说明 setspn -S cifs/

验证返回信息,查看是否添加成功。

  1. 在AD域服务器上,为SMB文件系统挂载点生成Keytab密钥表文件。

Powershell运行如下命令

ktpass -princ cifs/nas-mount-target.nas.aliyuncs.com@MYDOMAIN.com -ptype KRB5_NT_PRINCIPAL -crypto All -out c:\nas-mount-target.keytab -pass tHe****Rd123

#说明:#Powershell命令模板 ktpass   -princ cifs/   -ptype KRB5_NT_PRINCIPAL   -crypto All   -out <生成的密钥表文件的文件路径>   -pass <用户密码>

注意此处的keytab文件在ECS AD域服务器里,这边直接选择发邮件的方式发送到本机,再通过阿里云nas控制台上传到访问控制中。也可以用本机挂载阿里云NAS文件系统,具体操作可参考macOS客户端通过VPN访问SMB文件系统

企业用户认证及文件权限控制【手把手操作指南】

动图12 NAS 文件系统挂载点接入AD域

  1. 在NAS控制台,上传阿里云SMB文件系统服务账号的Keytab文件。
    1. 登录NAS控制台
    2. 在左侧导航栏,选择文件系统 > 文件系统列表
    3. 文件系统列表页面,单击目标文件系统ID或管理
    4. 访问控制页签,单击开启
    5. 开启SMB ACL对话框,上传阿里云文件系统服务账号的Keytab文件,单击确定
    6. 访问控制页签,单击修改配置
    7. 在修改配置后,请挂载SMB文件系统,使AD域服务账号配置生效。

企业用户认证及文件权限控制【手把手操作指南】

动图13 上传阿里云SMB文件系统服务账号的Keytab文件

  1. 验证SMB挂载点是否加入AD域,在Windows挂载完下一小节进行验证。

更多关于NAS文件系统接入AD的信息请参见将 将SMB文件系统挂载点接入AD域

6.4 AD域服务器配置SMB文件系统ACL方法

ECS Windows AD域控服务器,挂载SMB文件系统后,有两种方式配置ACL。此处使用Windows文件资源管理器的方式,如果要使用set-acl或者icacls方式可以参考Windows客户端以AD域用户身份挂载并使用SMB文件系统

6.4.1 创建符号链接,验证文件系统接入AD域成功,可配置ACL

操作步骤

  1. 使用Windows文件资源管理器,需要先在Windows本地磁盘为SMB文件系统挂载点生成符号链接,通过符号链接查看和编辑文件或目录的ACL。创建文件系统映射命令:

mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare

其中,c:\myshare为符号链接的文件系统路径,\nas-mount-target.nas.aliyuncs.com\myshare为SMB文件系统的挂载点。

    1. 生成符号链接后,您可以以访问Windows本地磁盘子目录的形式访问SMB文件系统,符号链接为c:\myshare,同时支持查看和编辑文件或目录的ACL。右键属性/安全/编辑即可编辑ACL。
    2. 通过符号链接的方式进入到SMB目录,在根目录创建一个demo目录,可以看到目录创建人是Administrator。说明文件系统已经接入AD域,获取到了当前的挂载身份。

企业用户认证及文件权限控制【手把手操作指南】

动图14 创建符号链接,管理ACL

6.4.2 设置文件系统根目录权限

  1. 由于Windows文件资源管理器对c:\myshare修改权限并不会应用到文件系统的根目录。修改根目录权限需要使用Set-Acl Powershell命令或者icacls命令行。如下是选用Set-Acl方式设置根目录的权限组为Domain Admin。权限是FullControl。Powershell中运行命令如下:

$value = Get-Acl -Path "Z:"

$value.Access


# Set properties

$identity = "Domain Admins"

$fileSystemRights = "FullControl"

$type = "Allow"

$inheritanceFlags = 3

$propagationFlags = 0

# Create new rule

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type

$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

# Apply new rule

$value.SetAccessRule($fileSystemAccessRule)

