在命名空間上啟用存取型列舉
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008
存取型列舉會隱藏使用者沒有存取權限的檔案和資料夾。 根據預設,DFS 命名空間不會啟用此功能。 您可以使用 DFS 管理來啟用 DFS 資料夾的存取型列舉。 若要控制資料夾目標中檔案和資料夾的存取型列舉,您必須使用共用和儲存管理,在每個共用資料夾上啟用存取型列舉。
若要在命名空間上啟用存取型列舉,所有命名空間伺服器都必須執行 Windows Server 2008 或更新版本。 此外,網域型命名空間必須使用 Windows Server 2008 模式。 如需 Windows Server 2008 模式需求的相關資訊,請參閱選擇命名空間類型。
在某些環境中,啟用存取型列舉可能會造成伺服器上的高 CPU 使用率,以及使用者回應時間變慢。
注意
如果您在現有的網域型命名空間時將網域功能等級升級至 Windows Server 2008,DFS 管理可讓您在這些命名空間上啟用存取型列舉。 不過,除非您將命名空間移轉至 Windows Server 2008 模式,否則您將無法編輯權限以隱藏任何群組或使用者的資料夾。 如需詳細資訊,請參閱將網域型命名空間移轉至 Windows Server 2008 模式。
若要搭配 DFS 命名空間使用存取型列舉,您必須遵循下列步驟:
- 在命名空間上啟用存取型列舉
- 控制哪些使用者和群組可以檢視個別的 DFS 資料夾
警告
如果使用者已經知道 DFS 路徑,存取型列舉並不會防止使用者取得資料夾目標的推薦。 只有資料夾目標 (共用資料夾) 本身的共用權限或 NTFS 檔案系統權限,才能防止使用者存取資料夾目標。 DFS 資料夾權限僅用於顯示或隱藏 DFS 資料夾,而不是用於控制存取權,使讀取存取權成為 DFS 資料夾層級的唯一相關權限。 如需詳細資訊,請參閱搭配存取型列舉使用繼承的權限
您可以使用 Windows 介面或使用命令列,在命名空間上啟用存取型列舉。
若要使用 Windows 介面啟用存取型列舉
在主控台樹狀目錄的 [命名空間] 節點下,以滑鼠右鍵按一下適當的命名空間,然後按一下 [內容]。
按一下 [進階] 索引標籤,然後選取 [啟用此命名空間的存取型列舉] 核取方塊。
若要使用命令列啟用存取型列舉
在已安裝分散式檔案系統角色服務或分散式檔案系統工具功能的伺服器上開啟命令提示字元視窗。
輸入下列命令,其中 <namespace_root> 是命名空間的根目錄:
dfsutil property abe enable \\ <namespace_root>
提示
若要使用 Windows PowerShell 管理命名空間上的存取型列舉,請使用 Set-DfsnRoot、Grant-DfsnAccess 和 Revoke-DfsnAccess Cmdlet。 DFSN Windows PowerShell 模組是在 Windows Server 2012 中引進的。
您可以使用 Windows 介面或使用命令列來控制哪些使用者和群組可以檢視個別的 DFS 資料夾。
使用 Windows 介面控制資料夾可見度
在主控台樹狀目錄的 [命名空間] 節點底下,找出您要控制可見度的目標資料夾,以滑鼠右鍵按一下它,然後按一下 [內容]。
按一下 [進階] 索引標籤。
按一下 [設定 DFS 資料夾的明確檢視權限],然後按一下 [設定檢視權限]。
按一下 [新增] 或 [移除] 來新增或移除群組或使用者。
若要允許使用者查看 DFS 資料夾,請選取群組或使用者,然後選取 [允許] 核取方塊。
若要隱藏群組或使用者的資料夾,請選取群組或使用者,然後選取 [拒絕] 核取方塊。
使用命令列控制資料夾可見度
在已安裝分散式檔案系統角色服務或分散式檔案系統工具功能的伺服器上開啟 [命令提示字元] 視窗。
輸入下列命令,其中 <DFSPath> 是 DFS 資料夾的路徑(連結),<DOMAIN\Account> 是群組或使用者帳戶的名稱,而 (...) 會取代為其他存取控制項目 (ACE):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace例如,若要將現有的權限取代為允許 Domain Admins 和 CONTOSO\Trainers 群組讀取 (R) 存取 \contoso.office\public\training 資料夾的權限,請輸入下列命令:
dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace若要從命令提示字元執行其他工作,請使用下列命令:
| Command | 描述 |
|---|---|
| Dfsutil 屬性 sd 拒絕 | 拒絕群組或使用者檢視資料夾的能力。 |
| Dfsutil 屬性 sd 重設 | 從資料夾移除所有權限。 |
| Dfsutil 屬性 sd 撤銷 | 從資料夾移除群組或使用者 ACE。 |