Bei der zugriffsbasierten Aufzählung werden Dateien und Ordner ausgeblendet, für die die Benutzer keine Zugriffsberechtigungen besitzen. Standardmäßig ist dieses Feature für DFS-Namespaces nicht aktiviert. Sie können die zugriffsbasierte Aufzählung von DFS-Ordnern mithilfe der DFS-Verwaltung aktivieren. Um die zugriffsbasierte Aufzählung von Dateien und Ordnern an Ordnerzielen zu steuern, müssen Sie die zugriffsbasierte Aufzählung für jeden freigegebenen Ordner mithilfe der Freigabe- und Speicherverwaltung aktivieren.

Zum Aktivieren der zugriffsbasierten Aufzählung für einen Namespace muss auf allen Namespaceservern Windows Server 2008 oder höher ausgeführt werden. Darüber hinaus muss für domänenbasierte Namespaces der Windows Server 2008-Modus verwendet werden. Informationen zu den Anforderungen des Windows Server 2008-Modus finden Sie unter Auswählen eines Namespacetyps.

In einigen Umgebungen kann die Aktivierung der zugriffsbasierten Aufzählung zu einer hohen CPU-Auslastung auf dem Server und langsamen Antwortzeiten für die Benutzer führen. Weitere Informationen finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=140356 (möglicherweise in englischer Sprache).

Hinweis

Wenn Sie die Domänenfunktionsebene auf Windows Server 2008 aktualisieren und domänenbasierte Namespaces bereits vorhanden sind, wird es Ihnen durch die DFS-Verwaltung ermöglicht, die zugriffsbasierte Aufzählung für diese Namespaces zu aktivieren. Es ist Ihnen jedoch nicht möglich, Berechtigungen zu bearbeiten, um Ordner für Gruppen oder Benutzer auszublenden, es sei denn, Sie migrieren die Namespaces zum Windows Server 2008-Modus. Weitere Informationen finden Sie unter Migrieren eines domänenbasierten Namespaces zum Windows Server 2008-Modus.

Führen Sie die folgenden Schritte aus, um die zugriffsbasierte Auflistung für DFS-Namespaces zu verwenden und auf diese Weise zu steuern, welche Gruppen oder Benutzer auf welche DFS-Ordner zugreifen können.

  • Aktivieren der zugriffsbasierten Auflistung für einen Namespace

  • Steuern, welche Benutzer und Gruppen einzelne DFS-Ordner sehen können

Vorsicht

Durch die zugriffsbasierte Aufzählung wird nicht verhindert, dass Benutzer einen Verweis zu einem Ordnerziel erhalten, wenn sie den DFS-Pfad bereits kennen. Nur durch die Freigabeberechtigungen oder die NTFS-Dateisystemberechtigungen des Ordnerziels (freigegebener Ordner) selbst können Benutzer daran gehindert werden, auf ein Ordnerziel zuzugreifen. DFS-Ordnerberechtigungen werden nur zum Anzeigen oder Ausblenden von DFS-Ordnern, jedoch nicht für die Zugriffssteuerung verwendet. Der Lesezugriff ist daher die einzige relevante Berechtigung auf DFS-Ordnerebene. Weitere Informationen finden Sie unter Verwenden vererbter Berechtigungen mit der zugriffsbasierten Aufzählung.

Aktivieren der zugriffsbasierten Auflistung für einen Namespace

So aktivieren Sie die zugriffsbasierte Aufzählung mithilfe der Windows-Benutzeroberfläche
  1. Klicken Sie in der Konsolenstruktur unter dem Knoten Namespaces mit der rechten Maustaste auf den entsprechenden Namespace, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert, und aktivieren Sie dann das Kontrollkästchen Zugriffsbasierte Aufzählung für diesen Namespace aktivieren.

So aktivieren Sie die zugriffsbasierte Aufzählung mithilfe einer Befehlszeile
  1. Öffnen Sie ein Eingabeaufforderungsfenster auf einem Server, auf dem der Rollendienst Verteiltes Dateisystem (DFS) oder das Feature DFS-Tools installiert ist.

  2. Geben Sie den folgenden Befehl ein, wobei <namespace_root> dem Stamm des Namespaces entspricht:

    dfsutil property abe enable \\<namespace_root>

Steuern, welche Benutzer und Gruppen einzelne DFS-Ordner sehen können

So steuern Sie die Sichtbarkeit von Ordnern mithilfe der Windows-Benutzeroberfläche
  1. Suchen Sie in der Konsolenstruktur unter dem Knoten Namespaces nach dem Ordner mit Zielen, dessen Sichtbarkeit Sie steuern möchten, klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf Explizite Anzeigeberechtigung für den DFS-Ordner festlegen und dann auf Anzeigeberechtigungen konfigurieren.

  4. Fügen Sie Gruppen oder Benutzer hinzu, oder entfernen Sie sie, indem Sie auf Hinzufügen oder Entfernen klicken.

  5. Wählen Sie eine Gruppe oder einen Benutzer aus, und aktivieren Sie das Kontrollkästchen Zulassen, damit die betreffenden Benutzer den DFS-Ordner sehen können.

    Wählen Sie eine Gruppe oder einen Benutzer aus, und aktivieren Sie das Kontrollkästchen Verweigern, um den Ordner für die Gruppe oder den Benutzer auszublenden.

So steuern Sie die Sichtbarkeit von Ordnern mithilfe einer Befehlszeile
  1. Öffnen Sie ein Eingabeaufforderungsfenster auf einem Server, auf dem der Rollendienst Verteiltes Dateisystem (DFS) oder das Feature DFS-Tools installiert ist.

  2. Geben Sie den folgenden Befehl ein, wobei <DFSPath> dem Pfad des DFS-Ordners (Verknüpfung) und <DOMAIN\Account> dem Namen des Gruppen- oder Benutzerkontos entspricht und (…) durch weitere Zugriffssteuerungseinträge ersetzt wird:

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace

    Wenn Sie beispielsweise vorhandene Berechtigungen durch Berechtigungen ersetzen möchten, die den Gruppen Domain Admins und CONTOSO\Trainers Lesezugriff (R) für den Ordner \\contoso.office\public\training erteilen, müssen Sie den folgenden Befehl eingeben:

    dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace 
  3. Verwenden Sie die folgenden Befehle, um weitere Aufgaben über die Eingabeaufforderung auszuführen:

    BefehlBeschreibung

    Dfsutil property sd deny

    Verweigert einer Gruppe oder einem Benutzer die Möglichkeit, den Ordner zu sehen.

    Dfsutil property sd reset

    Entfernt alle Berechtigungen vom Ordner.

    Dfsutil property sd revoke

    Entfernt einen Zugriffssteuerungseintrag für eine Gruppe oder einen Benutzer vom Ordner.

Weitere Verweise


Inhaltsverzeichnis