$value.Access

Set-Acl $value -Path "Z:

企业用户认证及文件权限控制【手把手操作指南】

动图15 设置文件系统根目录权限

6.4.3 文件资源管理器设置ACL注意事项

特别说明:在使用Windows文件资源管理器查看SMB文件系统时,如果需要回退本地磁盘路径,请单击回退(下图中的标注1)或者上退(下图中的标注2)按钮,但是不要选中路径中的某一段(下图中的标注3)来回退。企业用户认证及文件权限控制【手把手操作指南】

图5 文件资源管理器配置ACL操作

在使用Windows文件资源管理器访问和使用文件系统时,阿里云SMB文件系统并没有实际加入用户的AD域。如果不是通过本地磁盘路径C:\myshare访问文件系统,而是通过普通网络路径\\nas-mount-point.nas.aliyuncs.com\myshare访问,在设置ACL时,会遇到因RPC服务器不可用而无法确定NAS挂载点是否已加入域的情况。

企业用户认证及文件权限控制【手把手操作指南】企业用户认证及文件权限控制【手把手操作指南】

图6 文件资源管理器配置ACL操作报错

6.5 配置 AD 域部门和用户信息 配置主目录

在AD域服务器上创建销售部、财务部、信息技术部,并创建对应部门员工,且设置主目录。

6.5.1 创建部门

按照场景,创建FinaceGroup\ITGroup\SalesGroup三个部门,其中ITGroup属于Domain Admins群组。

请参考以下步骤与动图进行用户组Finance和用户组ITGroup的创建。SalesGroup和GroupA操作相同只需更改组名称即可。

操作步骤

  1. 连接WindowsAD域服务器桌面。方法参见动图6 连接Windows桌面。
  2. 进入AD管理中心,选择QIANXISHUIBENG,右键选择创建组。
  3. 添加组SalesGroup/FinanceGroup/ITGroup。

创建ITGroup时,需要加入Domain Admin的角色。具体操作步骤如下动图所示。

企业用户认证及文件权限控制【手把手操作指南】

动图16 AD管理中心创建部门

6.5.2 创建部门目录

在AD域节点上,点击进入c:\myshare快捷方式,进入目录。

创建FinanceGroup/SalesGroup/ITGroup三个部门目录,给每个部门目录添加对应部门的全部只读权限。

操作步骤

  1. 连接WindowsAD域服务器桌面。方法参见动图6 连接Windows桌面。
  2. 打开文件资源管理器,进入c:\myshare
  3. 右键创建部门目录FinanceGroup/Salesroup/ITGroup
  4. 分别给目录添加ACL权限,鼠标右键、属性、安全、添加用户、检查名称、确认、权限修改、确认。

企业用户认证及文件权限控制【手把手操作指南】

动图17 文件资源管理器创建部门目录

每个部门目录中添加共享目录Shared,添加对应部门的全部允许权限。

企业用户认证及文件权限控制【手把手操作指南】

动图18 文件资源管理器创建部门共享目录

6.5.3 创建用户

创建LiDa,LiEr,属于销售部,创建用户JinPanPan属于财务部,创建用户WangGang属于信息技术部门,且配置了自己的主目录。

操作步骤

  1. 连接WindowsAD域服务器桌面。方法参见动图6 连接Windows桌面。
  2. 进入AD管理中心,选择QIANXISHUIBENG,右键选择创建用户。
  3. 添加用户,配置密码,输入配置主目录。

企业用户认证及文件权限控制【手把手操作指南】

动图19 AD管理中心创建用户及主目录链接

将LiDa,LiEr加入到SalesGroup中,将JinPanPan加入到FinanceGroup中,将WangGang加入到Domain Admins群组。

操作步骤

  1. 连接WindowsAD域服务器桌面。方法参见动图6 连接Windows桌面。
  2. 进入AD管理中心,选择QIANXISHUIBENG,找到新建的用户。
  3. 选择用户,右键加入组。
  4. 输入组名称,检查名称,确认。

