设为首页加入收藏
群晖首页图片
网站标志
新闻详情
 
当前位置
新闻搜索
 
 
如何管理 Synology NAS 中的 ACL 设置
作者:管理员    发布于:2018-09-11 20:11:06    文字:【】【】【

总览:

Synology NAS 为您提供了微调和设置多个规则的功能,让您使用 ACL 来对文件及文件夹的隐私进行管理。这对个人用户和专业用户都非常有用,可让企业将结合灵活性和高级别安全性来保护其所有数据。通过 DSM,您可以轻松管理存储在 Synology NAS 中的数据。

访问控制列表(ACL)是访问 Windows 环境中与一个对象(如文件、文件夹或程序)连接的访问控制条目(ACE)的列表。ACL 中的每个条目决定了用户或群组对该对象的访问权限。每个用户或组可自定义共享文件夹以及单个文件和子文件夹的访问权限。Synology DiskStation 的 ACL 简化了定义上述权利和权限的流程, 因此用户可通过其完整的 ACL 安全设置来管理资源。

目录

  1. 开始进行之前的准备
  2. 管理共享文件夹的基本权限
  3. 自定义 Windows ACL 权限
  4. 使用权限检查器检查文件或文件夹的权限设置
  5. 给予用户管理员权限
  6. 通过 FTP 为匿名用户设置访问文件目录的权限
  7. 为属于群组的用户微调设置
  8. 禁用访问共享文件夹的默认管理员帐户

1.开始进行之前的准备

  • 确认您的 Synology NAS 在运行 DSM 5.0 或更新版本。

  • DSM 5.0 和 Windows ACL:

    在 DSM 5.0 中,共享文件夹的访问权限默认取决于 Windows ACL。新创建的共享文件夹可执行 Windows ACL 的权限设置,还可自定义单个文件和子文件夹的权限。此外,通过 File Station 或 Windows 文件资源管理器可自定义权限。

    注:

    • 用户的个人 home 文件夹位于 homes 文件夹下。由于 ACL 基于权限继承的方式工作,因此如果您为 homes 文件夹下的用户/群组设置了“禁止访问”权限,则用户将无法访问其个人的 home 或 photo/web 文件夹。您在编辑 homes 文件夹的权限时应格外小心,不要意外限制用户对他们自己的 home 文件夹应有的全面读取/写入权限。
    • 在编辑 web 或个人 web/photo 文件夹的权限时,您必须授予 http 用户群组读取或读取/写入权限,否则会影响网页服务功能。

    2.管理共享文件夹的基本权限

    在以下章节中,我们将向您介绍编辑共享文件夹基本访问权限的步骤。

    1. 请进入控制面板 > 共享文件夹
    2. 选择您要编辑其权限的共享文件夹。单击编辑
    3. 进入权限选项卡。
    4. 从操作下拉菜单中选择下列选项之一:
      • 系统内部用户:为默认的系统用户指派权限,如 Anonymous FTP/WebDAV 用户。开始让匿名 FTP 用户连接至共享文件夹之前,您需要先授予其访问权限。
      • 本地用户:为本地用户指定权限(包括 guest)。
      • 本地群组:为本地群组指定权限。
    5. 勾选或取消勾选每个用户或组的适当复选框来自定义共享文件夹的访问权限:
      • 读取/写入:该用户或群组可以访问并变更此共享文件夹中的文件及子文件夹。
      • 只读:用户或用户群组可访问此共享文件夹中的文件及子文件夹。
      • 禁止访问:该用户或群组无法访问此共享文件夹中的文件或子文件夹。
    6. 单击确定来完成。

    注:

    • 遇到访问权限冲突时,权限设置的优先顺序为:禁止访问 > 读取/写入 > 只读。
    • 创建新的共享文件夹时,若属于 administrators 组的用户的权限设置为禁止访问,则该用户只能在控制面板 > 共享文件夹中看到此共享文件夹。


    3.自定义 Windows ACL 权限

    除上述设置外,您可按照以下步骤进一步自定义权限。

    注:

    以下设置无法在以下共享文件夹中使用:photosatasharesdsharesurveillanceusbshare

    若要自定义权限:

    1. 权限选项卡中,选择您要自定义其权限的用户。单击自定义栏内的任意位置。
    2. 权限编辑器窗口,执行下列任何操作来管理文件或文件夹的 ACL 权限:
      • 用户或组:指定您要自定义权限的用户或组。
      • 继承自:仅供查看。查看此处信息来了解该权限是继承自父文件夹或显式权限(显示为)。
      • 类型:选择允许拒绝来授予或拒绝用户或组的权限。
      • 应用于:如果您正为文件夹创建权限条目,请勾选复选框应用该条目到此文件夹、文件夹中的文件夹(即子文件夹)或文件(即子文件),或此文件夹中所有文件和文件夹(即所有子文件或子文件夹)。
      • 管理:勾选读取权限更改权限取得所有权来指定用户或组的访问权限设置。
      • 读取写入:勾选此部分的复选框来修改用户或组对于文件或文件夹的权限设置。
    3. 单击确定

