Verwenden von geerbten Berechtigungen mit zugriffsbasierter Aufzählung

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Standardmäßig werden die Berechtigungen für einen DFS-Ordner vom lokalen Dateisystem des Namespaceservers geerbt. Die Berechtigungen werden aus dem Stammverzeichnis des Systemlaufwerks geerbt und erteilen der Gruppe „DOMÄNE\Benutzer“ Leseberechtigungen. Daher bleiben auch nach der Aktivierung der zugriffsbasierten Aufzählung alle Ordner im Namespace für alle Domänenbenutzer sichtbar.

Vor- und Nachteile der geerbten Berechtigungen

Es gibt zwei Hauptvorteile für die Kontrolle geerbter Berechtigungen, um zu bestimmen, welche Benutzer Ordner in einem DFS-Namespace sehen können oder nicht:

  • Sie können mehreren Ordnern schnell geerbte Berechtigungen zuweisen, ohne Skripts zu verwenden.
  • Sie können geerbte Berechtigungen auf Namespacestämme und Ordner ohne Ziele anwenden.

Trotz der Vorteile gelten für geerbte Berechtigungen in DFS-Namespaces viele Einschränkungen, sodass sie für die meisten Umgebungen nicht geeignet sind:

  • Änderungen für geerbte Berechtigungen werden nicht in anderen Namespaceservern repliziert. Verwenden Sie daher geerbte Berechtigungen nur für eigenständige Namespaces oder in Umgebungen, in denen Sie ein Drittanbieter-Replikationssystem implementieren können, um die Zugriffssteuerungslisten (ACLs) auf allen Namespaceservern zu synchronisieren.
  • Mit der DFS-Verwaltung und Dfsutil können keine geerbten Berechtigungen angezeigt oder geändert werden. Aus diesem Grund müssen Sie Windows-Explorer oder den Befehl Icacls zusätzlich zur DFS-Verwaltung oder Dfsutil verwenden, um den Namespace zu verwalten.
  • Wenn Sie geerbte Berechtigungen verwenden, können Sie die Berechtigungen für einen Ordner mit Zielen nicht ändern, es sei denn, Sie verwenden den Befehl Dfsutil. Mit DFS-Namespaces werden Berechtigungen automatisch aus Ordnern mit Zielen entfernt, die über andere Tools und Methoden festgelegt wurden.
  • Wenn Sie Berechtigungen für einen Ordner mit Zielen während der Verwendung von geerbten Berechtigungen festlegen, kombiniert die ACL, die Sie für den Ordner mit Zielen festlegen, die geerbten Berechtigungen vom übergeordneten Element des Ordners im Dateisystem. Sie müssen beide Berechtigungssätze analysieren, um zu ermitteln, welche Berechtigungen gelten.

Hinweis

Wenn Sie geerbte Berechtigungen verwenden, ist es am einfachsten, Berechtigungen für Namespacestämme und Ordner ohne Ziele festzulegen. Verwenden Sie dann geerbte Berechtigungen für Ordner mit Zielen, damit sie alle Berechtigungen von ihren übergeordneten Elementen erben.

Verwenden von geerbten Berechtigungen

Wenn Sie einschränken möchten, welche Benutzer einen DFS-Ordner anzeigen können, führen Sie eine der folgenden Aufgaben aus:

  • Legen Sie explizite Berechtigungen für den Ordner fest, und deaktivieren Sie die Vererbung. Weitere Informationen zum Festlegen von expliziten Berechtigungen für einen Ordner mit Zielen (Links) mithilfe der DFS-Verwaltung oder Dfsutil finden Sie unter Aktivieren der zugriffsbasierten Aufzählung für einen Namespace.
  • Ändern Sie die geerbten Berechtigungen für das übergeordnete Element im lokalen Dateisystem. Wenn Sie die geerbten Berechtigungen eines Ordners mit Zielen ändern möchten und bereits explizite Berechtigungen für den Ordner festgelegt haben, wechseln Sie wie im folgenden Verfahren von den expliziten Berechtigungen zu den geerbten Berechtigungen. Verwenden Sie anschließend Windows Explorer oder den Befehl Icacls, um die Berechtigungen des Ordners zu ändern, von dem der Ordner mit Zielen Berechtigungen erbt.

Hinweis

Mit der zugriffsbasierten Aufzählung wird nicht verhindert, dass Benutzer einen Verweis auf ein Ordnerziel abrufen, obwohl sie den DFS-Pfad des Ordners mit Zielen bereits kennen. Mit Berechtigungen, die mithilfe von Windows-Explorer oder dem Befehl Icacls im Namespacestammverzeichnis oder Ordner ohne Steuerung der Ziele festgelegt wurden, wird gesteuert, wie Benutzer auf den DFS-Ordner oder Namespacestamm zugreifen können. Allerdings wird damit nicht verhindert, dass Benutzer einen direkten Zugriff auf einen Ordner mit Zielen haben. Nur mit den Freigabeberechtigungen oder den NTFS-Dateisystemberechtigungen für den freigegebenen Ordner selbst kann verhindert werden, dass Benutzer Zugriff auf Ordnerziele erhalten.

So wechseln Sie von expliziten Berechtigungen zu geerbten Berechtigungen

  1. Suchen Sie in der Konsolenstruktur unter dem Knoten Namespaces den Ordner mit den Zielen, für die Sie die Sichtbarkeit festlegen möchten, klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf Geerbte Berechtigungen aus dem lokalen Dateisystem verwenden, und klicken Sie im Dialogfeld Verwenden von geerbten Berechtigungen bestätigen auf OK. Auf diese Weise werden alle explizit festgelegten Berechtigungen für diesen Ordner entfernt und die geerbten NTFS-Berechtigungen aus dem lokalen Dateisystem des Namespaceservers wiederhergestellt.

  4. Wenn Sie die geerbten Berechtigungen für Ordner oder Namespacestämme in einem DFS-Namespace ändern möchten, verwenden Sie Windows-Explorer oder den Befehl ICacls.

Zusätzliche Referenzen