Memasang dan menggunakan sistem file SMB pada klien Windows sebagai pengguna domain AD - File Storage NAS

Topik ini menjelaskan cara memasang sistem file Server Message Block (SMB) pada klien Windows menggunakan akun domain Active Directory (AD). Topik ini juga mencakup cara melihat dan mengonfigurasi daftar kontrol akses (ACL) untuk file dan direktori dalam sistem file SMB dengan menggunakan akun domain AD.

Prasyarat

Target pemasangan sistem file SMB telah bergabung ke domain AD. Untuk informasi lebih lanjut, lihat Tambahkan Target Pemasangan Sistem File SMB ke Domain AD.

Informasi latar belakang

Sebelum menambahkan target pemasangan sistem file SMB ke domain AD, Anda hanya dapat memasang dan menggunakan sistem file SMB sebagai pengguna anonim. Setelah menambahkan target pemasangan sistem file SMB ke domain AD, Anda dapat menentukan apakah akan mengizinkan akses anonim ke sistem file SMB.

Jika sistem file SMB masih mengizinkan akses anonim, Anda dapat menggunakan akun domain AD untuk mengakses sistem file SMB berdasarkan otentikasi Kerberos. Anda juga dapat menggunakan akun yang termasuk dalam grup Everyone untuk mengakses sistem file SMB berdasarkan otentikasi New Technology LAN Manager (NTLM).
Jika sistem file SMB tidak lagi mengizinkan akses anonim, Anda harus menggunakan akun domain AD untuk memasang sistem file SMB pada klien Windows yang diautentikasi menggunakan Kerberos.

Metode 1: Menambahkan klien Windows ke domain AD dan kemudian memasang sistem file SMB pada klien Windows

Langkah-langkah berikut menjelaskan cara menambahkan klien Windows ke domain AD dan memasang sistem file SMB pada klien tersebut. Contoh ini menggunakan Windows Server 2012.

Konfigurasikan alamat IP server DNS untuk klien Windows.
1. Masuk ke klien Windows.
2. Di pojok kiri bawah desktop, klik Start.
3. Di menu Start, klik Control Panel.
4. Di jendela Control Panel, pilih Network and Internet > Network and Sharing Center.
5. Di bagian View your active networks dari kotak dialog Network and Sharing Center, klik Ethernet.
6. Di kotak dialog Ethernet Status, klik Properties.
7. Di bagian This connection uses the following items dari kotak dialog Ethernet Properties, pilih Internet Protocol Version 4 (TCP/IPv4), lalu klik Properties.
8. Di kotak dialog Internet Protocol Version 4 (TCP/IPv4) Properties, pilih Use the following DNS server addresses dan atur alamat server DNS ke alamat IP server domain AD.
9. Jalankan perintah ping di Command Prompt. Gunakan Ping untuk memverifikasi konektivitas antara klien Windows dan domain AD.
Tambahkan klien Windows ke domain AD.
1. Di jendela Control Panel, pilih System and Security > System.
2. Di bagian Computer name, domain, and workgroup settings dari kotak dialog System, klik Change settings.
3. Pada tab Computer Name dari kotak dialog System Properties, klik Change.
4. Di bagian Member of dari kotak dialog Computer Name/Domain Changes, masukkan nama domain AD. Klik OK untuk menyelesaikan konfigurasi.
5. Mulai ulang klien Windows agar pengaturan yang dimodifikasi diterapkan.
Pasang sistem file SMB pada klien Windows.
Masuk ke klien Windows sebagai pengguna domain AD. Jalankan perintah berikut di Command Prompt untuk memasang sistem file SMB pada klien Windows:
```
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare
```

Metode 2: Hubungkan klien Windows ke server AD dan pasang sistem file SMB pada klien Windows

Langkah-langkah berikut menjelaskan cara mengonfigurasi server DNS untuk klien Windows, menghubungkan klien ke server AD, dan memasang sistem file SMB pada klien. Contoh ini menggunakan Windows Server 2012.

Konfigurasikan alamat IP server DNS untuk klien Windows.
1. Masuk ke klien Windows.
2. Di pojok kiri bawah desktop, klik Start.
3. Di menu Start, klik Control Panel.
4. Di jendela Control Panel, pilih Network and Internet > Network and Sharing Center.
5. Di bagian View your active networks dari kotak dialog Network and Sharing Center, klik Ethernet.
6. Di kotak dialog Ethernet Status, klik Properties.
7. Di bagian This connection uses the following items dari kotak dialog Ethernet Properties, pilih Internet Protocol Version 4 (TCP/IPv4), lalu klik Properties.
8. Di kotak dialog Internet Protocol Version 4 (TCP/IPv4) Properties, pilih Use the following DNS server addresses dan atur alamat server DNS ke alamat IP server domain AD.
9. Jalankan perintah ping di Command Prompt. Gunakan Ping untuk memverifikasi konektivitas antara klien Windows dan domain AD.
Pasang sistem file SMB pada klien Windows.
Jalankan perintah berikut di Command Prompt pada klien Windows untuk memasang sistem file SMB sebagai pengguna domain AD:
```
net use z: \\nas-mount-target.nas.aliyuncs.com\myshare /user:EXAMPLE.com\USERNAME PASSWORD
```
Dalam perintah sebelumnya, EXAMPLE.com adalah nama domain AD yang telah Anda buat.