    关于权限继承:

    ACL 权限可从父对象继承到子对象。例如,如果一位用户被授予一个文件夹的读取权限,则 ACL 条目将应用于特定文件夹中的所有文件,这意味着该用户将有访问其中所有文件的权限。继承权限将显示为灰色,而对象的自身权限(或显式权限)将显示为黑色。


    4.使用权限检查器检查权限设置

    您可使用权限检查器来查看用户或群组对文件或文件夹的访问权限。请按以下步骤完成操作:

    1. 进入主菜单 > File Station
    2. 选择您要检查或查看其权限的文件或文件夹。
    3. 单击操作下拉菜单,然后选择属性
    4. 进入权限选项卡并选择高级选项下拉菜单中的权限检查器
    5. 请选择您要查看其访问权限的用户或群组。
    6. 在以下栏中内查看用户或群组的管理员、读取和写入权限。

    权限编辑器及权限检查器中的详细 ACL 权限详细解释:

    • 管理:
      • 更改权限:这可以控制用户是否可以更改文件或文件夹权限。
      • 取得所有权:这可以控制用户是否有文件或文件夹的所有权。
    • 读取:
      • 遍历文件夹/执行文件:这可以控制用户是否可以运行程序文件。
      • 列出文件夹/读取数据:这可以控制用户是否可以读取文件数据。
      • 读取属性:这可以控制用户是否可以查看文件属性。
      • 读取扩展属性:这可以控制用户是否可以查看文件扩展属性。
      • 读取权限:这可以控制用户是否可以读取文件或文件夹权限。
    • 写入:
      • 创建文件/写入数据:这可以控制用户是否可以更改文件内容。
      • 创建文件夹/附加数据:这可以控制用户是否可以在文件末尾添加数据。
      • 写入属性:这可以控制用户是否可以更改文件属性。
      • 写入扩展属性:这可以控制用户是否可以更改文件扩展属性。
      • 删除子文件夹和文件:这可以控制用户是否可以删除文件夹。
      • 删除:这可以控制用户是否可以删除文件。


    5.给予用户管理员权限

    在某些情况下,您可能需要授予用户与默认管理员帐户相同的权限。通过将用户添加到系统默认管理员群组可轻松完成此操作。

    1. 进入用户并选择您要编辑其权限的用户。单击编辑
    2. 进入用户群组选项卡并勾选管理员行中添加下的复选框。
    3. 单击确定

    现在该用户将拥有默认管理员帐户相同的权利和权限。您可按需要的数量将人员添加到 administrators 群组。

    6.通过 FTP 为匿名用户设置访问文件目录的权限

    您可以调整文件或文件夹的权限设置来授予匿名用户对这些文件或文件夹的访问权限。在以下步骤中,我们将介绍如何更改共享文件夹的 ACL 设置,以使匿名用户获得通过 FTP 上传文件的权限,但限制其读取、删除或覆盖已有文件的能力。

    1. 进入共享文件夹,然后选择您要编辑的文件夹。单击编辑
    2. 进入权限选项卡, 选择下拉菜单中的系统内部用户
    3. 匿名 FTP/webDAV 行中,单击自定义
    4. 勾选写入类别下“创建文件/写入数据”和“创建文件夹/附加数据”旁的复选框。

    现在,当不同的参与方采用匿名 FTP 帐户连接到共享文件夹 A,他们可添加文件或文件夹,但无法读取或覆盖已有的文件和文件夹。


    7.为属于群组的用户微调设置

    在您要进一步微调与一个文件或文件夹相关用户的权限设置中,可能会有不同的情况。在本实例中,想象您要让 Sales 群组能够访问 Data 共享文件夹下的所有信息,但您又不想授予他们更改、添加或覆盖任何之前设置的权限。要进行此操作,您可授予 Sales 群组对 Data 文件夹及其子文件和文件夹的读取权限。但是,您还要授予负责 Datacenter 项目的用户 John 对 Datacenter 文件夹的读写权限,即便他也是 Sales 群组中的一员。在以下步骤中,我们将使用用户 JohnSales 群组以及 Data 共享文件夹(包含子文件夹为 Datacenter 的 projects 文件夹)来演示如何进行上述操作。

    1. 进入 File Station。右键单击 Data 文件夹并选择 属性
    2. 进入权限选项卡并单击创建
    3. 权限编辑器窗口,从用户或群组下拉菜单中选择 Sales
    4. 勾选读取旁的复选框,然后单击确定
    5. 勾选“应用到此文件夹、子文件夹和文件”旁的复选框,然后单击确定
    6. 现在为用户 John 设置权限。右键单击 Datacenter 文件夹并选择属性
    7. 进入权限选项卡并单击创建
    8. 权限编辑器窗口,从用户或群组下拉菜单中选择 John
    9. 勾选读取写入旁的复选框。单击确定
    10. 勾选“应用到此文件夹、子文件夹和文件”旁的复选框,然后单击确定

