本文通过一个操作实例说明如何使用云存储网关的Windows权限控制功能实现基于访问权限的枚举。

前提条件

  • 已经创建了SMB共享并开启了Windows权限控制功能。详细步骤请参见开启Windows权限控制
  • 已经创建了Windows系统的ECS实例作为客户端,该ECS实例必须与云存储网关处于同一专有网络中。详细步骤请参见创建ECS实例
  • 域控制器里已有三个域用户:Administrator、user1和user2。

背景信息

在Windows文件系统中,即使用户没有权限对某个文件或文件夹进行操作,该文件或文件夹对用户依然默认可见。开启云存储网关的Windows权限控制功能后,挂载至客户端的共享目录可以启用基于访问权限的枚举,使用户只能看到自身有权限操作的文件或文件夹。

本文中ECS实例的操作系统为Windows Server 2012 R2数据中心版。

添加用户权限

  1. 登录云存储网关控制台
  2. 选择目标文件网关所在的地域,然后在网关列表页面,找到并单击目标文件网关。
  3. 选择共享页签,在目标SMB共享右侧的操作列中单击设置
  4. SMB共享设置对话框中,将创建好的Administrator、user1和user2加入读写权限用户中。
  5. 单击确认

挂载共享目录并设置文件夹权限

  1. 登录创建好的Windows系统ECS实例。
  2. 打开这台电脑,单击映射网络驱动器
  3. 选择驱动器,在文件夹框中输入云存储网关的挂载点,然后单击完成

    您可以在云存储网关控制台中找到目标云存储网关,并在其共享页面查看挂载点。

  4. Windows安全对话框中,输入Administrator及其密码,单击确定
    输入用户名时,需要在前面添加AD域名,格式为:<AD域名>\Administrator。
  5. 进入挂载后的共享目录,创建两个新文件夹:user1user2
  6. 右键单击user1文件夹,单击属性,选择安全页签。
  7. 按照以下步骤设置user1文件夹的权限,使得只有Administrator和user1对该文件夹有操作权限。
    1. 单击高级,在权限页签,单击禁用继承,然后删除EveryoneDomain Users权限,单击应用确定
    2. 单击编辑,在权限对话框中单击添加,输入user1并单击检查名称
    3. Windows安全对话框中,输入user1及其密码,单击确定
      输入用户名时,需要在前面添加AD域名,格式为:<AD域名>\user1。
  8. 按照步骤7中的方法设置user2文件夹的权限,使得只有Administrator和user2对该文件夹有操作权限。

验证Windows权限控制功能

  1. 这台电脑中,右键单击挂载的共享目录,单击断开
  2. 刷新后,按照#section_j7s_ke3_r8k中的步骤2与步骤3重新挂载共享目录。
  3. 分别使用user1、user2和Administrator连接并进入挂载后的共享目录。
    结果如下:
    • user1只能看到user1文件夹。
    • user2只能看到user2文件夹。
    • Administrator能够看到user1user2文件夹。

这样,我们就通过云存储网关的Windows权限控制功能实现了共享目录中基于访问权限的枚举。