搭配存取型列舉使用繼承的權限
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008
根據預設,DFS 資料夾所使用的權限會繼承自命名空間伺服器的本機檔案系統。 這些權限繼承自系統磁碟機的根目錄,並授與 DOMAIN\Users 群組讀取權限。 因此,即使在啟用存取型列舉之後,所有網域使用者仍可看見命名空間中的所有資料夾。
繼承權限的優點和限制
使用繼承權限來控制哪些使用者可以檢視 DFS 命名空間中的資料夾時,您可獲得兩個主要好處:
- 您無須使用指令碼,就可以快速將繼承權限套用至許多資料夾。
- 您可以將繼承權限套用至命名空間根目錄和不具目標的資料夾。
儘管有這些好處,DFS 命名空間中的繼承權限仍有許多限制,因而不適合大部分環境:
- 繼承權限的修改內容不會複寫到其他命名空間伺服器。 因此,請只在獨立命名空間或您可以實作第三方複寫系統的環境中使用繼承的權限,讓所有命名空間伺服器上的存取控制清單 (ACL) 保持同步。
- DFS 管理和 Dfsutil 無法檢視或修改繼承的權限。 因此,除了 DFS 管理或 Dfsutil 之外,您還必須使用 Windows 檔案總管或 Icacls 命令來管理命名空間。
- 使用繼承的權限時,除非使用 Dfsutil 命令,否則無法修改具有目標的資料夾權限。 DFS 命名空間會自動對具有目標的資料夾移除使用其他工具或方法設定的權限。
- 如果您在使用繼承的權限時對具有目標的資料夾設定權限,則您對具有目標的資料夾設定的 ACL 將會與檔案系統中的父資料夾繼承權限結合。 您必須檢查這兩組權限,以判斷網路權限為何。
注意
使用繼承的權限時,最簡單的方式是對命名空間根目錄和不具目標的資料夾設定權限。 然後對具有目標的資料夾使用繼承的權限,讓它們繼承父資料夾的所有權限。
使用繼承的權限
若要限制哪些使用者可以檢視 DFS 資料夾,您必須執行下列其中一項工作:
- 設定資料夾的明確權限以停用繼承。 若要使用 DFS 管理或 Dfsutil 命令對具有目標的資料夾設定明確權限 (連結),請參閱在命名空間上啟用存取型列舉。
- 修改本機檔案系統中父資料夾的繼承權限。 要修改具有目標之資料夾所繼承的權限時,若您已對該資料夾設定明確權限,請切換至從明確權限繼承的權限,如下列程序所述。 然後使用 Windows 檔案總管或 Icacls 命令,對繼承權限給具有目標之資料夾的父資料夾修改其權限。
注意
如果使用者已經知道具有目標的 DFS 資料夾路徑,存取型列舉並不會防止使用者取得資料夾目標的轉介。 使用 Windows 檔案總管或 Icacls 命令對命名空間根目錄或不具目標的資料夾所設定的權限,可控制使用者能否存取 DFS 資料夾或命名空間根目錄。 不過,這些權限不會防止使用者直接存取具有目標的資料夾。 只有共用資料夾本身的共用權限或 NTFS 檔案系統權限,才能防止使用者存取資料夾目標。
從明確權限切換至繼承權限
在主控台樹狀目錄的 [命名空間] 節點底下,找出您要控制可見度的具目標資料夾並以滑鼠右鍵按一下它,然後按一下 [內容]。
按一下 [進階] 索引標籤。
按一下 [使用本機檔案系統中的繼承權限],然後按一下 [確認使用繼承的權限] 對話方塊中的 [確定]。 這樣做會移除對此資料夾明確設定的所有權限,並從命名空間伺服器的本機檔案系統還原繼承的 NTFS 權限。
若要變更 DFS 命名空間中資料夾或命名空間根目錄的繼承權限,請使用 Windows 檔案總管或 ICacls 命令。