本文介绍两个经典的AD/ACL使用场景：Home Directory以及User Profile。

1. Home Directory

AD管理员可以给域用户设置登录即可见的文件卷。每个用户登录后可以看到自己的文件夹，可以把个人文件放在上面进行长久保存。除了管理员以外的其他用户没有权限进入该文件夹。

1.1. 示例

1.1.1. 给NAS SMB文件卷添加AD域路径

参考安装并启用Active Directory域服务与DNS服务。

NAS SMB文件卷的路径必须变成AD域路径，否则Home Directory在用户登录时会出现加载失败。

需要在DNS服务器中添加一条CNAME别名把挂载点映射到AD域路径：

1.1.2 注册NAS文件系统挂载点AD域内域名

1.1.3. 文件卷上创建用户目录

在AD域服务器上挂载通过mklink方式挂载NAS SMB文件卷。然后给用户cat建立一个cat文件夹，cat拥有全部权限：

1.1.4. 将用户目录设置为用户Profile path

在AD管理器（ADAC）上双击选择该用户，然后选择Profile设置Home Folder：

1.1.5. 用户登录即可见到自己的文件夹已经自动挂载

用cat登录之后即可看到文件卷已挂载，并且指向自己的文件夹：

用类似手法给用户kid设置文件夹，然后用kid登录，看到的是kid的文件夹：

如果同一台客户机上有mklink的方式创建的c:\myshare文件卷映射，当进入c:\myshare时，cat无法进入kid的文件夹：

2. User Profile

与上面的操作非常类似，我们还可以对用户设置配置文件路径（Profile Path）到NAS SMB卷。设置之后用户登录时，该文件卷位置就会出现一个用户名.V2（或者V6）的文件夹，用户登出再登录之后，文件夹就会有一份该用户在该机器下的配置的拷贝。

用户名.V2 (V6)目录

V2目录内容

值得注意的是默认情况下Profile功能只是在用户登出时对配置文件进行备份，下次登录时读取，中间的修改不会随时保存。管理员也可以配置其他的同步规则，具体可以参考：https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/folder-redirection-rup-overview#always-offline-mode

阿里云文件存储AD/ACL相关文章

1. 阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍，总体介绍阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制的设计实现。

2. Kerberos网络身份认证协议介绍及SMB文件系统对其的支持，介绍Kerberos网络身份认证协议以及与SMB协议问系统的交互。

3. 安装并启用Active Directory域服务与DNS服务，介绍如何在VPC中安装并启用AD域服务和DNS服务。

4. 将Windows系统机器加入AD域，介绍如何将windows机器加入AD域。

5. 将阿里云SMB协议文件系统挂载点接入AD域，介绍如何在AD域服务器以及阿里云SMB协议文件系统中进行必要的配置来支持基于AD域的用户身份认证及权限访问控制。

6. 从Windows以AD域用户身份挂载使用阿里云SMB协议文件系统，介绍如何从windows客户端以域用户身份挂载使用阿里云SMB协议文件系统。

7. 从LinuxAD以域用户身份挂载使用阿里云SMB协议文件系统，介绍如何从Linux客户端以域用户身份挂载使用阿里云SMB协议文件系统。

8. 阿里云SMB协议文件系统ACL权限控制使用指南，介绍如何正确地配置阿里云SMB协议文件系统的ACL以及相应的规则描述。

9. 阿里云SMB协议文件系统AD身份认证和ACL权限控制使用场景 - Home Directory / User Profile，介绍使用权限控制的域用户Home Directory以及User Profile两个场景下的相关配置及实现。