在 Windows Server 2003 R2 中委派 DFS 复制

本文介绍如何直接修改每个复制组的配置对象上的权限。

原始产品版本:   Windows Server 2003 R2
原始 KB 数:   911604

简介

分布式文件系统 (DFS) 复制使用 Active Directory 目录服务来存储配置对象。 使用 Active Directory 时,可以更准确地委派用户权限。 DFS 管理功能提供了高级别委派支持。 通过此支持,可以向用户授予创建复制组的能力。 此支持还允许你向用户授予已创建的复制组的管理权限。

详细信息

配置对象

在查看每个对象的详细信息之前,对所有对象进行概述非常有用。 本节介绍用于配置 DFS 复制的对象。 对这些对象的权限确定哪些用户可以对复制组执行特定操作。

全局对象

全局对象将副本集配置为整体。 例如,全局对象配置已复制文件夹的数量。 全局对象还配置复制组的每个成员之间的连接。

msDFSR-Globalsettings.config.json

在以下时间创建此对象:

  • 当创建域中的第一个复制组时
  • 用户第一次委派在域中创建复制组的权限

在系统容器中创建此对象。 默认情况下,只有域管理员可以创建此对象。

我们建议的对此对象的唯一安全修改是向用户授予在此容器中创建 msDFSR-ReplicationGroup 子对象的权限。 若要对此任务使用 DFS 管理,请对 "复制" 节点执行委派管理权限操作。

msDFSR-ReplicationGroup

此对象包含特定于单个复制组的所有全局设置。 若要在 DFS 管理中修改此容器上的权限,请对复制组执行委派管理权限操作。 您可以授予用户对复制组的管理权限。 您还可以授予 msDFSR-ReplicationGroup 对象的用户控件以及复制组的所有子对象的用户。 以下属性存储在此对象中:

  1. 说明
    复制组说明。
  2. msDFSR-拓扑
    默认计划。
msDFSR-内容

创建复制组时,将在 msDFSR-ReplicationGroup 对象下创建此对象。 MsDFSR 对象包含复制组中每个已复制文件夹的 msDFSR-ContentSet 对象。

备注

此对象中不存储任何重要属性。

msDFSR-ContentSet

为复制组中的每个已复制文件夹创建一个 msDFSR-ContentSet 对象。 以下属性存储在此对象中:

  • 说明
    已复制文件夹的说明。
  • msDFSR-FileFilter
    将从复制中排除文件的文件筛选器。
  • msDFSR-DirectoryFilter
    将从复制中排除文件夹的目录筛选器。
  • msDFSR-DfsPath
    将已复制文件夹发布到 DFS 命名空间时 DFS 文件夹的路径。
msDFSR-拓扑

创建复制组时,将在 msDFSR-ReplicationGroup 对象下创建此对象。 MsDFSR 对象包含复制组的每个成员的 msDFSR 成员对象。

备注

此对象中不存储任何重要属性。

msDFSR-成员

将为复制组的每个成员创建 msDFSR 成员对象。 此对象引用成员的计算机对象。 此对象包含一个 msDFSR 对象,该对象表示此成员是连接的接收成员的每个连接。 以下属性存储在此对象中:

  • msDFSR-ComputerReference
    对成员的计算机对象的引用。
msDFSR-Connection

将 msDFSR 连接创建为指向该成员的每个传入复制连接的 msDFSR 成员对象的子对象。 以下属性存储在此对象中:

  • msDFSR-已启用
    连接的启用状态。
  • msDFSR-计划
    连接的自定义计划。
  • msDFSR-关键字
    连接的关键字。
  • msDFSR-RdcEnabled
    RRemote 差分压缩的启用状态。

服务器本地对象

对于参与复制的每台服务器,计算机帐户中都存在服务器的本地对象。 这些对象配置复制组的各个成员。

msDFSR-LocalSettings

此对象是计算机帐户上的 DFS 复制对象的顶级容器。

msDFSR-订阅者

为服务器所属的每个复制组创建一个 msDFSR 对象。 此对象包含由 msDFSR-订阅者对象指定的复制组中每个已复制文件夹的 msDFSR 订阅对象。 以下属性存储在此对象中:

  • msDFSR-MemberReference
    对 msDFSR 对象的引用。
msDFSR-订阅

MsDFSR 对象包含在服务器上的每个已复制文件夹中唯一的设置。 以下属性存储在此对象中:

  • msDFSR-RootPath
    已复制文件夹的本地路径。
  • msDFSR-StagingPath
    已复制文件夹的暂存路径。
  • msDFSR-StagingSizeInMb
    暂存文件夹的大小。
  • msDFSR-ConflictSizeInMb
    冲突文件夹的大小。
  • msDFSR-已启用
    订阅的启用状态。
  • msDFSR-标志
    一个标志,控制是否将删除的文件移至 "冲突" 文件夹。

详细委派

授予创建复制组的权限

此操作是在 DFS 管理中提供的两个委派操作之一。 若要在 Active Directory 用户和计算机中手动执行此操作,请按照以下步骤操作:

  1. 启动 Active Directory 用户和计算机。
  2. 右键单击 \System\DFSR-GlobalSettings 节点,然后单击 " 属性"。
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。
  4. 向所需的用户或组授予 "创建所有子对象" 权限,然后在 "应用到" 区域中单击选择 "仅此对象"。

委派对复制组的管理权限

这是在 DFS 管理中可用的其他委派操作。 若要在 Active Directory 用户和计算机中手动执行此操作,请按照以下步骤操作:

  1. 启动 Active Directory 用户和计算机。
  2. 右键单击 \System\DFSR-GlobalSettings 节点,然后单击 " 属性"。
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。
  4. 向所需的用户或组授予 "完全控制" 权限,然后单击以选择 "应用到" 区域中的 "此对象和所有子对象"。
  5. 将用户或组添加到每个成员的本地 Administrators 组。

在不是本地管理员的情况下管理本地系统设置

通常情况下,用户必须是管理员才能管理本地计算机设置。 若要使不是管理员的用户能够管理本地计算机设置,请在 Active Directory 中授予用户对所需对象的直接控制权限。 为此,请按照下列步骤操作:

  1. 启动 Active Directory 用户和计算机。

  2. 右键单击 "计算机" 节点,然后单击 " 属性"。

    默认情况下,计算机节点的路径为以下项之一:

    • 成员服务器
      Domain\Computer\ComputerName\DFSR-LocalSettings
    • 域控制器
      Domain\Domain Controllers\ComputerName\DFSR-LocalSettings
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。

  4. 向所需的用户或组授予 "完全控制" 权限,然后单击以选择 "应用到" 区域中的 "此对象和所有子对象"。

对所有复制组的控制

若要向用户授予域中所有现有和将来复制组的控制权,请按照以下步骤操作:

  1. 启动 Active Directory 用户和计算机。
  2. 右键单击以下节点,然后单击 " 属性 \System\DFSR-GlobalSettings
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。
  4. 向所需的用户或组授予 "完全控制" 权限,然后单击以选择 "应用到" 区域中的 "此对象和所有子对象"。
  5. 将用户或组添加到每个成员的本地 Administrators 组。 或者,为复制组中每台服务器的计算机对象授予 " 完全控制 " 权限。

添加/删除/修改已复制文件夹

若要仅授予用户修改、添加或删除已复制文件夹的权限,请按照以下步骤操作:

  1. 启动 Active Directory 用户和计算机。
  2. 右键单击以下节点,然后单击 " 属性 \System\DFSR-GlobalSettings\ ReplicationGroup \Content
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。
  4. 向所需的用户或组授予 "完全控制" 权限,然后单击以选择 "应用到" 区域中的 "此对象和所有子对象"。
  5. 将用户或组添加到每个成员的本地 Administrators 组。 或者,为复制组中每台服务器的计算机对象授予 " 完全控制 " 权限。

添加/删除/修改成员和连接

若要仅授予用户修改、添加或删除成员和连接的权限,请按照以下步骤操作:

  1. 启动 Active Directory 用户和计算机。
  2. 右键单击以下节点,然后单击 " 属性 \System\DFSR-GlobalSettings\ ReplicationGroup \Topology
  3. 单击 " 安全 " 选项卡,然后单击 " 高级"。
  4. 向所需的用户或组授予 "完全控制" 权限,然后单击以选择 "应用到" 区域中的 "此对象和所有子对象"。
  5. 将用户或组添加到每个成员的本地 Administrators 组。 或者,为复制组中每台服务器的计算机对象授予 " 完全控制 " 权限。

生成有关复制组的报告

若要生成诊断报告,用户必须是报告中的服务器的本地管理员。