如何管理 Windows 的 ACL 权限

概述

Synology NAS 支持的 ACL 服务，可让专业 IT 人员利用熟悉的 Windows 使用经验，方便地微调公司数据的安全性层级。所有使用者及群组的权限，可在富有弹性的权限规则下，于根层级 (共享文件夹) 及文件层级 (子文件夹及文件) 中设置，并且将设置套用至 Synology NAS 提供的其他文件分享服务：File Station、FTP、NFS、AFP。

本文章将引导您管理 Synology NAS 的 ACL 权限，并将 ACL 适当地从 Windows 服务器移转至 Synology NAS。

什么是 ACL？

访问控制列表 (Access Control List, ACL) 是 Windows 环境下依附于对象 (如文件、文件夹、或程序) 的访问控制项目 (Access Control Entry, ACE)。ACL 中的每个项目决定了用户或群组对象的访问权限。举例来说，如果 ACL 项目依附在「业务及会计报表」文件上的内容如下：「授权：业务 - 只读；授权：会计 - 修改；拒绝：工程师 - 禁止存取)」，那么属于「会计」群组的使用者拥有修改文件的权限，而业务经理只拥有读取的权限，工程师则连存取的权限都没有。

Synology NAS 支持的 ACL 功能，可能会提示您将文件从 Windows PC 移转至 Synology NAS。运行移转之前，请记住一件事：数据迁移过程中如有差错，很可能会导致 ACL 信息遗失。为避免此事发生，本文的最后一个章节将说明如何适当地移转 ACL 权限。

内容

开始进行之前的准备

管理 DiskStation 的 ACL

将 ACL 设置从 PC 服务器上移转

1 开始进行之前的准备

本文章假设您已经为 DiskStation 完成以下的准备工作：

Synology DiskStation 的硬件安装

Synology DiskStation Manager 的软件安装 (DSM，网页接口的 DiskStation 操作系统)

建立存储空间及共享文件夹 (请参阅此处)

建立 DSM 本机使用者 (请参阅此处)

将 Synology DiskStation 加入 Windows ADS 网域 (请参阅此处)

请参阅快速安装指南来了解更多硬盘及软件安装方式的相关信息。您也可以参阅 Synology DiskStation 使用手册 (可于 Synology下载中心取得) 来对本文介绍的各主题有概略的认识。

注意：

ACL 信息只能存储于以 DSM 30 及以上版本建立的存储空间，DSM 23 及之前的版本则不支持 ACL。

以下为无法启动 ACL 的共享文件夹：photo、surveillance、web、homes、NetBackup、usbshare、sdshare、esatashare。

2 管理 DiskStation 的 ACL

如果 DiskStation 上的存储空间是以 DSM 30 及以上版本建立而成，身为管理员的您 (DSM admin 或是属于 administrators 群组的使用者，亦或是网域管理员) 不仅可以为存储空间上的共享文件夹启动 ACL、通过 Windows 计算机存取文件夹上的文件，还可以为下列使用者或群组指定文件夹 (及其数据) 的 ACL 访问权限：

如果 DiskStation 有加入 ADS 网域，您可以为网域使用者或群组指定 ACL 访问权限。

如果 DiskStation 没有加入 ADS 网域，您可以为 DSM 本地使用者或群组指定 ACL 访问权限。

本章节说明如何为 DiskStation 共享文件夹启动 ACL，以及如何为共享文件夹中的文件编辑 ACL 访问权限。

重要：如果您想为网域使用者或群组编辑 ACL 权限，请确认您的 Windows 计算机及 DiskStation 是否已加入同一个 ADS 网域。

若要为 DiskStation 共享文件夹启动 ACL：

请以管理员 (DSM admin 或是属于 administrators 群组的使用者) 或是网域管理员的身分登入 DSM。

注意：如果您想以网域管理员的身分登入，请在使用者名称字段输入网域_名称\使用者名称。

前往主选单 > 控制面板 > 共享文件夹，然后新增或选择存储空间上的目的地共享文件夹，该存储空间必须是以 DSM 30 及以上版本建立而成。

单击编辑，单击 Windows 访问控制列表页签，选择允许编辑 Windows 访问控制列表，然后单击确定。

选择文件夹列表上的共享文件夹，单击权限设置，然后运行下列操作，以确认管理员确实拥有存取共享文件夹的完整权限：

如果 DiskStation 有加入 ADS 网域，请从下拉式选单选择网域使用者，确认网域管理员拥有该共享文件夹的读写权限，然后单击确定。

如果 DiskStation 没有加入 ADS 网域，请从下拉式选单选择本地使用者，确认 DSM 管理员 (admin 或是属于administrators 群组的使用者) 拥有该共享文件夹的读写权限，然后单击确定。

若要为使用者或群组指定文件或文件夹的 ACL 权限：

请参阅此处的方法 2 来学习如何通过 CIFS 存取 DiskStation 上存放的文件。当画面上出现认证信息提示时，请使用若要为 DiskStation 共享文件夹启动 ACL 章节中提到的使用者凭证信息：