企业用户认证及文件权限控制【手把手操作指南】

动图20 AD管理中心将用户加入组

注意:在将WangGang加入组的时候,不光要选择ITGroup,还要选择Domain Admins。

6.5.4 创建用户目录

在AD域节点上,点击进入c:\myshare快捷方式,进入目录。

创建SalesGroup\LiDa, SalesGroup\LiEr, FinanceGroup\JinPanPan, ITGroup\WangGang4个用户目录,每个用户目录添加对应用户的全部允许权限。去除对应组的读权限。

操作步骤

  1. 连接WindowsAD域服务器桌面。方法参见动图6 连接Windows桌面。
  2. 打开文件资源管理器,进入c:\myshare对应组目录
  3. 右键用户目录。
  4. 分别给目录添加ACL权限,鼠标右键、属性、安全、添加用户、检查名称、确认、权限修改、确认。

企业用户认证及文件权限控制【手把手操作指南】

动图21 文件资源管理器创建用户目录

至此,在ECS WindowsAD域控节点上的配置全部完成,包括

  • AD/DNS服务器的安装和配置
  • 将SMB文件系统挂载点加入域
  • 挂载SMB文件系统
  • 用户目录的创建和权限设置
  • 用户和用户的创建。

7 员工终端即AD Client节点配置

以ECS1 Windows客户端为例,演示在公司配备IT设备之前,需要将IT设备(笔记本/台式机)加入到AD域中,并挂载共享存储NAS。

7.1 ECS1 AD Client节点加入AD域

以下步骤将以Windows Server 2012版本操作系统为例介绍如何将Windows客户端加入AD域并挂载SMB文件系统。

  1. 配置Windows客户端的DNS服务器地址。
    1. 登录Windows客户端。
    2. 在桌面左下角,单击开始
    3. 开始菜单栏,单击控制面板
    4. 控制面板对话框,选择网络和Internet > 网络和共享中心
    5. 网络与共享中心对话框查看活动网络区域,单击以太网
    6. 以太网属性对话框,单击属性
    7. 以太网属性对话框此连接使用下列项目:区域,选中Internet协议版本4(TCP/IPv4),单击属性
    8. Internet协议版本4(TCP/IPv4)属性对话框,选中使用下面的DNS服务器地址,设置DNS服务器地址为AD域服务器的IP地址。
    9. 使用命令提示符工具执行ping命令,ping AD域名,验证Windows客户端和AD域之间的连通性。

企业用户认证及文件权限控制【手把手操作指南】

动图22 配置AD Client DNS

  1. 将Windows客户端加入AD域。
    1. 控制面板对话框,选择系统和安全 > 系统
    2. 系统对话框计算机名、域和工作组设置区域,单击更改设置
    3. 系统属性对话框,单击更改
    4. 计算机名/域更改对话框,填写已搭建的AD域名。根据界面提示,单击确定完成配置。
    5. 重启Windows客户端,使修改配置生效。

企业用户认证及文件权限控制【手把手操作指南】

视频23 AD Client节点加入AD域

7.2 ECS1 AD Client节点手动挂载SMB文件系统

在员工第一次拿到IT设备前,需要手动配置SMB文件系统,并且之后设置为启动自动挂载。

其中手动挂载SMB文件系统的操作步骤与6.2.3相同。

操作步骤

  1. 连接ECS Windows桌面,方法参见动图6 连接Windows桌面。
  2. 进入Windows命令行。方法参见动图A 打开Windows命令行。
  3. 执行命令挂载SMB文件系统。打开命令行窗口,执行以下命令挂载文件系统。

net use Z: \\file-system-id.region.nas.aliyuncs.com\myshare

#说明: 挂载命令格式:net use <挂载目标盘符> \\<挂载点地址>\myshare。myshare不允许更改。file-#system-id.region这部分需要查看6.2.2章节拷贝出来的file-system-id号。

