Использование унаследованных разрешений с перечислением на основе Доступа

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. Разрешения наследуются от корневого каталога системного диска и предоставляют разрешения на чтение группы DOMAIN\Users. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми для всех пользователей домена.

Преимущества и ограничения унаследованных разрешений

Существует два основных преимущества использования унаследованных разрешений для управления тем, какие пользователи могут просматривать папки в пространстве имен DFS:

  • Вы можете быстро применить унаследованные разрешения ко многим папкам, не используя скрипты.
  • Вы можете применять унаследованные разрешения для корней и папок пространства имен без целевых объектов.

Несмотря на преимущества, унаследованные разрешения в пространствах имен DFS имеют множество ограничений, которые делают их недопустимыми для большинства сред:

  • Изменения унаследованных разрешений не реплика на других серверах пространства имен. Поэтому используйте унаследованные разрешения только в автономных пространствах имен или в средах, где можно реализовать стороннюю систему реплика tion, чтобы сохранить списки контроль доступа (списки управления доступом) на всех серверах пространства имен синхронизированы.
  • Управление DFS и Dfsutil не могут просматривать или изменять унаследованные разрешения. Поэтому для управления пространством имен необходимо использовать windows Обозреватель или команду Icacls в дополнение к управлению DFS Management или Dfsutil.
  • При использовании унаследованных разрешений нельзя изменять разрешения папки с целевыми объектами, за исключением команды Dfsutil . Пространства имен DFS автоматически удаляют разрешения из папок с целевыми объектами, установленными с помощью других средств или методов.
  • Если вы устанавливаете разрешения для папки с целевыми объектами при использовании унаследованных разрешений, ACL, заданный в папке с целевыми объектами, объединяется с унаследованными разрешениями родительской папки в файловой системе. Необходимо проверить оба набора разрешений, чтобы определить, что такое чистые разрешения.

Примечание.

При использовании унаследованных разрешений проще задать разрешения для корней и папок пространства имен без целевых объектов. Затем используйте унаследованные разрешения для папок с целевыми объектами, чтобы они наследуют все разрешения от своих родителей.

Использование унаследованных разрешений

Чтобы ограничить, какие пользователи могут просматривать папку DFS, необходимо выполнить одну из следующих задач:

  • Задайте явные разрешения для папки, отключив наследование. Чтобы задать явные разрешения для папки с целевыми объектами (ссылка) с помощью управления DFS или команды Dfsutil , см. раздел "Включить перечисление на основе доступа" в пространстве имен.
  • Измените унаследованные разрешения для родительского элемента в локальной файловой системе. Чтобы изменить разрешения, унаследованные папкой с целевыми объектами, если вы уже установили явные разрешения в папке, переключитесь на унаследованные разрешения от явных разрешений, как описано в следующей процедуре. Затем используйте windows Обозреватель или команду Icacls, чтобы изменить разрешения папки, из которой папка с целевыми объектами наследует свои разрешения.

Примечание.

Перечисление на основе доступа не препятствует пользователям получать ссылку на целевой объект папки, если они уже знают путь DFS к папке с целевыми объектами. Разрешения, заданные с помощью Windows Обозреватель или команды Icacls в корне пространств имен или папках без целевых объектов, управляют ли пользователи доступом к папке или корневому пространству имен DFS. Однако они не препятствуют непосредственному доступу пользователей к папке с целевыми объектами. Только разрешения общей папки или разрешения файловой системы NTFS для самой общей папки могут запретить пользователям получать доступ к целевым объектам папок.

Переключение с явных разрешений на унаследованные разрешения

  1. В дереве консоли в узле "Пространства имен" найдите папку с целевыми объектами, видимость которых требуется контролировать, щелкните правой кнопкой мыши папку и выберите пункт "Свойства".

  2. Перейдите на вкладку Дополнительно.

  3. Нажмите кнопку "Использовать унаследованные разрешения" из локальной файловой системы и нажмите кнопку "ОК " в диалоговом окне "Подтверждение использования унаследованных разрешений ". При этом удаляются все явно заданные разрешения для этой папки, восстановление унаследованных разрешений NTFS из локальной файловой системы сервера пространства имен.

  4. Чтобы изменить унаследованные разрешения для папок или корней пространства имен в пространстве имен DFS, используйте Windows Обозреватель или команду ICacls.

Дополнительные справочники