访问控制列表(ACL)是附加到Windows环境中对象(如文件、文件夹或程序)的访问控制条目(ACE)列表。每个条目决定了用户或群组对对象的访问权限。本文将介绍如何在共享文件夹层级或单个文件或子文件夹层级使用ACL配置和自定义访问权限规则。通过ACL,用户可以精细控制对各类资源的访问,确保数据安全和权限管理的灵活性。
环境配置
请确认您的 Synology NAS 运行 DSM 5.0 或更新版本。自 DSM 5.0 起,共享文件夹的访问权限默认基于 Windows ACL。新创建的共享文件夹将使用 Windows ACL 设置权限,且可以自定义单个文件和子文件夹的权限,也可以通过 File Station 或 Windows 文件资源管理器自定义这些权限。
注:
- 编辑 homes 文件夹的权限时请格外小心,因为该文件夹包含用户的个人 home 文件夹。如果您为 homes 文件夹上的用户或群组设置了禁止访问权限,这些用户或群组将无法访问其个人 home 或 photo/web 文件夹。
- 在编辑网页或个人 web/photo 文件夹权限时,确保 http 群组具有读取或读取/写入权限,否则将影响网页服务的正常运行。
使用 ACL 配置访问权限规则的教程
管理共享文件夹的基本权限
- 进入控制面板 > 共享文件夹。
- 选择您要编辑的共享文件夹,然后单击编辑。
- 进入权限选项卡。
- 从下拉菜单中选择用户类型(系统内部用户、本地用户或本地群组)。1
- 为每个用户或群组勾选或取消勾选适当的框(禁止访问、读取/写入、只读)以自定义其访问权限。1
- 单击保存(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。1 2
自定义 Windows ACL 权限3
- 在权限选项卡中,为您要自定义其权限的用户勾选自定义复选框。
- 在权限编辑器窗口中,修改设置以管理文件或文件夹的ACL权限。4 5
- 单击完成(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。
使用权限检查器检查文件或文件夹的权限设置6
您可使用权限检查器查看用户或群组对文件或文件夹的访问权限。请按照下列步骤操作:
- 启动 File Station。
- 选择您要检查或查看权限的文件夹或文件。
- 单击操作下拉菜单并选择属性。
- 进入权限选项卡,单击高级选项下拉菜单,然后选择权限检查器。
- 选择您要查看其访问权限的用户或群组。
- 在以下栏中查看用户或群组的管理员、读取和写入权限。
为用户授予管理员权限
如果要授予用户与默认 admin 帐户相同的权限,可通过将用户添加到系统管理员群组来实现。您可以添加到此群组的用户数量没有限制。
- 进入控制面板 > 用户和群组 > 用户(适用于 DSM 7.0 及以上版本)或用户(适用于 DSM 6.2 及更早版本),选择用户,然后单击编辑。
- 进入用户群组选项卡。
- 在管理员行中,勾选添加。
- 单击保存(适用于 DSM 7.0 及以上版本)或确定(适用于 DSM 6.2 及更早版本)。
设置匿名用户通过 FTP 访问文件目录的权限
您可以更改共享文件夹的 ACL 设置,让匿名用户拥有通过 FTP 上传文件的权限,而限制其读取、删除或覆盖现有文件的权限。
- 进入控制面板 > 共享文件夹,选择文件夹,然后单击编辑。
- 进入权限选项卡并从下拉菜单中选择系统内部用户。
- 在 Anonymous FTP/Presto/ WebDAV 行中,勾选自定义。
- 在权限编辑器弹出窗口中:
- 在读取下选择遍历文件夹/执行文件。
- 在写入下选择创建文件/写入数据和创建文件夹/附加数据。
- 在控制面板 > 共享文件夹中,选择 FTP 使用的共享文件夹,然后单击编辑。进入高级权限 > 高级设置,然后选择禁止修改现有文件。
为属于群组的用户微调设置
在某些情况下,您可能希望进一步微调用户对文件或文件夹的权限设置。出于演示目的,我们使用以下内容:
- 用户群组:Sales
- 用户:John,属于 Sales 群组,负责数据中心项目
- 共享文件夹:Data
- 子文件夹:datacenter,包含在 Data 中
若要授予销售团队中的每个人访问但不更改、添加或覆盖 Data 文件夹中任何内容的权限:
- 启动 File Station。右键单击数据并选择属性。
- 进入权限选项卡并单击创建。
- 在权限编辑器窗口中,从用户或群组下拉菜单中选择 Sales。
- 勾选读取并单击确定。
- 勾选应用到此文件夹、子文件夹和文件,然后单击确定。
仅向 John 授予对 datacenter 的读/写权限:
- 右键单击 datacenter 并选择 Properties。
- 进入权限选项卡并单击创建。
- 在权限编辑器窗口中,从用户或群组下拉菜单中选择 John。
- 勾选读取和写入,然后单击确定。
- 勾选应用到此文件夹、子文件夹和文件,然后单击确定。
禁用默认的 admin 帐户访问共享文件夹
如果您要禁止 admin 帐户访问特定共享文件夹,请按以下步骤操作:
- 进入控制面板 > 共享文件夹。选择文件夹并单击编辑。
- 进入权限选项卡,为admin勾选禁止访问,然后单击确定。
如果 Synology NAS 运行的是 DSM 7.0 或以上版本,您可进一步对没有权限的用户隐藏共享文件夹。这意味着以 admin 身份登录的用户将无法通过 SMB 查看您的共享文件夹。若要执行此操作,请执行以下步骤:
- 前往控制面板 > 文件服务 > SMB。
- 选择对没有权限的用户隐藏共享文件夹。
注:
- 用户可能拥有与分配给其所属群组的权限冲突的特定权限。在此情况下,权限由权限级别按以下顺序确定:禁止访问(NA)> 读/写(RW)> 只读(RO)。有关更多详细信息,请参阅本文中的“编辑权限”一节。
- 创建新的共享文件夹时,如果属于 administrators 群组的用户的权限设置为禁止访问,则这些用户只能在控制面板 > 共享文件夹中看到该共享文件夹。
- 以下共享文件夹无法使用 Windows ACL 权限管理系统:photo、satashare、sdshare、surveillance 和 usbshare。
- 有关“权限编辑器”窗口中每个选项的详细说明,请参阅本文中的“自定义权限”一节。
- ACL 权限可从父对象继承到子对象。例如,如果将文件夹的读取权限授予用户,则 ACL 条目将应用于该特定文件夹中的所有文件,这意味着该用户有权访问其中的所有文件。继承的权限将显示为灰色,而对象自己的权限(或显式权限)将显示为黑色。
- 有关在权限编辑器和权限检查器中找到的 ACL 权限的详细说明,请参阅本文中的“ACL 权限”一节。