從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統

在完成AD域接入之後，使用者即可開始以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統了。本文介紹了幾種SMB檔案系統的挂在方式以及簡單的ACL特性使用方法的示範。

SMB協定檔案系統的老使用者需要删除已有NAS檔案系統挂載之後再重新挂載。

阿裡雲NAS SMB協定檔案系統在連通AD域之前，都隻支援以匿名方式來挂載，以Everyone使用者的身份和權限來使用檔案系統。當一個SMB協定檔案系統開通AD認證功能之後，使用者可以設定是否繼續允許匿名挂載通路。

• 如果一個SMB協定檔案系統允許匿名通路，已加入AD域的裝置将通過Kerberos認證以域使用者身份進行挂載，而未加入AD域的裝置可以通過NTLM認證協繼續匿名挂載挂載，以Everyone使用者的身份使用檔案系統。
• 如果一個SMB協定檔案系統已設定為不允許匿通路，那該檔案系統将隻允許已加入AD域的裝置通過Kerberos認證協定以域使用者身份進行挂載。

注：請使用Windows系統的指令行工具（cmd）運作本文中提供的指令。

NAS使用者可以繼續參考使用阿裡雲控制台提供的基于net use指令行工具的挂載指令來挂載檔案系統。在該模式下，使用者可以正常通路檔案系統和檢視檔案或目錄的ACL，但不能編輯修改ACL内容。以下為使用net use工具進行檔案系統挂載的CMD指令模闆：

net use [可用的目标盤符] [SMB協定NAS檔案系統挂載點域名]           

指令範例：

net use z: \\nas-mount-point.nas.aliyuncs.com\myshare           

使用net use指令挂載SMB協定NAS檔案系統的指令運作效果請參考以下GIF動圖（其中檔案系統名等敏感資訊已塗黑）。

關于net use工具的更多詳情請參考微軟官方文檔：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/gg651155(v%3Dws.11)

)

建立符号連結，以子目錄形式通路檔案并可修改ACL

NAS使用者也可以使用mklink指令行工具為NAS檔案系統挂載點在Windows本地盤下生成符号連結，以通路Windows本地盤的子目錄的形式來通路NAS檔案系統。在該模式下，使用者可以正常通路檔案系統，也可以檢視和編輯檔案或目錄的ACL。以下為使用mklink工具進行檔案系統挂載的CMD指令模闆：

mklink /D [符号連結的檔案系統路徑] [SMB協定NAS檔案系統挂載點域名]           

指令範例:

mklink /D c:\myshare \\nas-mount-point.nas.aliyuncs.com\myshare           

使用mklink指令挂載SMB協定NAS檔案系統的指令運作效果請參考以下GIF動圖（其中檔案系統名等敏感資訊已塗黑）。

關于mklink工具的更多詳情請參考微軟官方文檔：

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/mklink

注意：Windows系統預設情況下隻有系統管理者Administrator可以建立符号連結，如果普通使用者需要建立符号連結，需要由管理者為該使用者添權重限。以管理者權限搜尋并運作secpol.msc, 并将指定使用者加入“建立符号連結”的權限組中（如下圖）。

權限設定完成之後需要該使用者需要重新登入系統後才會生效。

使用Windows檔案資料總管檢視/編輯ACL

在挂載成功後，使用者可以通過Windows的檔案資料總管（File Explorer）檢視或編輯檔案和目錄的ACL。

下圖為使用mklink工具以C槽下的符号連結的形式挂載使用SMB協定NAS檔案系統後使用Windows的檔案資料總管（File Explorer）檢視NAS檔案系統中檔案的安全屬性（即ACL）的示例（其中檔案系統名、密碼、密鑰内容等敏感資訊已塗黑）。

這裡需要注意的是，阿裡雲NAS檔案系統并沒有實際加入使用者的AD域，是以通過普通網絡檔案系統方式設定ACL會遇到系統提示因RPC伺服器不可用而無法确定NAS挂載點是否已加入域的情況。

此時，通過mklink挂載的使用者可以按下GIF動圖的訓示免去RPC調用進而編輯ACL。

更多

下面是使用基于AD域系統的使用者身份認證及通路權限控制可能需要的相關知識點：

1. 阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制介紹 ，總體介紹阿裡雲SMB協定檔案存儲服務支援基于AD域的使用者身份認證及權限通路控制的設計實作。
2. Kerberos網絡身份認證協定介紹及SMB檔案系統對其的支援 ，介紹Kerberos網絡身份認證協定以及與SMB協定問系統的互動。
3. 安裝并啟用Active Directory域服務與DNS服務 ，介紹如何在VPC中安裝并啟用AD域服務和DNS服務。
4. 将Windows系統機器加入AD域 ，介紹如何将windows機器加入AD域。
5. 将阿裡雲SMB協定檔案系統挂載點接入AD域 ，介紹如何在AD域伺服器以及阿裡雲SMB協定檔案系統中進行必要的配置來支援基于AD域的使用者身份認證及權限通路控制。
6. 從Windows以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從windows用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
7. Linux用戶端以AD域使用者身份挂載使用阿裡雲SMB協定檔案系統 ，介紹如何從Linux用戶端以域使用者身份挂載使用阿裡雲SMB協定檔案系統。
8. 阿裡雲SMB協定檔案系統ACL權限控制使用指南 ，介紹如何正确地配置阿裡雲SMB協定檔案系統的ACL以及相應的規則描述。
9. 阿裡雲SMB協定檔案系統AD身份認證和ACL權限控制使用場景 - Home Directory / User Profile ，介紹使用權限控制的域使用者Home Directory以及User Profile兩個場景下的相關配置及實作。
10. MacOS用戶端連接配接阿裡雲NAS SMB檔案系統 ，介紹如何從MacOS用戶端挂載使用阿裡雲SMB協定檔案系統。