Kelola ACL sistem file SMB

Setelah Anda mengaktifkan fitur ACL dan memasang sistem file SMB sebagai pengguna domain AD, Anda dapat melihat dan mengedit ACL file dan direktori dengan menggunakan metode berikut:

Jalankan perintah mklink untuk memasang sistem file SMB

Anda dapat menjalankan perintah mklink untuk membuat tautan simbolis untuk target pemasangan sistem file SMB pada disk lokal klien Windows. Anda juga dapat melihat dan mengedit ACL file dan direktori.

Gunakan Command Prompt untuk membuat pemetaan untuk sistem file.
```
mklink /D c:\myshare \\nas-mount-target.nas.aliyuncs.com\myshare
```
Dalam perintah sebelumnya, \myshare adalah jalur sistem file tempat tautan simbolis menunjuk dan nas-mount-target.nas.aliyuncs.com\myshare adalah target pemasangan sistem file SMB.
Berikan izin kepada pengguna umum untuk menggunakan tautan simbolis.
Jika Anda menggunakan akun Administrator, lewati langkah ini.
1. Cari dan jalankan secpol.msc sebagai administrator sistem.
2. Di jendela Local Security Policy, pilih Local Policies > User Rights Assignment. Tambahkan pengguna yang ditentukan ke grup izin Create Symbolic Links sesuai petunjuk.
3. Masuk kembali ke klien Windows sebagai pengguna umum.
Akses sistem file SMB dan lihat ACL file dan direktori.
Setelah tautan simbolis dibuat, Anda dapat mengakses sistem file SMB dengan cara yang sama seperti mengakses subdirektori disk lokal di Windows. Anda juga dapat melihat dan mengedit ACL file dan direktori.

Gunakan Windows File Explorer untuk melihat dan mengedit ACL file dan direktori

Setelah membuat tautan simbolis untuk target pemasangan sistem file SMB pada disk lokal klien Windows, Anda dapat melihat dan mengedit ACL file dan direktori menggunakan Windows File Explorer.

Klik kanan file atau direktori, lalu pilih Properties.
Di kotak dialog Properties, klik tab Security, lalu klik Edit.
Di kotak dialog Permissions Create symbolic links, klik Add User or Group dan tentukan informasi sesuai petunjuk.

Jika Anda perlu kembali ke direktori disk lokal Anda, klik ikon Back (1 pada gambar) atau ikon Up (2 pada gambar). Jangan klik bagian dari jalur di bilah jalur (3 pada gambar). Use the File Explorer to access the SMB file system

Saat menggunakan File Explorer untuk mengakses sistem file SMB, sistem file SMB tidak bergabung ke domain AD. Jika Anda menggunakan jalur jaringan (misalnya, \nas-mount-point.nas.aliyuncs.com\myshare) alih-alih jalur disk lokal (misalnya, C:\myshare) untuk mengakses sistem file SMB, terjadi kesalahan. Saat mengonfigurasi ACL, klien tidak dapat menentukan apakah target pemasangan telah bergabung ke domain AD. Kesalahan ini terjadi karena Remote Procedure Call (RPC) server tidak tersedia. SMB_ACL_Error message_1 SMB_ACL_Error message_2

Penting

Jika Anda menggunakan Windows File Explorer untuk memodifikasi izin pada C:\myshare, izin baru tidak diterapkan pada direktori root sistem file. Untuk memodifikasi izin pada direktori root, Anda harus menjalankan perintah Set-Acl Powershell atau icacls di PowerShell.

Perintah PowerShell

Anda dapat menjalankan perintah Get-Acl dan Set-Acl di PowerShell untuk melihat dan mengedit ACL file dan direktori dalam sistem file SMB.

Get-Acl

$value = Get-Acl -Path "Z:"# Set properties
$value.Access

Set properties
$identity = "Administrator"
$fileSystemRights = "FullControl"
$type = "Allow"
# Create new rule
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# Apply new rule
$value.SetAccessRule($fileSystemAccessRule)
$value.Access

Set-Acl
Untuk menjalankan perintah Set-Acl untuk memodifikasi izin, Anda dapat mengubah jalur pemasangan tanpa menggunakan pintasan mylink c:\myshare. Anda juga dapat memodifikasi izin pada direktori root.
```
Set-Acl $value -Path "Z:"
```
Penting
Kami merekomendasikan agar Anda mengonfigurasi izin untuk memodifikasi direktori root segera setelah sistem file dibuat. Jika tidak, Anda harus memodifikasi subdirektori dan subfile saat menjalankan perintah. Hal ini karena izin diwariskan dari direktori root ke subdirektori.

Perintah icacls

Anda dapat menjalankan perintah icacls di Command Prompt untuk mengelola ACL. Anda dapat menggunakan perintah icacls untuk melihat dan mengedit ACL file dan direktori.

Contoh:

icacls z:
#Berikan izin kontrol penuh kepada pengguna.
icacls z: /grant <username>:(F)
#Berikan izin kontrol penuh kepada administrator.
icacls z: /grant administrator:(F)
icacls z:
#Cabut semua izin dari pengguna.
icacls z: /remove <username>
#Cabut semua izin dari semua pengguna.
icacls z: /remove <username>
icacls z: