名前空間でアクセス ベースの列挙を有効にするEnable access-based enumeration on a namespace

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

アクセス ベースの列挙では、ユーザーがアクセス許可を持たないファイルとフォルダーが非表示になります。Access-based enumeration hides files and folders that users do not have permissions to access. 既定では、DFS 名前空間ではこの機能が有効になっていません。By default, this feature is not enabled for DFS namespaces. DFS 管理を使って、DFS フォルダーのアクセス ベースの列挙を有効にすることができます。You can enable access-based enumeration of DFS folders by using DFS Management. フォルダー ターゲット内のファイルとフォルダーのアクセス ベースの列挙を制御するには、共有と記憶域の管理を使って各共有フォルダーでアクセス ベースの列挙を有効にする必要があります。To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.

名前空間でアクセス ベースの列挙を有効にするには、すべての名前空間サーバーで Windows Server 2008 以降が実行されている必要があります。To enable access-based enumeration on a namespace, all namespace servers must be running Windows Server 2008 or newer. さらに、ドメイン ベースの名前空間では Windows Server 2008 モードを使う必要があります。Additionally, domain-based namespaces must use the Windows Server 2008 mode. Windows Server 2008 モードの要件について詳しくは、「名前空間の種類を選択する」をご覧ください。For information about the requirements of the Windows Server 2008 mode, see Choose a Namespace Type.

一部の環境では、アクセス ベースの列挙を有効にすると、サーバーの CPU 使用率が高くなり、ユーザーの応答時間が遅くなります。In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.

注意

既存のドメイン ベースの名前空間があるときにドメインの機能レベルを Windows Server 2008 にアップグレードする場合、DFS 管理を使うとこれらの名前空間でアクセス ベースの列挙を有効にできます。If you upgrade the domain functional level to Windows Server 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. ただし、名前空間を Windows Server 2008 モードに移行する場合を除き、グループまたはユーザーからフォルダーを非表示にするアクセス許可を編集することはできません。However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows Server 2008 mode. 詳しくは、「ドメイン ベースの名前空間を Windows Server 2008 モードに移行する」をご覧ください。For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.

DFS 名前空間でアクセス ベースの列挙を使うには、以下の手順を実行する必要があります。To use access-based enumeration with DFS Namespaces, you must follow these steps:

  • 名前空間でアクセス ベースの列挙を有効にするEnable access-based enumeration on a namespace
  • 個々の DFS フォルダーを表示できるユーザーとグループを制御するControl which users and groups can view individual DFS folders

警告

アクセス ベースの列挙を有効にしても、ユーザーが DFS パスを既に知っている場合、フォルダー ターゲットへの紹介の取得を禁止できません。Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. フォルダー ターゲット (共有フォルダー) 自体の共有アクセス許可または NTFS ファイル システム アクセス許可のみ、ユーザーによるフォルダー ターゲットへのアクセスを禁止できます。Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. DFS フォルダーのアクセス許可は、アクセスを制御するためではなく、DFS フォルダーを表示または非表示にするためにのみ使用します。読み取りアクセスが、DFS フォルダー レベルにのみ関係するアクセス許可になります。DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. 詳しくは、「継承されたアクセス許可とアクセス ベースの列挙を使う」をご覧ください。For more information, see Using Inherited Permissions with Access-Based Enumeration


アクセス ベースの列挙は、Windows インターフェイスを使うかコマンド ラインを使って、名前空間で有効にできます。You can enable access-based enumeration on a namespace either by using the Windows interface or by using a command line.

Windows インターフェイスを使ってアクセス ベースの列挙を有効にするにはTo enable access-based enumeration by using the Windows interface

  1. コンソール ツリーの [名前空間] ノードで、該当する名前空間を右クリックし、[プロパティ] をクリックします。In the console tree, under the Namespaces node, right-click the appropriate namespace and then click Properties .

