

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwendung von Windows-ACLs zur Beschränkung des SMB-Dateifreigabezugriffs
<a name="smb-acl"></a>

Amazon S3 File Gateway unterstützt zwei verschiedene Methoden zur Steuerung des Zugriffs auf Dateien und Verzeichnisse, die über eine SMB-Dateifreigabe gespeichert sind: POSIX-Berechtigungen oder Windows-ACLs.

In diesem Abschnitt wird beschrieben, wie Microsoft Windows Access Control Lists (ACLs) auf SMB-Dateifreigaben verwendet werden, die Microsoft Active Directory (AD) zur Authentifizierung verwenden. Durch die Verwendung von Windows-ACLs können Sie fein abgestimmte Berechtigungen für Dateien und Ordner in Ihrer SMB-Dateifreigabe festlegen.

Im Folgenden finden Sie einige wichtige Merkmale von Windows-ACLs auf SMB-Dateifreigaben:
+ Windows-ACLs werden standardmäßig für SMB-Dateifreigaben ausgewählt, wenn Ihr File-Gateway mit einer Active Directory-Domäne verbunden ist.
+ Wenn ACLs aktiviert sind, werden die ACL-Informationen in den Amazon S3 S3-Objektmetadaten gespeichert.
+ Die Gateway bewahrt bis zu 10 ACLs pro Datei oder Ordner auf.
+ Wenn Sie eine SMB-Dateifreigabe mit aktivierten ACLs für den Zugriff auf S3-Objekte verwenden, die außerhalb Ihres Gateways erstellt wurden, erben die Objekte die ACL-Informationen aus dem übergeordneten Ordner.

**Anmerkung**  
Die Standard-Stamm-ACL für eine SMB-Dateifreigabe bietet allen vollständigen Zugriff, Sie können die Berechtigungen der Stamm-ACL aber ändern. Sie können Root-ACLs zum Steuern des Zugriffs auf die Dateifreigabe verwenden. Sie können festlegen, wer die Dateifreigabe mounten (das Laufwerk zuordnen) kann und welche Berechtigungen der Benutzer rekursiv für die Dateien und Ordner in der Dateifreigabe erhält. Wir empfehlen jedoch, dass Sie diese Berechtigung im Ordner der obersten Ebene im S3-Bucket festlegen, sodass Ihre ACL dauerhaft gespeichert wird.

Sie können Windows-ACLs aktivieren, wenn Sie mithilfe der API-Operation eine neue SMB-Dateifreigabe erstellen. [CreateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html) Oder Sie können Windows-ACLs für eine bestehende SMB-Dateifreigabe mithilfe des API-Vorgangs aktivieren. [UpdateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html)

## Windows-ACLs auf einer neuen SMB-Dateifreigabe aktivieren
<a name="enable-acl-new-fileshare"></a>

Gehen Sie wie folgt vor, um Windows-ACLs auf einer neuen SMB-Dateifreigabe zu aktivieren.

**So aktivieren Sie Windows-ACLs beim Erstellen einer neuen SMB-Dateifreigabe**

1. Erstellen Sie ein File Gateway, sofern noch nicht geschehen. Weitere Informationen finden Sie unter [Erstellen Sie Ihr Gateway](create-file-gateway.md). 

1. Wenn das Gateway keiner Domäne beigetreten ist, fügen Sie es einer Domäne hinzu. Weitere Informationen finden Sie unter [Verwenden von Active Directory zur Benutzerauthentifizierung](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html). 

1. Erstellen Sie eine SMB-Dateifreigabe Die Ausgabe des obigen Befehls sieht in etwa folgendermaßen aus (JSON format). 

1. Aktivieren Sie Windows-ACLs auf der Dateifreigabe von der Storage Gateway Gateway-Konsole aus.

   Gehen Sie wie folgt vor, um die Storage Gateway Console zu verwenden:

   1. Wählen Sie die Dateifreigabe aus und klicken Sie auf **Edit file share (Dateifreigabe bearbeiten)**.

   1. Wählen Sie für die Option **File/directory Zugriff gesteuert durch** die Option **Windows Access Control List** aus.

1. (Optional) Fügen Sie einen Admin-Benutzer hinzu [AdminUsersList](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html#StorageGateway-CreateSMBFileShare-request-AdminUserList), wenn Sie möchten, dass der Admin-Benutzer berechtigt ist, ACLs für alle Dateien und Ordner in der Dateifreigabe zu aktualisieren.
**Anmerkung**  
Wenn Sie die Listen **Zulässige und Abgelehnte Benutzer und Gruppen** in den Einstellungen der SMB-Dateifreigabe konfiguriert haben, gewähren ACLs keinen Zugriff, der diese Listen außer Kraft setzt.  
Die Listen „**Zulässige“ und „Abgelehnte Benutzer“ und „Gruppen**“ werden vor den ACLs ausgewertet und legen fest, welche Benutzer die Dateifreigabe bereitstellen oder darauf zugreifen können. Wenn Benutzer oder Gruppen in die Liste der **zugelassenen** Benutzer oder Gruppen aufgenommen werden, gilt die Liste als aktiv, und nur diese Benutzer können die Dateifreigabe bereitstellen.  
Nachdem ein Benutzer eine Dateifreigabe bereitgestellt hat, bieten ACLs einen detaillierteren Schutz, der steuert, auf welche spezifischen Dateien oder Ordner der Benutzer zugreifen kann.

