Habilitar a enumeração baseada em acesso em um Namespace
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008
A enumeração baseada em acesso esconde arquivos e pastas que os usuários não têm permissão para acessar. Por padrão, esse recurso não está habilitado para namespaces DFS. Você pode habilitar a enumeração baseada em acesso de pastas DFS usando o Gerenciamento DFS. Para controlar a enumeração baseada em acesso de arquivos e pastas em destinos de pasta, você deve habilitar a enumeração baseada em acesso em cada pasta compartilhada usando o gerenciamento de compartilhamento e armazenamento.
Para habilitar a enumeração baseada em acesso em um namespace, todos os servidores de namespace devem estar executando o Windows Server 2008 ou mais recente. Além disso, namespaces baseados em domínio devem usar o modo Windows Server 2008. Para obter mais informações sobre o modo Windows Server 2008, consulte Escolha um tipo de namespace.
Em alguns ambientes, a habilitação de enumeração baseada em acesso pode causar alta utilização da CPU no servidor e tempo de resposta lento para os usuários.
Observação
Se você fizer upgrade no nível do domínio funcional para o Windows Server 2008 enquanto existirem namespaces baseados em domínio, o Gerenciamento DFS permitirá que você habilite a enumeração baseada em acesso nesses namespaces. No entanto, você não conseguirá editar permissões para ocultar pastas de quaisquer grupos ou usuários, a menos que você migre os namespaces para o modo Windows Server 2008. Para obter mais informações, consulte Migrar um Namespace Baseado em Domínio para o Modo Windows Server 2008.
Para usar a enumeração baseada em acesso aos Namespaces DFS, você deve seguir estas etapas:
- Habilitar a enumeração baseada em acesso em um Namespace
- Controlar quais usuários e grupos podem exibir pastas de DFS individuais
Aviso
A enumeração baseada em acesso não impede que os usuários obtenham uma referência para um destino de pasta se eles já conhecem o caminho DFS. Somente as permissões de compartilhamento ou permissões do sistema NTFS de arquivos do destino da pasta (pasta compartilhada) em si podem impedir que os usuários acessem um destino de pasta. Permissões de pasta DFS são usadas apenas para exibir ou ocultar as pastas DFS, não para controlar o acesso, tornando acesso de Leitura a única permissão relevante no nível da pasta DFS. Para obter mais informações, consulte Usando permissões herdadas com enumeração baseada em acesso
Você pode habilitar a enumeração baseada em acesso em um namespace usando a interface do Windows ou usando uma linha de comando.
Para habilitar a enumeração baseada em acesso usando a interface do Windows
Na árvore de console, no nó Namespaces, clique com o botão direito do mouse em um namespace apropriado e, em seguida, clique em Propriedades.
Clique na guia Avançado e selecione a caixa de seleção Habilitar a enumeração baseada em acesso para esse namespace.
Para habilitar a enumeração baseada em acesso usando uma linha de comando
Abra uma janela de prompt de comando em um servidor que tem o serviço de função do Sistema de Arquivos Distribuído ou o recurso Ferramentas do Sistema de Arquivos Distribuído instalado.
Digite o comando a seguir, onde <namespace_root> é a raiz do namespace:
dfsutil property abe enable \\ <namespace_root>
Dica
Para gerenciar a enumeração baseada em acesso em um namespace usando o Windows PowerShell, use o Set-DfsnRoot, Grant-DfsnAccess, e Revoke-DfsnAccess cmdlets. O módulo do Windows PowerShell de DFSN foi apresentado no Windows Server 2012.
Você pode controlar quais usuários e grupos podem exibir pastas DFS individuais usando a interface do Windows ou usando uma linha de comando.
Para controlar a visibilidade de pasta por meio da interface do Windows
Na árvore de console, no nó Namespaces, localize a pasta com destinos para a qual você deseja controlar a visibilidade, clique com botão direito e, em seguida, clique em Propriedades.
Clique na guia Avançado.
Clique em Definir permissões de exibição explícitas nessa pasta do DFS e Configurar permissões de exibição.
Adicionar ou remover usuários ou grupos clicando em Adicionar ou Remover.
Para permitir que os usuários vejam a pasta DFS, selecione o grupo ou usuário e, em seguida, selecione a caixa de seleção Permitir.
Para esconder a pasta de um grupo ou usuário, selecione o grupo ou usuário e, em seguida, selecione a caixa de seleção Negar.
Para controlar visibilidade da pasta usando uma linha de comando
Abra uma janela de prompt de comando em um servidor que tem o Distributed File System serviço de função ou ferramentas do sistema de arquivos distribuído recurso instalado.
Digite o comando a seguir, onde <DFSPath> é o caminho da pasta do DFS (link), <DOMAIN\Account> é o nome da conta de usuário ou grupo, e (...) é substituído por outras ACEs (Entradas de Controle de Acesso):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect ReplacePor exemplo, para substituir as permissões existentes com permissões para o acesso de Leitura (R) aos grupos de Administradores de Domínio e CONTOSO\Treinadores à pasta \contoso.office\public\training, digite comando a seguir:
dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect ReplacePara executar tarefas adicionais no prompt de comando, use os seguintes comandos:
| Comando | Descrição |
|---|---|
| Propriedade Dfsutil sd negar | Nega a um grupo ou a usuário a capacidade de exibir a pasta. |
| Propriedade Dfsutil sd redefinir | Remove todas as permissões da pasta. |
| Propriedade Dfsutil sd revogar | Remove um grupo ou usuário ACE de uma pasta. |