All Products
Search
Document Center

File Storage NAS:Memasang dan menggunakan sistem file SMB pada klien Windows sebagai pengguna domain AD

Last Updated:Jun 16, 2026

Topik ini menjelaskan cara memasang sistem file Server Message Block (SMB) pada klien Windows menggunakan akun domain Active Directory (AD), serta cara melihat dan mengonfigurasi daftar kontrol akses (ACL) file dan direktori dalam sistem file SMB dengan akun domain AD tersebut.

Prasyarat

Titik pemasangan sistem file SMB telah bergabung ke domain AD. Untuk informasi selengkapnya, lihat Menambahkan titik pemasangan sistem file SMB ke domain AD.

Informasi latar belakang

Sebelum titik pemasangan sistem file SMB bergabung ke domain AD, Anda hanya dapat memasang dan menggunakan sistem file SMB sebagai pengguna anonim. Setelah titik pemasangan tersebut bergabung ke domain AD, Anda dapat menentukan apakah akan mengizinkan akses anonim ke sistem file SMB tersebut.

  • Jika sistem file SMB masih mengizinkan akses anonim, Anda dapat menggunakan akun domain AD untuk mengakses sistem file SMB berdasarkan otentikasi Kerberos atau menggunakan akun yang termasuk dalam kelompok Everyone untuk mengakses sistem file SMB berdasarkan otentikasi New Technology LAN Manager (NTLM).

  • Jika sistem file SMB tidak lagi mengizinkan akses anonim, Anda harus menggunakan akun domain AD untuk memasang sistem file SMB pada klien Windows yang diautentikasi menggunakan Kerberos.

Metode 1: Gabungkan klien Windows ke domain AD, lalu pasang sistem file SMB pada klien Windows

Langkah-langkah berikut menjelaskan cara menggabungkan klien Windows ke domain AD dan memasang sistem file SMB pada klien tersebut. Dalam contoh ini, digunakan Windows Server 2012.

  1. Konfigurasikan alamat IP server DNS untuk klien Windows.

    1. Masuk ke klien Windows.

    2. Dari desktop, klik Start di pojok kiri bawah.

    3. Di menu Start, klik Control Panel.

    4. Di jendela Control Panel, pilih .

    5. Di jendela Network and Sharing Center, pada bagian View your active networks, klik Ethernet.

    6. Di kotak dialog Ethernet Properties, klik Properties.

    7. Di kotak dialog Ethernet Properties, di bawah This connection uses the following items:, pilih Internet Protocol Version 4 (TCP/IPv4), lalu klik Properties.

    8. Di kotak dialog Internet Protocol Version 4 (TCP/IPv4) Properties, pilih Use the following DNS server addresses dan atur alamat server DNS ke alamat IP server domain AD Anda.

    9. Gunakan Command Prompt untuk menjalankan perintah ping, lalu ping domain AD guna memverifikasi konektivitas antara klien Windows dan domain AD.

      C:\Users\Administrator>ping TESTCD-WIN16.com
      
      Pinging TESTCD-WIN16.com [xxx.xxx.xxx.xxx] with 32 bytes of data:
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      
      Ping statistics for xxx.xxx.xxx.xxx:
          Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
      Approximate round trip times in milli-seconds:
          Minimum = 0ms, Maximum = 0ms, Average = 0ms
      
      C:\Users\Administrator>
  2. Gabungkan klien Windows ke domain AD.

    1. Di jendela Control Panel, pilih .

    2. Di jendela System, pada bagian Computer name, domain, and workgroup settings, klik Change settings.

    3. Di kotak dialog System Properties, klik Change.

    4. Di kotak dialog Computer Name/Domain Changes, pilih Domain, masukkan nama domain AD Anda, lalu klik OK.

    5. Mulai ulang klien Windows agar pengaturan yang dimodifikasi diterapkan.

  3. Pasang sistem file SMB pada klien Windows.

    Masuk ke klien Windows sebagai pengguna domain AD. Jalankan perintah berikut di Command Prompt untuk memasang sistem file SMB pada klien Windows:

    net use z: \\nas-mount-target.nas.aliyuncs.com\myshare

Metode 2: Hubungkan klien Windows ke server AD dan pasang sistem file SMB pada klien Windows

Langkah-langkah berikut menjelaskan cara mengonfigurasi server DNS untuk klien Windows, menghubungkan klien ke server AD, dan memasang sistem file SMB pada klien tersebut. Dalam contoh ini, digunakan Windows Server 2012.