  2. [詳細設定] タブをクリックして [この名前空間のアクセス ベースの列挙を有効にする] チェック ボックスをオンにします。Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.

コマンド ラインを使ってアクセス ベースの列挙を有効にするにはTo enable access-based enumeration by using a command line

  1. 分散ファイル システムの役割サービスまたは分散ファイル システム ツール機能がインストールされたサーバーでコマンド プロンプト ウィンドウを開きます。Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

  2. 次のコマンドを入力します。ここで、<namespace_root> は名前空間のルートです。Type the following command, where <namespace_root> is the root of the namespace:

    dfsutil property abe enable \\ <namespace_root>
    

ヒント

Windows PowerShell を使って名前空間でアクセス ベースの列挙を管理するには、Set-DfsnRootGrant-DfsnAccessRevoke-DfsnAccess の各コマンドレットを使います。To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. DFSN Windows PowerShell モジュールは、Windows Server 2012 で導入されました。The DFSN Windows PowerShell module was introduced in Windows Server 2012.

Windows インターフェイスを使うかコマンド ラインを使って個々 の DFS フォルダーを表示できるユーザーとグループを制御できます。You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.

Windows インターフェイスを使ってフォルダーの表示を制御するにはTo control folder visibility by using the Windows interface

  1. コンソール ツリーの [名前空間] ノードの下で、表示を制御するターゲットを含むフォルダーを見つけ、右クリックして [プロパティ] をクリックします。In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.

  2. [詳細設定] タブをクリックします。Click the Advanced tab.

  3. [DFS フォルダーに明示的なアクセス許可の表示を設定する][アクセス許可の表示を構成する] の順にクリックします。Click Set explicit view permissions on the DFS folder and then Configure view permissions.

  4. [追加] または [削除] をクリックして、グループやユーザーを追加または削除します。Add or remove groups or users by clicking Add or Remove.

  5. ユーザーが DFS フォルダーを表示できるようにするには、グループまたはユーザーを選択し、[許可] チェック ボックスをオンにします。To allow users to see the DFS folder, select the group or user, and then select the Allow check box.

    グループまたはユーザーからフォルダーを非表示にするには、グループまたはユーザーを選択し、[拒否] チェック ボックスをオンにします。To hide the folder from a group or user, select the group or user, and then select the Deny check box.

コマンド ラインを使ってフォルダーの表示を制御するにはTo control folder visibility by using a command line

  1. 分散ファイル システムの役割サービスまたは分散ファイル システム ツール機能がインストールされたサーバーでコマンド プロンプト ウィンドウを開きます。Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

  2. 次のコマンドを入力します。ここで、<DFSPath> は DFS フォルダーのパス (リンク)、<DOMAIN\Account> はグループまたはユーザー アカウントの名前で、(...) は追加のアクセス制御エントリー (ACE) に置き換えられます。Type the following command, where <DFSPath> is the path of the DFS folder (link), <DOMAIN\Account> is the name of the group or user account, and (...) is replaced with additional Access Control Entries (ACEs):

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace
    

    たとえば、既存のアクセス許可を、Domain Admins および CONTOSO\Trainers グループに \contoso.office\public\training フォルダーへの読み取り (R) アクセスを許可するアクセス許可に置き換えるには、次のコマンドを入力します。For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:

    dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace 
    
  3. コマンド プロンプトから追加のタスクを実行するには、次のコマンドを使用します。To perform additional tasks from the command prompt, use the following commands:

コマンドCommand 説明Description
Dfsutil property sd denyDfsutil property sd deny グループまたはユーザーによるフォルダーの表示を拒否します。Denies a group or user the ability to view the folder.
Dfsutil property sd resetDfsutil property sd reset フォルダーからすべてのアクセス許可を削除します。Removes all permissions from the folder.
Dfsutil property sd revokeDfsutil property sd revoke フォルダーからグループまたはユーザー ACE を削除します。Removes a group or user ACE from the folder.

関連項目See also