如果 DiskStation 有加入 ADS 网域，请使用网域管理员的使用者凭证信息来进行认证。

如果 DiskStation 没有加入 ADS 网域，请使用 DSM 管理员的使用者凭证信息来进行认证。

以鼠标右键点按共享文件夹里的文件或文件夹，选择内容，然后单击安全性页签。您可以在这里看到用户或群组清单，及其文件或文件夹的 ACL 权限。依照预设，Everyone 群组 (包括所有 DSM 本地群组及网域群组) 拥有读、写、修改共享文件夹中文件或文件夹的权限。

单击编辑 > 新增 (在 Windows XP 环境下请直接按新增)。在显示的窗口中，您会在从这个位置字段中看到以下任一信息：

如果 DiskStation 有加入 ADS 网域，您可以看到 ADS 网域的名称。

如果 DiskStation 没有加入 ADS 网域，您可以看到 DiskStation 的 IP 或 DiskStation 的名称。

请在输入对象名称来选取字段输入以下任一信息：

如果 DiskStation 有加入 ADS 网域，请输入网域使用者 / 群组的名称，单击检查名称来验证该使用者 / 组名，然后单击确定。

如果 DiskStation 没有加入 ADS 网域，请输入 DSM 本地使用者 / 群组的名称，单击检查名称来验证该使用者 / 组名，然后单击确定。

现在您已经可以在清单上看到新增的使用者或群组。选择使用者或群组，然后勾选 [使用者或群组] 的权限区块中的允许或拒绝复选框，以设置他们存取文件夹或文件的权限 (请见第 2 步骤)。

单击套用。

关于权限继承及冲突：

ACL 权限采继承制，由父对象延伸至子对象。举例来说，如果「业务」文件夹的 ACL 项目赋予用户「小美」只读的权限，那么 ACL 项目就可以套用到「业务」文件夹里的所有文件 (例如：「年度报表xls」)，也就是说，使用者可以开启文件夹中所有文件。继承权限会以灰色复选标记显示，父对象权限则以黑色表示。

若是遇到权限冲突的情况，优先层级会落在拒绝权限上。在上述例子中，基于权限继承的特性，小美拥有「业务」文件夹以及该文件夹内「年度报表xls」的只读权限。如果现在情况改变，小美在「业务」文件夹的只读权限被拒绝，但仍赋予其「年度报表xls」的只读权限，她还是无法开启「年度报表xls」，因为从「业务」文件夹继承而来的拒绝权限优先于其他存取规则。

3 将 ACL 设置从 PC 服务器上移转

在办公环境下，所有计算机都会一并加入同一个 ADS 网域，但如果 PC 服务器的存储空间出现不足的情况，IT 专业人员可能就需要以 Synology DiskStation 取代 PC 服务器，做为公司的数据中心。不过，在数据迁移的过程中，一定会遇到一件令人头痛的事：原先设置好的 ACL 权限无法原封不动地搬移至目的地文件夹 (请参阅此处来取得详细信息)。

ACL<访问控制列表（Access Control List）>

♫ 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

♫ ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

ACL作用

♫ 可以限制网络流量、提高网络性能。　

♫ 提供对通信流量的控制手段。　

♫ 是提供网络安全访问的基本手段。

♫ 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

ACL 3P原则

♬ 每种协议一个 ACL

♬ 每个方向一个 ACL

♬ 每个接口一个 ACL

ACL执行过程

♬ 一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。　♬ 数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

♬ 如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。

♬ Cisco隐藏语句 deny any any

ACL分类

♬ 标准ACL

♬ 扩展ACL

♬ 命名ACL

♬ 时间ACL

♬ 自反ACL

♬ 动态ACL

♬ Established ACL

♬ 限速ACL

♬ 分类ACL

♬ Turbo ACL

♬ 设备保护 ACL

♬ 过境ACL

♬ 分布式时间ACL

我是合肥清默的学员，想知道更多的知识，请加入知识群：137962123

r3(config)#access-list permit tcp 19216812 000255 host 1111 eq http //允许指定IP段访问指定IP的指定服务

r3(config)# access-list 110 permit tcp 19216812 000255 host 1111 eq dns

r3(config)#access-list 110 permit tcp 19216813 000255 host 1111 eq http

r3(config)# access-list 110 permit tcp 19216813 000255 host 1111 eq dns

r3(config)# access-list 110 deny ip any any

r3(config)#int f0/1

r3(config-if)#ip access-group 110 in 在端口中实现。

指定四个语句，允许访问的两个服务到1111这样不至将来填加一个1112的服务的时候，会默认给阻止掉了。

上面两个仁兄，思路没问题，第一个要建立两个ACL，但是一个接口的同一个方向，只能用一条ACL，所以你配置两个ACL，行不通。 第二个DENY19216810的网段思路没问题。可是这样这个IP访问其他服务器的这两个服务的时候，就会阻止，而且，你这个还少一个any 关键字。