1. Aktualisieren Sie die ACLs für die übergeordneten Ordner unter dem Stammverzeichnis. Hierzu konfigurieren Sie mithilfe von Windows-Explorer die ACLs in den Ordnern in der SMB-Dateifreigabe.
**Anmerkung**  
Wenn Sie die ACLs im Stammverzeichnis statt im übergeordneten Ordner unter Root konfigurieren, werden die ACL-Berechtigungen in Amazon S3 nicht dauerhaft gespeichert.

   Wir empfehlen Ihnen, ACLs im Ordner der obersten Ebene unter dem Stammverzeichnis Ihrer Dateifreigabe festzulegen, anstatt ACLs direkt im Stammverzeichnis der Dateifreigabe festzulegen. Bei diesem Ansatz werden die Informationen als Objektmetadaten in Amazon S3 beibehalten.

1. Aktivieren Sie gegebenenfalls die Vererbung.
**Anmerkung**  
Sie können die Vererbung für Dateifreigaben aktivieren, die nach dem 8. Mai 2019 erstellt wurden. 

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen. 

## Aktivierung von Windows-ACLs auf einer vorhandenen SMB-Dateifreigabe
<a name="enable-acl-existing-fileshare"></a>

Gehen Sie wie folgt vor, um Windows-ACLs auf einer vorhandenen SMB-Dateifreigabe mit POSIX-Berechtigungen zu aktivieren.

**So aktivieren Sie Windows-ACLs auf einer vorhandenen SMB-Dateifreigabe mithilfe der Storage Gateway Console**

1. Wählen Sie die Dateifreigabe aus und klicken Sie auf **Edit file share (Dateifreigabe bearbeiten)**.

1. Wählen Sie für die Option **File/directory Zugriff gesteuert durch** die Option **Windows Access Control List** aus.

1. Aktivieren Sie gegebenenfalls die Vererbung.
**Anmerkung**  
Es wird nicht empfohlen, die ACLs auf der Stammebene festzulegen, da Sie die ACLs in diesem Fall erneut zurücksetzen müssen, wenn Sie das Gateway löschen.

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen. 

## Einschränkungen bei der Verwendung von Windows-ACLs
<a name="acl-limits"></a>

Beachten Sie die folgenden Einschränkungen bei der Verwendung von Windows-ACLs zum Steuern des Zugriffs auf SMB-Dateifreigaben:
+ Windows-ACLs werden nur für Dateifreigaben unterstützt, die Active Directory für die Authentifizierung verwenden, wenn Sie Windows SMB-Clients für den Zugriff auf die Dateifreigaben verwenden.
+ File Gateways unterstützt maximal 10 ACL-Einträge für die einzelnen Dateien und Ordner.
+ File-Gateways unterstützen `Audit` keine `Alarm` AD-Einträge, bei denen es sich um SACL-Einträge (System Access Control List) handelt. Datei-Gateways unterstützen AD-Einträge, bei denen es sich um `Deny` DACL-Einträge (`Allow`Discretionary Access Control List) handelt. 
+ File-Gateways unterstützen keine ACE-Berechtigungen (Advanced Access Control Entry).
+ Die Stamm-ACL-Einstellungen von SMB-Dateifreigaben befinden sich nur auf dem Gateway, und die Einstellungen sind über Gateway-Aktualisierungen und -Neustarts hinweg persistent.
**Anmerkung**  
Wenn Sie die ACLs im Stammverzeichnis statt im übergeordneten Ordner unter dem Stammverzeichnis konfigurieren, werden die ACL-Berechtigungen in Amazon S3 nicht dauerhaft gespeichert.

  Stellen Sie angesichts dieser Bedingungen sicher, dass Sie die folgenden Schritte ausführen:
  + Wenn Sie mehrere Gateways für den Zugriff auf denselben Amazon S3 S3-Bucket konfigurieren, konfigurieren Sie die Root-ACL auf jedem der Gateways, um die Berechtigungen konsistent zu halten.
  + Wenn Sie eine Dateifreigabe löschen und sie auf demselben Amazon S3 S3-Bucket neu erstellen, stellen Sie sicher, dass Sie dieselben Root-ACLs verwenden.