“Azure Files”是基于云的托管文件共享,您可以通过SMB协议进行访问。创建Azure文件共享后,可以使用macOS,Linux或Windows访问它。
蔚蓝文件 can also be mapped as a shared drive to your system. You can use it as a reliable, simple 和 unified solution that acts as a replacement for traditional file servers.
在Active Directory环境(本地)中,我们利用NTFS权限来控制对文件共享和文件夹的访问。如果我们使用Azure文件替换传统文件共享,则需要找到一种方法以类似的方式管理对它们的访问权限。
如果通过以下方式访问文件夹,则适用“加入域的Azure VM” or “视窗虚拟桌面“. 蔚蓝文件支持Azure AD DS (Azure Active Directory域服务)身份验证。您将能够为Azure文件共享创建NTFS ACL(访问控制列表),以在粒度级别上控制访问权限。在本文中,我们将详细研究此功能。
具有以下资源所需的活动Microsoft 蔚蓝订阅
- 适用于Azure AD租户的Azure AD域服务 –您需要为Azure AD租户启用Azure AD域服务。
- 加入域的Azure VM –您必须将加入域的Azure VM添加到Azure AD域服务。
在您的设置中,您已经有一个托管域。您还拥有将加入域的VM,并将其用于测试目的。
使用Azure AD DS身份验证设置存储帐户
为了利用 蔚蓝 AD DS身份验证,您需要在存储帐户级别启用它。您可以对现有的存储帐户执行相同的操作。
或者说我们正在创建一个新的存储帐户。您可以使用Azure Shell,PowerShell或Azure Portal创建此文件。对于此演示,让我们使用PowerShell方法。在开始使用PowerShell之前,请确保已安装Azure模块。
在管理员模式下启动PowerShell
- 您必须输入 ‘Connect-AzAccount’ 然后点击 ‘Enter’.
- 之后,您将能够以全局管理员身份登录。
- 成功登录后,创建您的存储帐户。
在以上过程中, 蔚蓝FileRG 充当您的存储帐户的资源组。您的存储帐户名称是 azfilesa1。您在美国东部地区创建此帐户。对于您的新存储帐户,Standard_LRS是存储类型,它指的是本地冗余存储。您也可以将新的存储帐户创建为版本2帐户。然后,您必须定义它。
设置Azure文件共享
现在,您有了新的存储帐户。在创建文件共享之前,您必须确定帐户的存储访问密钥。
此配置的下一步是使用存储密钥创建新的文件共享。您需要将其替换为在先前步骤中找到的存储帐户密钥值。
分配访问权限
要访问,必须管理NTFS权限。首先,您必须将用户分配给新创建的共享。
您可以通过使用预定义的访问角色来执行此操作。您可以将三种角色用于此特定任务。
- 存储文件数据SMB共享读取器 –此选项允许通过SMB对Azure存储文件共享进行读取访问。
- 存储文件数据SMB共享贡献者 –该角色允许对SMB上的Azure存储文件共享进行写,读和删除访问。
- 存储文件数据SMB共享贡献者 –该角色允许您通过SMB在Azure存储文件共享中写入,读取,修改和删除NTFS权限。
我们可以为此角色分配权限。在命令中,您必须为用户分配“存储文件数据SMB共享贡献者”角色。在运行命令之前,您还必须为和分配适当的值。
将文件共享映射到加入域的VM
此配置的下一步是将新文件共享映射到加入Azure AD域的VM。为此,您必须以用户身份登录到VM并运行以下命令:
净使用 问:\\ azfilesa1.file.core.windows.net \ rebeldata
由于它在Azure AD用户上下文中运行,因此不再需要用于映射Azure文件共享的存储帐户参数或存储密钥。映射驱动器后,必须导航到属性,并检查是否可以从Azure AD查询用户。
测试中
对于测试过程,必须从Q:驱动器中删除“管理员”,“认证用户”权限。然后,您必须对用户应用完全权限。您还应该检查以拒绝该用户的权限。然后,您可以以用户身份登录加入域的VM,然后尝试映射共享。如您所料,用户将收到拒绝访问错误。
实际过程可能会有所不同,具体取决于您是否是旧门户。本文应帮助您了解AAD如何与Azure文件一起使用。