    现在 John 将成为 Sales 群组中唯一有 Datacenter 文件夹写入权限的成员。


    8.禁用访问共享文件夹的默认管理员帐户

    在某些情况下,您可能想要禁止 admin 帐户访问某些共享文件夹。请按以下说明完成操作:

    1. 请进入控制面板 > 共享文件夹。选择所需的文件夹,然后单击编辑
    2. 进入权限选项卡并为 admin 用户勾选禁止访问
    3. 单击确定

    现在 admin 将无法访问文件夹 A 中的任何内容。您还可以再进一步,在无需允许的情况下隐藏文件夹和文件。这意味着当某人以 admin 身份登录时,他们将甚至无法看到您的共享文件夹(共享文件夹 A)。

    若要进行此操作,进入共享文件夹 > 编辑 > 常规并勾选对没有权限的用户隐藏文件和文件夹旁的复选框。启用此选项后,如果没有读取权限的用户尝试通过 Windows 文件共享协议来访问共享文件夹,该用户将无法查看该共享文件夹中的文件夹或文件。如果您首次创建文件夹,还可以选择此选项。


      ---------------------------------------------------------------------------------------------------

     

     IT解决方案:

       文件共享、私有云盘、企业网盘  解决方案

       存储雷电DAS 、SAN、IPSAN ISCSI 解决方案

        企业级存储解决方案

       备份 容灾解决方案

       防勒索病毒解决方案


      NAS 应用场景:完美解决文件共享/文件分享问题,替代传统文件服务器

                                  NAS网络存储 文件NAS存储 。

     群晖备份一体机 适用于的企级备份软件有:

    (acronis 安克诺斯 /veeam安盟/veritas华睿泰/commvault 慷孚沃德 /arcserver )

      PHD virtual , Nakivo, IBM spectrum protect , (TSM) HP data protector

      DELL  EMC Networker  RecoverPoint Quest  veritas system recovery 18

     国内备份软件:鼎甲,火星仓,UPM,浪擎,爱数

    黑群晖无法升级,易丢失数据,建议用白群晖,黑群晖洗白

    synology partner:深圳国亿国际(凯洛蜜) 上海世平伟业

    服务区域:四川群晖 成都群晖 西藏群晖  重庆群晖贵州群晖 贵阳群晖 云南群晖  昆明群晖 

     群晖配件:群晖钥匙  群晖网卡  群晖内存 群晖电源 群晖主板

    群晖维修:群晖保修保内保外维修 群晖硬盘数据恢复 群晖客服 群晖保修 群晖维修)

    群晖数据恢复:  服务器数据恢复 raid数据恢复  nas数据恢复   希捷数据恢复  西数硬盘恢复  seagate 数据恢复  WD数据恢复 

     国行原装正品(国代,总代理,总分销商)方案适用机型:

    19-系列

    DS1219+ 

    18-系列FS1018RS3618xsDS3018xsRS2818RP+RS2418(RP)+RS818(RP)+DS918+DS718+DS418DS418playDS218+、、DS218playDS418jDS218DS218jDS118

    17-系列FS3017FS2017RS18017xs+RS4017xs+RS3617xs+RS3617RPxsRS3617xsDS1817+DS1517+DS1817DS1517RS217

    16-系列RS18016xs+RS2416(RP)+DS916+DS716+IIDS716+RS816DS416DS416playDS216+IIDS216+DS216playDS416slimDS416jDS216DS216jDS216seDS116NVR216

    15-系列RC18015xs+DS3615xsDS2015xsRS815(RP)+DS2415+DS1515+DS415+RS815DS1515DS715DS415playDS215+DS215jDS115DS115jDS1815+

    14-系列RS3614xs+RS2414(RP)+RS814(RP)+RS814DS414DS214+DS214playRS214DS414jDS414slimDS214DS214seDS114EDS14

    13-系列RS10613xs+RS3413xs+DS2413+DS1813+DS1513+DS713+DS413DS213+DS413jDS413jDS213DS213jDS213air

    12-系列DS212j

    早期系列:ds-101 


    科汇科技 --- 专业数据备份服务商

    无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式数据备份方案。

    京东群晖synology  天猫群晖 线下代理售后维修服务站

    四川成都群晖官方授权核心代理商(企业级服务商)

    四川成都群晖synology解决方案中心

    四川成都群晖synology体验中心

    四川成都群晖synology售后维修中心

    四川成都群晖synology官方授权专卖店

    成都科汇科技有限公司

    地址:成都市人民南路四段1号时代数码大厦18F

    群晖电话:400-028-1235(群晖400)

    QQ:     2231749852

    手机:138 8074 7621(微信同号)

    微信公众号:群晖Synology技术中心

    脚注备案信息
    群晖技术群