  1. Konfigurasikan alamat IP server DNS untuk klien Windows.

    1. Masuk ke klien Windows.

    2. Dari desktop, klik Start di pojok kiri bawah.

    3. Di menu Start, klik Control Panel.

    4. Di jendela Control Panel, pilih .

    5. Di jendela Network and Sharing Center, pada bagian View your active networks, klik Ethernet.

    6. Di kotak dialog Ethernet Properties, klik Properties.

    7. Di kotak dialog Ethernet Properties, di bawah This connection uses the following items:, pilih Internet Protocol Version 4 (TCP/IPv4), lalu klik Properties.

    8. Di kotak dialog Internet Protocol Version 4 (TCP/IPv4) Properties, pilih Use the following DNS server addresses dan atur alamat server DNS ke alamat IP server domain AD Anda.

    9. Gunakan Command Prompt untuk menjalankan perintah ping, lalu ping domain AD guna memverifikasi konektivitas antara klien Windows dan domain AD.

      C:\Users\Administrator>ping TESTCD-WIN16.com
      
      Pinging TESTCD-WIN16.com [xxx.xxx.xxx.xxx] with 32 bytes of data:
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      Reply from xxx.xxx.xxx.xxx: bytes=32 time<1ms TTL=128
      
      Ping statistics for xxx.xxx.xxx.xxx:
          Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
      Approximate round trip times in milli-seconds:
          Minimum = 0ms, Maximum = 0ms, Average = 0ms
      
      C:\Users\Administrator>
  2. Pasang sistem file SMB pada klien Windows.

    Jalankan perintah berikut di Command Prompt pada klien Windows untuk memasang sistem file SMB sebagai pengguna domain AD:

    net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD

    Dalam perintah ini, ganti EXAMPLE.com dengan nama domain AD Anda, USERNAME dengan username domain Anda, dan PASSWORD dengan kata sandi pengguna tersebut.

Mengelola ACL sistem file SMB

Setelah Anda mengaktifkan fitur ACL dan memasang sistem file SMB sebagai pengguna domain AD, Anda dapat melihat dan mengedit ACL file serta direktori dengan metode berikut:

Jalankan perintah mklink untuk memasang sistem file SMB

Anda dapat menjalankan perintah mklink untuk membuat tautan simbolik bagi titik pemasangan sistem file SMB pada disk lokal klien Windows, serta melihat dan mengedit ACL file dan direktori.

  1. Gunakan Command Prompt untuk membuat pemetaan sistem file.

    mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare

    Dalam perintah ini, c:\myshare adalah path lokal untuk tautan simbolik, sedangkan \\nas-mount-target.nas.aliyuncs.com\myshare adalah path ke titik pemasangan sistem file SMB Anda.

  2. Berikan izin kepada pengguna biasa untuk menggunakan tautan simbolik.

    Jika Anda menggunakan akun Administrator, lewati langkah ini.

    1. Sebagai administrator, cari dan jalankan secpol.msc.

    2. Di jendela Local Security Policy, navigasi ke Local Policies > User Rights Assignment. Klik ganda kebijakan Create symbolic links. Di kotak dialog properti yang muncul, klik Add User or Group untuk menambahkan pengguna.

    3. Masuk kembali ke klien Windows sebagai pengguna biasa.

  3. Akses sistem file SMB dan lihat ACL file serta direktori.

    Setelah tautan simbolik dibuat, Anda dapat mengakses sistem file SMB seperti mengakses subdirektori disk lokal di Windows, serta melihat dan mengedit ACL file dan direktori.

Gunakan Windows File Explorer untuk melihat dan mengedit ACL file serta direktori

Setelah Anda membuat tautan simbolik untuk titik pemasangan sistem file SMB pada disk lokal klien Windows, Anda dapat melihat dan mengedit ACL file serta direktori menggunakan Windows File Explorer.

  1. Temukan file atau direktori target, klik kanan, lalu pilih Properties.

  2. Di kotak dialog Properties, buka tab Security, lalu klik Edit.

  3. Di kotak dialog Permissions, klik Add. Di kotak dialog Select Users, Computers, Service Accounts, or Groups, pastikan bidang From this location diatur ke domain AD Anda. Di kotak Enter the object names to select, masukkan username target, lalu klik OK.

Saat menjelajahi sistem file SMB di File Explorer, gunakan tombol Back atau panah Up untuk menavigasi struktur direktori. Jangan gunakan breadcrumb trail di address bar untuk menavigasi ke folder induk.

Sistem file SMB Alibaba Cloud tidak bergabung ke domain AD Anda. Jika Anda mengakses share menggunakan path jaringannya (misalnya, \\nas-mount-point.nas.aliyuncs.com\myshare) alih-alih path tautan simbolik lokal (misalnya, C:\myshare), Anda mungkin mengalami error RPC server is unavailable saat mencoba mengatur ACL. Error ini terjadi karena klien tidak dapat memverifikasi bahwa titik pemasangan telah bergabung ke domain.

