从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,内容安全 1000次 1年
对象存储 OSS,恶意文件检测 1000次 1年
简介: 在完成AD域接入之后,用户即可开始以AD域用户身份挂载使用阿里云SMB协议文件系统了。本文介绍了几种SMB文件系统的挂在方式以及简单的ACL特性使用方法的演示。

在完成AD域接入之后,用户即可开始以AD域用户身份挂载使用阿里云SMB协议文件系统了。本文介绍了几种SMB文件系统的挂在方式以及简单的ACL特性使用方法的演示。
SMB协议文件系统的老用户需要删除已有NAS文件系统挂载之后再重新挂载。
阿里云NAS SMB协议文件系统在连通AD域之前,都只支持以匿名方式来挂载,以Everyone用户的身份和权限来使用文件系统。当一个SMB协议文件系统开通AD认证功能之后,用户可以设置是否继续允许匿名挂载访问。

  • 如果一个SMB协议文件系统允许匿名访问,已加入AD域的设备将通过Kerberos认证以域用户身份进行挂载,而未加入AD域的设备可以通过NTLM认证协继续匿名挂载挂载,以Everyone用户的身份使用文件系统。
  • 如果一个SMB协议文件系统已设置为不允许匿访问,那该文件系统将只允许已加入AD域的设备通过Kerberos认证协议以域用户身份进行挂载。

:请使用Windows系统的命令行工具(cmd)运行本文中提供的命令。

NAS用户可以继续参考使用阿里云控制台提供的基于net use命令行工具的挂载命令来挂载文件系统。在该模式下,用户可以正常访问文件系统和查看文件或目录的ACL,但不能编辑修改ACL内容。以下为使用net use工具进行文件系统挂载的CMD命令模板:

net use [可用的目标盘符] [SMB协议NAS文件系统挂载点域名]

命令范例:

net use z: \\nas-mount-point.nas.aliyuncs.com\myshare

使用net use命令挂载SMB协议NAS文件系统的命令运行效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
net_use

关于net use工具的更多详情请参考微软官方文档:

创建符号链接,以子目录形式访问文件并可修改ACL

NAS用户也可以使用mklink命令行工具为NAS文件系统挂载点在Windows本地盘下生成符号链接,以访问Windows本地盘的子目录的形式来访问NAS文件系统。在该模式下,用户可以正常访问文件系统,也可以查看和编辑文件或目录的ACL。以下为使用mklink工具进行文件系统挂载的CMD命令模板:

mklink /D [符号链接的文件系统路径] [SMB协议NAS文件系统挂载点域名]

命令范例:

mklink /D c:\myshare \\nas-mount-point.nas.aliyuncs.com\myshare

使用mklink命令挂载SMB协议NAS文件系统的命令运行效果请参考以下GIF动图(其中文件系统名等敏感信息已涂黑)。
mklink

关于mklink工具的更多详情请参考微软官方文档:

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/mklink

注意:Windows系统默认情况下只有系统管理员Administrator可以创建符号链接,如果普通用户需要创建符号链接,需要由管理员为该用户添加权限。以管理员权限搜索并运行secpol.msc, 并将指定用户加入“创建符号链接”的权限组中(如下图)。
权限设定完成之后需要该用户需要重新登录系统后才会生效。
1555114743895_0a1b5709_53eb_4436_a5a8_9ed2d8a55c37
1555114763430_c6ad9639_5e00_44dc_bd60_442dbc7a2015

使用Windows文件资源管理器查看/编辑ACL

在挂载成功后,用户可以通过Windows的文件资源管理器(File Explorer)查看或编辑文件和目录的ACL。

下图为使用mklink工具以C盘下的符号链接的形式挂载使用SMB协议NAS文件系统后使用Windows的文件资源管理器(File Explorer)查看NAS文件系统中文件的安全属性(即ACL)的示例(其中文件系统名、密码、密钥内容等敏感信息已涂黑)。
1554764712444_8799ed76_4ad2_44eb_aa5b_802fcfec2351

这里需要注意的是,阿里云NAS文件系统并没有实际加入用户的AD域,所以通过普通网络文件系统方式设置ACL会遇到系统提示因RPC服务器不可用而无法确定NAS挂载点是否已加入域的情况。
1555116738855_3b19dce2_7fd7_4c44_8e7f_38335c8aa73c
1555116749142_fe4d52fb_adc1_4650_b3e7_15f85e975693

此时,通过mklink挂载的用户可以按下GIF动图的指示免去RPC调用从而编辑ACL。
edit_acl

更多

下面是使用基于AD域系统的用户身份认证及访问权限控制可能需要的相关知识点:

  1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍,总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。
  2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持,介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。
  3. 安装并启用Active Directory域服务与DNS服务,介绍如何在VPC中安装并启用AD域服务和DNS服务。
  4. 将Windows系统机器加入AD域,介绍如何将windows机器加入AD域。
  5. 将阿里云SMB协议文件系统挂载点接入AD域,介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。
  6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  7. Linux客户端以AD域用户身份挂载使用阿里云SMB协议文件系统,介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。
  8. 阿里云SMB协议文件系统ACL权限控制使用指南,介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。
  9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile,介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。
  10. MacOS客户端连接阿里云NAS SMB文件系统,介绍如何从MacOS客户端挂载使用阿里云SMB协议文件系统。
目录
相关文章
|
1月前
|
存储 弹性计算 运维
阿里云国际Windows操作系统迁移教程
阿里云国际Windows操作系统迁移教程
|
29天前
|
人工智能 JavaScript 网络安全
ToB项目身份认证AD集成(三完):利用ldap.js实现与windows AD对接实现用户搜索、认证、密码修改等功能 - 以及针对中文转义问题的补丁方法
本文详细介绍了如何使用 `ldapjs` 库在 Node.js 中实现与 Windows AD 的交互,包括用户搜索、身份验证、密码修改和重置等功能。通过创建 `LdapService` 类,提供了与 AD 服务器通信的完整解决方案,同时解决了中文字段在 LDAP 操作中被转义的问题。
|
1月前
|
弹性计算 安全 网络安全
阿里云国际版无法远程连接Windows服务器的解决方法
阿里云国际版无法远程连接Windows服务器的解决方法
|
1月前
|
Apache 数据中心 Windows
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
|
1月前
|
弹性计算 安全 Windows
通过远程桌面连接Windows服务器提示“由于协议错误,会话将被中断,请重新连接到远程计算机”错误怎么办?
通过远程桌面连接Windows服务器提示“由于协议错误,会话将被中断,请重新连接到远程计算机”错误怎么办?
|
1月前
|
弹性计算 数据安全/隐私保护 Windows
阿里云国际版无法远程连接Windows服务器的排查方法
阿里云国际版无法远程连接Windows服务器的排查方法
|
1月前
|
监控 安全 Windows
阿里云国际版Windows服务器磁盘空间不足该怎么办?
阿里云国际版Windows服务器磁盘空间不足该怎么办?
|
1月前
|
弹性计算 安全 关系型数据库
阿里云国际版远程连接Windows系统的ECS服务器时提示协议错误
阿里云国际版远程连接Windows系统的ECS服务器时提示协议错误
|
1月前
|
弹性计算 关系型数据库 数据安全/隐私保护
阿里云国际版如何配置Windows服务器的虚拟内存
阿里云国际版如何配置Windows服务器的虚拟内存
|
1月前
|
弹性计算 关系型数据库 网络安全
阿里云国际版无法连接和访问Windows服务器中的FTP服务
阿里云国际版无法连接和访问Windows服务器中的FTP服务