在 Windows Server 2003 R2 中委托 DFS 复制
本文介绍如何直接修改每个复制组的配置对象的权限。
适用于: Windows Server 2003 R2
原始 KB 编号: 911604
简介
分布式文件系统 (DFS) 复制使用 Active Directory 目录服务来存储配置对象。 使用 Active Directory 时,可以更准确地委托用户权限。 DFS 管理功能提供高级委派支持。 通过此支持,可以授予用户创建复制组的权限。 此支持还允许授予用户对已创建的复制组的管理权限。
配置对象
在详细查看每个对象之前,最好了解所有对象。 本部分介绍用于配置 DFS 复制的对象。 这些对象的权限决定了哪些用户可以对复制组执行特定操作。
全局对象
全局对象将副本 (replica) 集作为一个整体进行配置。 例如,全局对象配置复制的文件夹数。 全局对象还会配置复制组的每个成员之间的连接。
msDFSR-GlobalSettings
此对象是在以下时间创建的:
- 创建域中的第一个复制组时
- 用户首次被委派权限以在域中创建复制组
此对象在系统容器中创建。 默认情况下,只有域管理员可以创建此对象。
建议对此对象的唯一安全修改是授予用户在此容器中创建 msDFSR-ReplicationGroup 子对象的权限。 若要对此任务使用 DFS 管理,请在复制节点上执行“委托管理权限”操作。
msDFSR-ReplicationGroup
此对象包含特定于单个复制组的所有全局设置。 若要修改 DFS 管理中对此容器的权限,请对复制组执行“委托管理权限”操作。 可以授予用户对复制组的管理权限。 还可以授予用户对 msDFSR-ReplicationGroup 对象和复制组的所有子对象的控制权限。 以下属性存储在此对象中:
- 说明
复制组说明。 - msDFSR-Topology
默认计划。
msDFSR-Content
创建复制组时,此对象在 msDFSR-ReplicationGroup 对象下创建。 msDFSR-Content 对象包含复制组中每个复制文件夹的 msDFSR-ContentSet 对象。
注意
此对象中未存储任何重要属性。
msDFSR-ContentSet
为复制组中每个复制的文件夹创建 msDFSR-ContentSet 对象。 以下属性存储在此对象中:
- 说明
复制文件夹的说明。 - msDFSR-FileFilter
文件筛选器从复制中排除。 - msDFSR-DirectoryFilter
从复制中排除文件夹的目录筛选器。 - msDFSR-DfsPath
将复制的文件夹发布到 DFS 命名空间时 DFS 文件夹的路径。
msDFSR-Topology
创建复制组时,此对象在 msDFSR-ReplicationGroup 对象下创建。 msDFSR-Topology 对象包含复制组的每个成员的 msDFSR-Member 对象。
注意
此对象中未存储任何重要属性。
msDFSR-Member
为复制组的每个成员创建 msDFSR-Member 对象。 此对象引用成员的计算机对象。 此对象包含每个连接的 msDFSR-Connection 对象,其中此成员是连接的接收成员。 以下属性存储在此对象中:
- msDFSR-ComputerReference
对成员的计算机对象的引用。
msDFSR-Connection
msDFSR-Connection 作为 msDFSR-Member 对象的子级创建,用于与该成员建立的每个传入复制连接。 以下属性存储在此对象中:
- msDFSR-Enabled
连接的启用状态。 - msDFSR-Schedule
连接的自定义计划。 - msDFSR-Keywords
连接的关键字。 - msDFSR-RdcEnabled
rRemote 差异压缩的启用状态。
服务器本地对象
参与复制的每个服务器的计算机帐户中都存在服务器本地对象。 这些对象配置复制组的各个成员。
msDFSR-LocalSettings
此对象是计算机帐户上 DFS 复制对象的顶级容器。
msDFSR-Subscriber
为服务器所属的每个复制组创建 msDFSR-Subscriber 对象。 此对象包含由 msDFSR-Subscriber 对象指定的复制组中每个复制文件夹的 msDFSR-Subscription 对象。 以下属性存储在此对象中:
- msDFSR-MemberReference
对 msDFSR-Member 对象的引用。
msDFSR-Subscription
msDFSR-Subscription 对象包含服务器上每个复制文件夹唯一的设置。 以下属性存储在此对象中:
- msDFSR-RootPath
