在 Windows Server 2003 R2 中委托 DFS 复制

项目
03/25/2024

本文介绍如何直接修改每个复制组的配置对象的权限。

适用于： Windows Server 2003 R2
原始 KB 编号： 911604

简介

分布式文件系统 (DFS) 复制使用 Active Directory 目录服务来存储配置对象。使用 Active Directory 时，可以更准确地委托用户权限。 DFS 管理功能提供高级委派支持。通过此支持，可以授予用户创建复制组的权限。此支持还允许授予用户对已创建的复制组的管理权限。

配置对象

在详细查看每个对象之前，最好了解所有对象。本部分介绍用于配置 DFS 复制的对象。这些对象的权限决定了哪些用户可以对复制组执行特定操作。

全局对象

全局对象将副本 (replica) 集作为一个整体进行配置。例如，全局对象配置复制的文件夹数。全局对象还会配置复制组的每个成员之间的连接。

msDFSR-GlobalSettings

此对象是在以下时间创建的：

创建域中的第一个复制组时
用户首次被委派权限以在域中创建复制组

此对象在系统容器中创建。默认情况下，只有域管理员可以创建此对象。

建议对此对象的唯一安全修改是授予用户在此容器中创建 msDFSR-ReplicationGroup 子对象的权限。若要对此任务使用 DFS 管理，请在复制节点上执行“委托管理权限”操作。

msDFSR-ReplicationGroup

此对象包含特定于单个复制组的所有全局设置。若要修改 DFS 管理中对此容器的权限，请对复制组执行“委托管理权限”操作。可以授予用户对复制组的管理权限。还可以授予用户对 msDFSR-ReplicationGroup 对象和复制组的所有子对象的控制权限。以下属性存储在此对象中：

说明
复制组说明。
msDFSR-Topology
默认计划。

msDFSR-Content

创建复制组时，此对象在 msDFSR-ReplicationGroup 对象下创建。 msDFSR-Content 对象包含复制组中每个复制文件夹的 msDFSR-ContentSet 对象。

注意

此对象中未存储任何重要属性。

msDFSR-ContentSet

为复制组中每个复制的文件夹创建 msDFSR-ContentSet 对象。以下属性存储在此对象中：

说明
复制文件夹的说明。
msDFSR-FileFilter
文件筛选器从复制中排除。
msDFSR-DirectoryFilter
从复制中排除文件夹的目录筛选器。
msDFSR-DfsPath
将复制的文件夹发布到 DFS 命名空间时 DFS 文件夹的路径。

msDFSR-Topology

创建复制组时，此对象在 msDFSR-ReplicationGroup 对象下创建。 msDFSR-Topology 对象包含复制组的每个成员的 msDFSR-Member 对象。

注意

此对象中未存储任何重要属性。

msDFSR-Member

为复制组的每个成员创建 msDFSR-Member 对象。此对象引用成员的计算机对象。此对象包含每个连接的 msDFSR-Connection 对象，其中此成员是连接的接收成员。以下属性存储在此对象中：

msDFSR-ComputerReference
对成员的计算机对象的引用。

msDFSR-Connection

msDFSR-Connection 作为 msDFSR-Member 对象的子级创建，用于与该成员建立的每个传入复制连接。以下属性存储在此对象中：

msDFSR-Enabled
连接的启用状态。
msDFSR-Schedule
连接的自定义计划。
msDFSR-Keywords
连接的关键字。
msDFSR-RdcEnabled
rRemote 差异压缩的启用状态。