Penting

Memodifikasi izin pada C:\myshare menggunakan File Explorer tidak menerapkan perubahan ke direktori root sistem file. Untuk memodifikasi izin direktori root, Anda harus menggunakan cmdlet PowerShell Set-Acl atau tool command-line icacls.

Perintah PowerShell

Anda dapat menggunakan cmdlet Get-Acl dan Set-Acl di PowerShell untuk melihat dan mengedit ACL file serta direktori.

  • Get-Acl

    $value = Get-Acl -Path "Z:"
    # Set properties
    $value.Access
    PS C:\Users\testmonkey> $value
    
        Directory:
    
    Path  Owner     Access
    Z:\   Everyone  Everyone Allow  FullControl...
    
    PS C:\Users\testmonkey> $value.Access
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : Everyone
    IsInherited       : False
    InheritanceFlags  : None
    PropagationFlags  : None
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : CREATOR OWNER
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : InheritOnly
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : NT AUTHORITY\SYSTEM
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : None
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : BUILTIN\Administrators
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : None
    # Set properties
    $identity = "Administrator"
    $fileSystemRights = "FullControl"
    $type = "Allow"
    # Create a new rule
    $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
    $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
    # Apply the new rule
    $value.SetAccessRule($fileSystemAccessRule)
    $value.Access
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : Everyone
    IsInherited       : False
    InheritanceFlags  : None
    PropagationFlags  : None
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : CREATOR OWNER
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : InheritOnly
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : NT AUTHORITY\SYSTEM
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : None
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : BUILTIN\Administrators
    IsInherited       : False
    InheritanceFlags  : ContainerInherit, ObjectInherit
    PropagationFlags  : None
    
    FileSystemRights  : FullControl
    AccessControlType : Allow
    IdentityReference : DOMAIN\Administrator
    IsInherited       : False
    InheritanceFlags  : None
    PropagationFlags  : None
  • Set-Acl

    Cmdlet Set-Acl tidak memerlukan tautan simbolik mklink c:\myshare. Anda dapat menggunakannya untuk langsung memodifikasi izin pada path drive yang dipasang, termasuk direktori root.

    Set-Acl $value -Path "Z:"
    Penting

    Kami menyarankan Anda mengonfigurasi izin untuk memodifikasi direktori root segera setelah sistem file dibuat. Jika tidak, Anda harus memodifikasi subdirektori dan subfile saat menjalankan perintah karena izin diwariskan dari direktori root ke subdirektori.

Perintah icacls

Perintah icacls adalah perintah standar untuk operasi ACL di command line Windows. Anda dapat menggunakan perintah icacls untuk melihat dan mengedit ACL file atau direktori.

Contoh:

icacls z:
# Memberikan izin Full Control kepada pengguna.
icacls z: /grant <username>:(F)
# Memberikan izin Full Control kepada administrator.
icacls z: /grant administrator:(F)
icacls z:
# Menghapus semua izin untuk pengguna.
icacls z: /remove <username>
# Menghapus semua izin untuk kelompok Everyone.
icacls z: /remove Everyone
icacls z:
C:\Users\Administrator>icacls z:
z: Everyone:(F)
   CREATOR OWNER:(OI)(CI)(IO)(F)
   NT AUTHORITY\SYSTEM:(F)
   BUILTIN\Administrators:(F)
   BEIJING-H\qinzhou:(F)

Successfully processed 1 files; Failed processing 0 files

C:\Users\Administrator>icacls z: /grant Administrator:(F)
processed file: z:
Successfully processed 1 files; Failed processing 0 files

C:\Users\Administrator>icacls z:
z: BEIJING-H\administrator:(F)
   Everyone:(F)
   CREATOR OWNER:(OI)(CI)(IO)(F)
   NT AUTHORITY\SYSTEM:(F)
   BUILTIN\Administrators:(F)
   BEIJING-H\qinzhou:(F)

Successfully processed 1 files; Failed processing 0 files
C:\Users\Administrator>icacls z:
z: Everyone:(F)
   CREATOR OWNER:(OI)(CI)(IO)(F)
   NT AUTHORITY\SYSTEM:(F)
   BUILTIN\Administrators:(F)
   BEIJING-H\qinzhou:(F)

Successfully processed 1 files; Failed processing 0 files

C:\Users\Administrator>icacls z: /remove Everyone
processed file: z:
Successfully processed 1 files; Failed processing 0 files

C:\Users\Administrator>icacls z:
z: CREATOR OWNER:(OI)(CI)(IO)(F)
   NT AUTHORITY\SYSTEM:(F)
   BUILTIN\Administrators:(F)
   BEIJING-H\qinzhou:(F)

Successfully processed 1 files; Failed processing 0 files