Aktivieren der zugriffsbasierten Aufzählung für einen Namespace

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Mit der zugriffsbasierten Aufzählung werden Dateien und Ordner ausgeblendet, für die die Benutzer keine Zugriffsberechtigungen besitzen. Standardmäßig ist dieses Feature für DFS-Namespaces nicht aktiviert. Sie können die zugriffsbasierte Aufzählung von DFS-Ordnern mithilfe der DFS-Verwaltung aktivieren. Zum Steuern der zugriffsbasierten Aufzählung von Dateien und Ordnern in Ordnerzielen müssen Sie die zugriffsbasierte Aufzählung für jeden freigegebenen Ordner mithilfe der Freigabe- und Speicherverwaltung aktivieren.

Um die zugriffsbasierte Aufzählung für einen Namespace aktivieren zu können, muss auf allen Namespaceservern Windows Server 2008 oder höher ausgeführt werden. Darüber hinaus müssen domänenbasierte Namespaces den Windows Server 2008-Modus verwenden. Informationen zu den Anforderungen des Windows Server 2008-Modus finden Sie unter Auswählen eines Namespacetyps.

In einigen Umgebungen kann das Aktivieren der zugriffsbasierten Aufzählung zu einer hohen CPU-Auslastung auf dem Server und zu langsamen Reaktionszeiten für Benutzer führen.

Hinweis

Wenn Sie die Domänenfunktionsebene auf Windows Server 2008 aktualisieren, während domänenbasierte Namespaces vorhanden sind, ermöglicht Ihnen die DFS-Verwaltung das Aktivieren der zugriffsbasierten Aufzählung für diese Namespaces. Sie können jedoch keine Berechtigungen zum Ausblenden von Ordnern für Gruppen oder Benutzer bearbeiten, es sei denn, Sie migrieren die Namespaces zum Windows Server 2008-Modus. Weitere Informationen finden Sie unter Migrieren eines domänenbasierten Namespaces zum Windows Server 2008-Modus.

Um die zugriffsbasierte Aufzählung mit DFS-Namespaces verwenden zu können, müssen Sie die folgenden Schritte ausführen:

  • Aktivieren der zugriffsbasierten Aufzählung für einen Namespace
  • Steuern, welche Benutzer und Gruppen einzelne DFS-Ordner anzeigen können

Warnung

Die zugriffsbasierte Aufzählung verhindert nicht, dass Benutzer einen Verweis auf ein Ordnerziel abrufen können, wenn sie den DFS-Pfad bereits kennen. Nur die Freigabeberechtigungen oder die NTFS-Dateisystemberechtigungen für das Ordnerziel (den freigegebenen Ordner) selbst können verhindern, dass Benutzer auf ein Ordnerziel zugreifen. Berechtigungen für DFS-Ordner werden nur zum Anzeigen oder Ausblenden von DFS-Ordnern verwendet und nicht zum Steuern des Zugriffs, wodurch der Lesezugriff die einzige relevante Berechtigung auf DFS-Ordnerebene ist. Weitere Informationen finden Sie unter Verwenden von geerbten Berechtigungen mit zugriffsbasierter Aufzählung.


Sie können die zugriffsbasierte Aufzählung für einen Namespace entweder über die Windows-Benutzeroberfläche oder über eine Befehlszeile aktivieren.

So aktivieren Sie die zugriffsbasierte Aufzählung über die Windows-Benutzeroberfläche

  1. Klicken Sie in der Konsolenstruktur unter dem Knoten Namespaces mit der rechten Maustaste auf den entsprechenden Namespace, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie dann das Kontrollkästchen Zugriffsbasierte Aufzählung für diesen Namespace aktivieren.

So aktivieren Sie die zugriffsbasierte Aufzählung über eine Befehlszeile

  1. Öffnen Sie auf einem Server, auf dem der Rollendienst Verteiltes Dateisystem oder das Feature DFS-Tools installiert ist, ein Eingabeaufforderungsfenster.

  2. Geben Sie den folgenden Befehl ein, wobei <namespace_root> der Stamm des Namespace ist:

    dfsutil property abe enable \\ <namespace_root>

Tipp

Um die zugriffsbasierte Aufzählung für einen Namespace mit Windows PowerShell zu verwalten, verwenden Sie die Cmdlets Set-DfsnRoot, Grant-DfsnAccess und Revoke-DfsnAccess. Das DFSN-Modul für Windows PowerShell wurde in Windows Server 2012 eingeführt.

Über die Windows-Benutzeroberfläche oder über eine Befehlszeile können Sie steuern, welche Benutzer und Gruppen einzelne DFS-Ordner anzeigen können.

So steuern Sie die Sichtbarkeit von Ordnern über die Windows-Benutzeroberfläche

  1. Suchen Sie in der Konsolenstruktur unter dem Knoten Namespaces den Ordner mit den Zielen, für den Sie die Sichtbarkeit steuern möchten, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf Explizite Anzeigeberechtigungen für den DFS-Ordner festlegen und dann auf Anzeigeberechtigungen konfigurieren.

  4. Fügen Sie Gruppen oder Benutzer hinzu, oder entfernen Sie Gruppen oder Benutzer, indem Sie auf Hinzufügen oder Entfernen klicken.

  5. Um Benutzern das Anzeigen des DFS-Ordners zu ermöglichen, wählen Sie die Gruppe oder den Benutzer aus, und aktivieren Sie dann das Kontrollkästchen Zulassen.

    Um den Ordner für eine Gruppe oder einen Benutzer auszublenden, wählen Sie die Gruppe oder den Benutzer aus, und aktivieren Sie dann das Kontrollkästchen Verweigern.

So steuern Sie die Sichtbarkeit von Ordnern über eine Befehlszeile

  1. Öffnen Sie auf einem Server, auf dem der Rollendienst Verteiltes Dateisystem oder das Feature DFS-Tools installiert ist, ein Eingabeaufforderungsfenster.

  2. Geben Sie den folgenden Befehl ein, wobei <DFSPath> der Pfad des DFS-Ordners (Link) ist, <DOMAIN\Account> der Name des Gruppen- oder Benutzerkontos ist und (...) durch zusätzliche Zugriffssteuerungseinträge (Access Control Entries, ACEs) ersetzt wird:

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace

    Um beispielsweise vorhandene Berechtigungen durch Berechtigungen zu ersetzen, die den Gruppen „Domänenadministratoren“ und „CONTOSO\Trainer“ Lesezugriff („R“) auf den Ordner „\contoso.office\public\training“ gewähren, geben Sie den folgenden Befehl ein:

    dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace

  3. Um zusätzliche Aufgaben über die Befehlszeile auszuführen, verwenden Sie die folgenden Befehle:

Get-Help BESCHREIBUNG
Dfsutil property sd deny Verweigert einer Gruppe oder einem Benutzer die Möglichkeit, den Ordner anzuzeigen.
Dfsutil property sd reset Entfernt sämtliche Berechtigungen aus dem Ordner.
Dfsutil property sd revoke Entfernt einen Zugriffssteuerungseintrag für eine Gruppe oder einen Benutzer aus dem Ordner.

Zusätzliche Referenzen