复制文件夹的本地路径。 - msDFSR-StagingPath
复制文件夹的暂存路径。 - msDFSR-StagingSizeInMb
暂存文件夹的大小。 - msDFSR-ConflictSizeInMb
冲突文件夹的大小。 - msDFSR-Enabled
订阅的启用状态。 - msDFSR-Flags
一个标志,用于控制是否将已删除的文件移动到冲突文件夹。
详细委派
授予创建复制组的权限
此操作是在 DFS 管理中可用的两个委派操作之一。 若要在 Active Directory 用户和计算机 中手动执行此操作,请执行以下步骤:
- 启动Active Directory 用户和计算机。
- 右键单击“域\System\DFSR-GlobalSettings”节点,然后单击“ 属性”。
- 单击“ 安全性 ”选项卡,然后单击“ 高级”。
- 向所需用户或组授予“创建所有子对象”权限,然后在“应用于”区域中选择“仅此对象”。
将管理权限委托给复制组
这是 DFS 管理中提供的另一个委派操作。 若要在 Active Directory 用户和计算机 中手动执行此操作,请执行以下步骤:
- 启动Active Directory 用户和计算机。
- 右键单击“域\System\DFSR-GlobalSettings”节点,然后单击“ 属性”。
- 单击“ 安全性 ”选项卡,然后单击“ 高级”。
- 向所需用户或组授予“完全控制”权限,然后在“应用于”区域中选择“此对象和所有子对象”。
- 将用户或组添加到每个成员的本地管理员组。
无需作为本地管理员即可管理本地系统设置
通常,用户必须是管理员才能管理本地计算机设置。 若要使不是管理员的用户能够管理本地计算机设置,请授予用户对 Active Directory 中所需对象的直接控制权限。 为此,请按照下列步骤操作:
启动Active Directory 用户和计算机。
右键单击计算机节点,然后单击“ 属性”。
默认情况下,计算机节点的路径为以下项之一:
- 成员服务器
Domain\Computer\ComputerName\DFSR-LocalSettings - 域控制器
Domain\Domain Controllers\ComputerName\DFSR-LocalSettings
- 成员服务器
单击“ 安全性 ”选项卡,然后单击“ 高级”。
向所需用户或组授予“完全控制”权限,然后单击以选择“应用于”区域中的“此对象和所有子对象”。
控制所有复制组
若要授予用户对域中所有现有和未来复制组的控制权,请执行以下步骤:
- 启动Active Directory 用户和计算机。
- 右键单击“域\System\DFSR-GlobalSettings”节点,然后单击“ 属性”。
- 单击“ 安全性 ”选项卡,然后单击“ 高级”。
- 向所需用户或组授予“完全控制”权限,然后单击以选择“应用于”区域中的“此对象和所有子对象”。
- 将用户或组添加到每个成员的本地管理员组。 或者,为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
添加/删除/修改复制的文件夹
若要仅向用户授予修改、添加或删除复制文件夹的权限,请执行以下步骤:
- 启动Active Directory 用户和计算机。
- 右键单击“域\系统\DFSR-GlobalSettings\ReplicationGroup\Content”节点,然后单击“ 属性”。
- 单击“ 安全性 ”选项卡,然后单击“ 高级”。
- 向所需用户或组授予“完全控制”权限,然后在“应用于”区域中选择“此对象和所有子对象”。
- 将用户或组添加到每个成员的本地管理员组。 或者,为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
添加/删除/修改成员和连接
若要仅向用户授予修改、添加或删除成员和连接的权限,请执行以下步骤:
- 启动Active Directory 用户和计算机。
- 右键单击“域\System\DFSR-GlobalSettings\ReplicationGroup\Topology”节点,然后单击“ 属性”。
- 单击“ 安全性 ”选项卡,然后单击“ 高级”。
- 向所需用户或组授予“完全控制”权限,然后在“应用于”区域中选择“此对象和所有子对象”。
- 将用户或组添加到每个成员的本地管理员组。 或者,为复制组中每个服务器的计算机对象授予 “完全控制” 权限。
生成有关复制组的报告
若要生成诊断报告,用户必须是属于报表的服务器的本地管理员。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