适合企业的NAS网络存储服务器
咨询试用

群晖NAS教程:如何在共享文件夹层级使用 ACL 配置访问权限规则?

2024年07月3日 | 教程中心

访问控制列表(ACL)是附加到Windows环境中对象(如文件、文件夹或程序)的访问控制条目(ACE)列表。每个条目决定了用户或群组对对象的访问权限。本文将介绍如何在共享文件夹层级或单个文件或子文件夹层级使用ACL配置和自定义访问权限规则。通过ACL,用户可以精细控制对各类资源的访问,确保数据安全和权限管理的灵活性。

环境配置

请确认您的 Synology NAS 运行 DSM 5.0 或更新版本。自 DSM 5.0 起,共享文件夹的访问权限默认基于 Windows ACL。新创建的共享文件夹将使用 Windows ACL 设置权限,且可以自定义单个文件和子文件夹的权限,也可以通过 File Station 或 Windows 文件资源管理器自定义这些权限。

注:

  • 编辑 homes 文件夹的权限时请格外小心,因为该文件夹包含用户的个人 home 文件夹。如果您为 homes 文件夹上的用户或群组设置了禁止访问权限,这些用户或群组将无法访问其个人 home 或 photo/web 文件夹。
  • 在编辑网页或个人 web/photo 文件夹权限时,确保 http 群组具有读取或读取/写入权限,否则将影响网页服务的正常运行。

使用 ACL 配置访问权限规则的教程

管理共享文件夹的基本权限

  1. 进入控制面板 > 共享文件夹
  2. 选择您要编辑的共享文件夹,然后单击编辑
  3. 进入权限选项卡。
  4. 从下拉菜单中选择用户类型(系统内部用户、本地用户或本地群组)。1
  5. 为每个用户或群组勾选或取消勾选适当的框(禁止访问、读取/写入、只读)以自定义其访问权限。1
  6. 单击保存(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。1 2

自定义 Windows ACL 权限3

  1. 权限选项卡中,为您要自定义其权限的用户勾选自定义复选框。
  2. 权限编辑器窗口中,修改设置以管理文件或文件夹的ACL权限。4 5
  3. 单击完成(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。

使用权限检查器检查文件或文件夹的权限设置6

您可使用权限检查器查看用户或群组对文件或文件夹的访问权限。请按照下列步骤操作:

  1. 启动 File Station
  2. 选择您要检查或查看权限的文件夹或文件。
  3. 单击操作下拉菜单并选择属性
  4. 进入权限选项卡,单击高级选项下拉菜单,然后选择权限检查器
  5. 选择您要查看其访问权限的用户或群组。
  6. 在以下栏中查看用户或群组的管理员、读取和写入权限。

为用户授予管理员权限

如果要授予用户与默认 admin 帐户相同的权限,可通过将用户添加到系统管理员群组来实现。您可以添加到此群组的用户数量没有限制。

  1. 进入控制面板 > 用户和群组 > 用户(适用于 DSM 7.0 及以上版本)或用户(适用于 DSM 6.2 及更早版本),选择用户,然后单击编辑
  2. 进入用户群组选项卡。
  3. 管理员行中,勾选添加
  4. 单击保存(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。

设置匿名用户通过 FTP 访问文件目录的权限

您可以更改共享文件夹的 ACL 设置,让匿名用户拥有通过 FTP 上传文件的权限,而限制其读取、删除或覆盖现有文件的权限。

  1. 进入控制面板 > 共享文件夹,选择文件夹,然后单击编辑
  2. 进入权限选项卡并从下拉菜单中选择系统内部用户
  3. 在 Anonymous FTP/Presto/ WebDAV 行中,勾选自定义
  4. 权限编辑器弹出窗口中:
    • 读取下选择遍历文件夹/执行文件
    • 写入下选择创建文件/写入数据创建文件夹/附加数据
  5. 控制面板 > 共享文件夹中,选择 FTP 使用的共享文件夹,然后单击编辑。进入高级权限 > 高级设置,然后选择禁止修改现有文件

为属于群组的用户微调设置

在某些情况下,您可能希望进一步微调用户对文件或文件夹的权限设置。出于演示目的,我们使用以下内容:

  • 用户群组:Sales
  • 用户:John,属于 Sales 群组,负责数据中心项目
  • 共享文件夹:Data
  • 子文件夹:datacenter,包含在 Data 中

若要授予销售团队中的每个人访问但不更改、添加或覆盖 Data 文件夹中任何内容的权限:

  1. 启动 File Station。右键单击数据并选择属性
  2. 进入权限选项卡并单击创建
  3. 权限编辑器窗口中,从用户或群组下拉菜单中选择 Sales
  4. 勾选读取并单击确定
  5. 勾选应用到此文件夹、子文件夹和文件,然后单击确定

仅向 John 授予对 datacenter 的读/写权限:

  1. 右键单击 datacenter 并选择 Properties
  2. 进入权限选项卡并单击创建
  3. 权限编辑器窗口中,从用户或群组下拉菜单中选择 John
  4. 勾选读取写入,然后单击确定
  5. 勾选应用到此文件夹、子文件夹和文件,然后单击确定

禁用默认的 admin 帐户访问共享文件夹

如果您要禁止 admin 帐户访问特定共享文件夹,请按以下步骤操作:

  1. 进入控制面板 > 共享文件夹。选择文件夹并单击编辑
  2. 进入权限选项卡,为admin勾选禁止访问,然后单击确定

如果 Synology NAS 运行的是 DSM 7.0 或以上版本,您可进一步对没有权限的用户隐藏共享文件夹。这意味着以 admin 身份登录的用户将无法通过 SMB 查看您的共享文件夹。若要执行此操作,请执行以下步骤:

  1. 前往控制面板 > 文件服务 > SMB
  2. 选择对没有权限的用户隐藏共享文件夹

注:

  1. 用户可能拥有与分配给其所属群组的权限冲突的特定权限。在此情况下,权限由权限级别按以下顺序确定:禁止访问(NA)> 读/写(RW)> 只读(RO)。有关更多详细信息,请参阅本文中的“编辑权限”一节。
  2. 创建新的共享文件夹时,如果属于 administrators 群组的用户的权限设置为禁止访问,则这些用户只能在控制面板 > 共享文件夹中看到该共享文件夹
  3. 以下共享文件夹无法使用 Windows ACL 权限管理系统:photosatasharesdsharesurveillance 和 usbshare
  4. 有关“权限编辑器”窗口中每个选项的详细说明,请参阅本文中的“自定义权限”一节。
  5. ACL 权限可从父对象继承到子对象。例如,如果将文件夹的读取权限授予用户,则 ACL 条目将应用于该特定文件夹中的所有文件,这意味着该用户有权访问其中的所有文件。继承的权限将显示为灰色,而对象自己的权限(或显式权限)将显示为黑色。
  6. 有关在权限编辑器和权限检查器中找到的 ACL 权限的详细说明,请参阅本文中的“ACL 权限”一节。
文章标签:

相关文章