  1. 确认SMB文件系统挂载成功。执行net use命令,检查挂载结果。如果回显包含命令成功完成信息,说明挂载成功。挂载成功后,您可以在ECS*问NAS文件系统,执行读取或写入操作。
  2. 重新挂载SMB文件系统,只需要右键点击断开,再重新执行3步骤命令即可。

企业用户认证及文件权限控制【手把手操作指南】

动图24 AD Client节点手动挂载SMB

7.3 ECS1 AD Client节点自动挂载SMB设置

员工电脑重启后登陆能够自动挂载SMB文件系统。


操作步骤

  1. 连接Windows桌面,打开命令行窗口。
  2. 执行以下命令,配置脚本auto_mount.bat。

echo %HOMEPATH%\mount.bat > auto_mount.bat

  1. 执行以下三条命令,将auto_mount.bat配置成用户登录后自动运行,并配置其他人的读和执行权限。

MOVE auto_mount.bat "c:\ProgramData\Microsoft\Windows\Start  Menu\Programs\StartUp\auto_mount.bat"

icacls "c:\ProgramData\Microsoft\Windows\Start  Menu\Programs\StartUp\auto_mount.bat" /grant everyone:rx

REG ADD  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /f /v MyMount /t REG_SZ /d "c:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\auto_mount.bat"

#Start Menu中间有一个空格

  1. 执行以下命令,配置实际执行挂载命令的脚本mount.bat。

echo net use z: \\file-system-id.region.nas.aliyuncs.com\myshare > "%HOMEPATH%\mount.bat"

#请根据实际值替换挂载点地址file-system-id.region.nas.aliyuncs.com

  1. 说明 如果文件系统支持AD、ACL,并且您希望使用Windows登录用户身份以外的其他域用户身份挂载SMB文件系统,则可以执行以下命令配置脚本。

echo net use z: \\file-system-id.region.nas.aliyuncs.com\myshare /user:user@domain password > "%HOMEPATH%\mount.bat"

#请根据实际值替换挂载点地址file-system-id.region.nas.aliyuncs.com,域用户名user@domain,域用户密码password。

  1. 重启ECS服务器。用户重新登录后,执行net use命令验证挂载结果。

企业用户认证及文件权限控制【手把手操作指南】

动图25 AD Client节点自动挂载SMB

说明 在Windows操作系统中,系统服务(Services)、计划任务(Scheduled Tasks)以及很多系统调用都是以SYSTEM系统账号进行操作的,而下面描述的挂载是以登录系统的用户身份执行的。如果需要以SYSTEM身份进行挂载,请参见以SYSTEM身份挂载文件卷解决SQLServer使用NAS SMB文件卷等问题

7.4 ECS1 AD Client节点管理SMB ACL

操作步骤与6.4.1相同。

操作步骤

  1. 使用Windows文件资源管理器,需要先在Windows本地磁盘为SMB文件系统挂载点生成符号链接,通过符号链接查看和编辑文件或目录的ACL。创建文件系统映射命令:

mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare

其中,c:\myshare为符号链接的文件系统路径,\nas-mount-target.nas.aliyuncs.com\myshare为SMB文件系统的挂载点。