服务器本地对象

参与复制的每个服务器的计算机帐户中都存在服务器本地对象。这些对象配置复制组的各个成员。

msDFSR-LocalSettings

此对象是计算机帐户上 DFS 复制对象的顶级容器。

msDFSR-Subscriber

为服务器所属的每个复制组创建 msDFSR-Subscriber 对象。此对象包含由 msDFSR-Subscriber 对象指定的复制组中每个复制文件夹的 msDFSR-Subscription 对象。以下属性存储在此对象中：

msDFSR-MemberReference
对 msDFSR-Member 对象的引用。

msDFSR-Subscription

msDFSR-Subscription 对象包含服务器上每个复制文件夹唯一的设置。以下属性存储在此对象中：

msDFSR-RootPath
复制文件夹的本地路径。
msDFSR-StagingPath
复制文件夹的暂存路径。
msDFSR-StagingSizeInMb
暂存文件夹的大小。
msDFSR-ConflictSizeInMb
冲突文件夹的大小。
msDFSR-Enabled
订阅的启用状态。
msDFSR-Flags
一个标志，用于控制是否将已删除的文件移动到冲突文件夹。

详细委派

授予创建复制组的权限

此操作是在 DFS 管理中可用的两个委派操作之一。若要在 Active Directory 用户和计算机中手动执行此操作，请执行以下步骤：
1. 启动Active Directory 用户和计算机。
2. 右键单击“域\System\DFSR-GlobalSettings”节点，然后单击“ 属性”。
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“创建所有子对象”权限，然后在“应用于”区域中选择“仅此对象”。
将管理权限委托给复制组

这是 DFS 管理中提供的另一个委派操作。若要在 Active Directory 用户和计算机中手动执行此操作，请执行以下步骤：
1. 启动Active Directory 用户和计算机。
2. 右键单击“域\System\DFSR-GlobalSettings”节点，然后单击“ 属性”。
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“完全控制”权限，然后在“应用于”区域中选择“此对象和所有子对象”。
5. 将用户或组添加到每个成员的本地管理员组。
无需作为本地管理员即可管理本地系统设置

通常，用户必须是管理员才能管理本地计算机设置。若要使不是管理员的用户能够管理本地计算机设置，请授予用户对 Active Directory 中所需对象的直接控制权限。为此，请按照下列步骤操作：
1. 启动Active Directory 用户和计算机。
2. 右键单击计算机节点，然后单击“ 属性”。
  
  默认情况下，计算机节点的路径为以下项之一：
  - 成员服务器
    Domain\Computer\ComputerName\DFSR-LocalSettings
  - 域控制器
    Domain\Domain Controllers\ComputerName\DFSR-LocalSettings
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“完全控制”权限，然后单击以选择“应用于”区域中的“此对象和所有子对象”。
控制所有复制组

若要授予用户对域中所有现有和未来复制组的控制权，请执行以下步骤：
1. 启动Active Directory 用户和计算机。
2. 右键单击“域\System\DFSR-GlobalSettings”节点，然后单击“ 属性”。
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“完全控制”权限，然后单击以选择“应用于”区域中的“此对象和所有子对象”。
5. 将用户或组添加到每个成员的本地管理员组。或者，为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
添加/删除/修改复制的文件夹

若要仅向用户授予修改、添加或删除复制文件夹的权限，请执行以下步骤：
1. 启动Active Directory 用户和计算机。
2. 右键单击“域\系统\DFSR-GlobalSettings\ReplicationGroup\Content”节点，然后单击“ 属性”。
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“完全控制”权限，然后在“应用于”区域中选择“此对象和所有子对象”。
5. 将用户或组添加到每个成员的本地管理员组。或者，为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
添加/删除/修改成员和连接

若要仅向用户授予修改、添加或删除成员和连接的权限，请执行以下步骤：
1. 启动Active Directory 用户和计算机。
2. 右键单击“域\System\DFSR-GlobalSettings\ReplicationGroup\Topology”节点，然后单击“ 属性”。
3. 单击“ 安全性 ”选项卡，然后单击“ 高级”。
4. 向所需用户或组授予“完全控制”权限，然后在“应用于”区域中选择“此对象和所有子对象”。
5. 将用户或组添加到每个成员的本地管理员组。或者，为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
生成有关复制组的报告

若要生成诊断报告，用户必须是属于报表的服务器的本地管理员。