Включение перечисления на основе доступа в пространстве имен

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Перечисление на основе доступа скрывает файлы и папки, которым у пользователей нет разрешений на доступ. По умолчанию эта функция не включена для пространств имен DFS. Вы можете включить перечисление папок DFS на основе доступа с помощью управления DFS. Чтобы управлять перечислением файлов и папок в целевых объектах папок, необходимо включить перечисление на основе доступа для каждой общей папки с помощью общей папки и управления служба хранилища.

Чтобы включить перечисление на основе доступа в пространстве имен, все серверы пространств имен должны работать под управлением Windows Server 2008 или более поздней версии. Кроме того, пространства имен на основе домена должны использовать режим Windows Server 2008. Сведения о требованиях режима Windows Server 2008 см. в разделе "Выбор типа пространства имен".

В некоторых средах включение перечисления на основе доступа может привести к высокой загрузке ЦП на сервере и медленному времени отклика для пользователей.

Примечание.

При обновлении функционального уровня домена до Windows Server 2008 при наличии существующих пространств имен на основе домена управление DFS позволит включить перечисление на основе доступа в этих пространствах имен. Однако вы не сможете изменять разрешения на скрытие папок от любых групп или пользователей, если только вы не переносите пространства имен в режим Windows Server 2008. Дополнительные сведения см. в разделе "Перенос пространства имен на основе домена" в режим Windows Server 2008.

Чтобы использовать перечисление на основе доступа с пространствами имен DFS, выполните следующие действия:

  • Включение перечисления на основе доступа в пространстве имен
  • Управление тем, какие пользователи и группы могут просматривать отдельные папки DFS

Предупреждение

Перечисление на основе доступа не препятствует пользователям получать ссылку на целевой объект папки, если они уже знают путь DFS. Только разрешения общей папки или разрешения файловой системы NTFS для целевой папки (общей папки) могут запретить пользователям получать доступ к целевому объекту папки. Разрешения папок DFS используются только для отображения или скрытия папок DFS, а не для управления доступом, что делает доступ на чтение единственным соответствующим разрешением на уровне папок DFS. Дополнительные сведения см. в разделе "Использование унаследованных разрешений с перечислением на основе доступа"


Перечисление на основе доступа можно включить в пространстве имен с помощью интерфейса Windows или с помощью командной строки.

Включение перечисления на основе доступа с помощью интерфейса Windows

  1. В дереве консоли в узле "Пространства имен" щелкните правой кнопкой мыши соответствующее пространство имен и выберите пункт "Свойства ".

  2. Щелкните вкладку "Дополнительно" и выберите перечисление на основе доступа для этого пространства имен проверка.

Включение перечисления на основе доступа с помощью командной строки

  1. Откройте окно командной строки на сервере с установленной службой роли распределенной файловой системы или компонентом распределенной файловой системы.

  2. Введите следующую команду, где <namespace_root> является корнем пространства имен:

    dfsutil property abe enable \\ <namespace_root>

Совет

Для управления перечислением на основе доступа в пространстве имен с помощью Windows PowerShell используйте командлеты Set-DfsnRoot, Grant-DfsnAccess и Revoke-DfsnAccess. Модуль Windows PowerShell для DFSN появился в Windows Server 2012.

Вы можете контролировать, какие пользователи и группы могут просматривать отдельные папки DFS с помощью интерфейса Windows или с помощью командной строки.

Управление видимостью папок с помощью интерфейса Windows

  1. В дереве консоли в узле "Пространства имен" найдите папку с целевыми объектами, для которых требуется управлять видимостью, щелкните его правой кнопкой мыши и выберите пункт "Свойства".

  2. Перейдите на вкладку Дополнительно.

  3. Щелкните "Задать явные разрешения представления" в папке DFS и настройте разрешения представления.

  4. Добавьте или удалите группы или пользователей, нажав кнопку "Добавить " или "Удалить".

  5. Чтобы разрешить пользователям просматривать папку DFS, выберите группу или пользователя и выберите поле "Разрешить проверка".

    Чтобы скрыть папку из группы или пользователя, выберите группу или пользователя, а затем выберите поле "Запретить проверка".

Управление видимостью папок с помощью командной строки

  1. Откройте окно командной строки на сервере с установленной службой роли распределенной файловой системы или компонентом распределенной файловой системы.

  2. Введите следующую команду, где <DFSPath> — это путь к папке DFS (ссылка),< домен\учетная запись> — имя группы или учетной записи пользователя, а (...) заменяется на дополнительные записи контроль доступа (ACEs):

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace

    Например, чтобы заменить существующие разрешения разрешениями, которые позволяют доменным Администратор и группам CONTOSO\Trainers считывать (R) доступ к папке \contoso.office\public\training, введите следующую команду:

    dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace

  3. Чтобы выполнить дополнительные задачи из командной строки, используйте следующие команды:

Команда Description
Запрет свойства Dfsutil sd Запрещает группе или пользователю возможность просматривать папку.
Сброс свойства Dfsutil sd Удаляет все разрешения из папки.
Отзыв свойства Dfsutil sd Удаляет группу или пользователя ACE из папки.

Дополнительные справочники