企业用户认证及文件权限控制【手把手操作指南】

动图26 AD Client节点创建符号链接

7.5 ECS1 AD Client节点上添加域控账户

如果使用Windows Server作为客户端,需要允许这些用户登陆。注意需要设置用户组属性为Administrator,不然无法登陆。

企业用户认证及文件权限控制【手把手操作指南】

动图27 AD Client节点上添加域控账户

7.6 配置剩余AD Client节点ECS2/ECS3/ECS4

重复执行7.1到7.5,将ECS2/ECS3/ECS4配置完成。最终实现如下表所示。

ECS资源名

ECS名称

域控账户

主目录

ECS

ecs_ad_dns

ECS1

LiDa-pc

LiDa

\\file-system-id.region.nas.aliyuncs.com\myshare\SalesGroup\LiDa

ECS2

LiEr-pc

LiEr

\\file-system-id.region.nas.aliyuncs.com\myshare\SalesGroup\LiEr

ECS3

JinPanPan-pc

JinPanPan

\\file-system-id.region.nas.aliyuncs.com\myshare\SalesGroup\JinPanPan

ECS4

WangGang-pc

WangGang

\\file-system-id.region.nas.aliyuncs.com\myshare\SalesGroup\WangGang

表4 ECS对应域名和主目录地址信息


8. 场景验证

8.1 文件系统满足公司各部门分别存储需求

  • 文件系统根目录下有销售部、财务部、信息技术部各部门目录。
  • 每个部门目录下有部门每个员工自己的主目录。

操作命令:连接ECS AD 域控服务器,是用Powershell中的tree命令查看。

企业用户认证及文件权限控制【手把手操作指南】

动图28 公司各部门分别存储需求

8.2 文件存储实现跨部门不可访问

  • 依据公司保密规则,销售部和财务部相互之间不可访问对方数据。

分别用李大和金盼盼两个部门同事的终端登入,查看是否能看到对方部门的内容。

企业用户认证及文件权限控制【手把手操作指南】

动图29 公司跨部门数据不可访问

8.3 文件存储实现同部门不同员工的指定目录共享。

同一个部门的员工李大/李二可以访问本部门共享目录,可以读文件写文件。

企业用户认证及文件权限控制【手把手操作指南】

动图30 同部门不同员工的指定目录共享

8.4 文件存储配合AD ACL实现同部门不同员工主目录隔离

李大和李二同属于销售部门,但平时各有负责的项目,分别申请价格,不能被对方看到。

企业用户认证及文件权限控制【手把手操作指南】

动图31 同部门不同员工主目录隔离

8.5 文件存储配合AD实现管理部门全数据管理

IT管理部门的管理员王刚,可以访问和修改所有部门的所有目录。

企业用户认证及文件权限控制【手把手操作指南】

动图32 管理部门全公司数据管理


总结

阿里云文件存储 NAS 提供SMB/NFS/CIFS等多种文件存储协议,单文件系统可以存储海量数据,方便企业级客户在多个用户之间进行文件共享和协同合作。其中SMB协议是微软生态默认的文件共享协议,经过几十年的长期积累,具备广大的用户群,能够支持Windows、MacOS、Linux等多种客户端。阿里云NAS SMB文件存储通过支持AD域服务,可以对一个企业不同部门的不同员工创建不同的用户身份,结合ACL权限控制功能,达到企业有序可控地共享整个文件系统。

在此基础上,用户还可以在AD域服务器上配置主目录(Home Directory)服务,让每个用户登陆时能够很方便地访问自己的个人目录,这个目录将存储在NAS SMB文件系统上,可以海量扩展。

以上是简单的AD域连接NAS SMB文件系统,配置用户和群组,完成客户端挂载的整个流程。客户可以参照上述方案,举一反三,完成配置User Profile,调整默认权限等等定制化的配置。User Profile功能请参考 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile

文档变更记录

版本编号

日期

作者

审核人

说明

v1.0

20210830

岩叶

语章

文档创建

v1.1

20210831

岩叶

语章

添加组织架构,场景重新设计。录制视频取代GIF文件。

v1.2

20210902

岩叶

孟威

去除视频无效音轨

v1.3

20210926

烟叶

语章

视频全部转换为动图


参考链接:

SMB AD状态排查工具

将SMB文件系统挂载点接入AD域

Windows系统挂载SMB文件系统

安装并启用Active Directory域服务与DNS服务

通过VPN网关实现本地数据中心访问阿里云NAS

通过NAT网关实现本地数据中心访问阿里云NAS

Windows客户端以AD域用户身份挂载并使用SMB文件系统

MacOS客户端通过阿里云VPN连接阿里云NAS SMB文件系统

Linux客户端以AD域用户身份挂载并使用阿里云SMB协议文件系统

企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南

阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile

上一篇:MPLS 基础之1:数据平面知识


下一篇:初次体验阿里云ECS飞天加速计划