Standardmäßig werden die Berechtigungen, die für einen DFS-Ordner verwendet werden, vom lokalen Dateisystem des Namespaceservers geerbt. Die Berechtigungen werden vom Stammverzeichnis des Systemlaufwerks geerbt; sie erteilen der Gruppe DOMÄNE\Benutzer Leseberechtigungen. Dies hat zur Folge, dass auch nach Aktivierung der zugriffsbasierten Aufzählung alle Ordner im Namespace für alle Domänenbenutzer sichtbar bleiben.

Vorzüge und Nachteile geerbter Berechtigungen

Die Verwendung geerbter Berechtigung, um zu steuern, welche Benutzer Ordner in einem DFS-Namespace sehen können, bietet zwei Vorzüge:

  • Geerbte Berechtigungen können schnell auf viele Ordner angewendet werden. Die Verwendung von Skripts ist nicht nötig.

  • Geerbte Berechtigungen können auf Namespacestämme und -ordner ohne Ziele angewendet werden.

Ungeachtet dieser Vorzüge sind mit geerbten Berechtigungen in DFS-Namespaces viele Einschränkungen verbunden, durch die sie für die meisten Umgebungen ungeeignet sind:

  • Änderungen an geerbten Berechtigungen werden nicht zu anderen Namespaceservern repliziert. Verwenden Sie geerbte Berechtigungen daher nur für eigenständige Namespaces oder in Umgebungen, in denen Sie ein Drittanbieter-Replikationssystem implementieren können, damit die Zugriffssteuerungslisten auf allen Namespaceservern synchronisiert bleiben.

  • Geerbte Berechtigungen können nicht mit der DFS-Verwaltung oder Dfsutil angezeigt oder geändert werden. Aus diesem Grund müssen Sie zusätzlich zur DFS-Verwaltung oder Dfsutil Windows-Explorer oder den Befehl Icacls verwenden, um den Namespace zu verwalten.

  • Bei der Verwendung geerbter Berechtigungen können Sie die Berechtigungen eines Ordners mit Zielen nicht ändern, es sei denn, Sie verwenden den Befehl Dfsutil. In DFS-Namespaces werden Berechtigungen von Ordnern mit Zielen automatisch entfernt, die mit anderen Tools oder Methoden festgelegt wurden.

  • Wenn Sie Berechtigungen für einen Ordner mit Zielen festlegen, während Sie geerbte Berechtigungen verwenden, wird die Zugriffssteuerungsliste, die Sie für den Ordner mit Zielen festlegen, mit den geerbten Berechtigungen des Elements kombiniert, das dem Ordner im Dateisystem übergeordnet ist. Sei müssen beide Berechtigungssätze untersuchen, um festzustellen, welche Berechtigungen letztlich daraus resultieren.

Tipp

Wenn Sie geerbte Berechtigungen verwenden, ist es das Einfachste, Berechtigungen für Namespacestämme und Ordner ohne Ziele festzulegen. Verwenden Sie dann geerbte Berechtigungen für Ordner mit Zielen, sodass sie alle Berechtigungen von ihren übergeordneten Elementen erben.

Verwenden geerbter Berechtigungen

Sie müssen die folgenden Aufgaben ausführen, um die Benutzer zu begrenzen, die einen DFS-Ordner sehen können:

  • Festlegen expliziter Berechtigungen für den Ordner, wodurch die Vererbung deaktiviert wird. Informationen zum Festlegen expliziter Berechtigungen für einen Ordner mit Zielen (Verknüpfungen) mithilfe der DFS-Verwaltung oder mit dem Befehl Dfsutil finden Sie unter Aktivieren der zugriffsbasierten Auflistung für einen Namespace.

  • Ändern geerbter Berechtigungen für das übergeordnete Element im lokalen Dateisystem. Wenn Sie die Berechtigungen, die von einem Ordner mit Zielen geerbt wurden, ändern möchten und bereits explizite Berechtigungen für den Ordner festgelegt haben, müssen Sie von expliziten zu geerbten Berechtigungen wechseln, wie im folgenden Verfahren beschrieben wird. Verwenden Sie dann Windows-Explorer oder den Befehl Icacls, um die Berechtigungen des Ordners zu ändern, von dem der Ordner mit Zielen seine Berechtigungen erbt. Eine Beschreibung finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=140259 (möglicherweise in englischer Sprache).

Hinweis

Durch die zugriffsbasierte Aufzählung wird nicht verhindert, dass Benutzer einen Verweis zu einem Ordnerziel erhalten, wenn sie den DFS-Pfad des Ordners mit Zielen bereits kennen. Berechtigungen, die mit Windows-Explorer oder dem Befehl Icacls für Namespacestämme oder Ordner ohne Ziele festgelegt werden, steuern, ob Benutzer auf den DFS-Ordner oder den Namespacestamm zugreifen können. Sie verhindern jedoch nicht den direkten Benutzerzugriff auf einen Ordner mit Zielen. Nur durch Freigabeberechtigungen oder die NTFS-Dateisystemberechtigungen des freigegebenen Ordners selbst können Benutzer daran gehindert werden, auf Ordnerziele zuzugreifen.

So wechseln Sie von expliziten Berechtigungen zu geerbten Berechtigungen
  1. Suchen Sie in der Konsolenstruktur unter dem Knoten Namespaces nach dem Ordner mit Zielen, dessen Sichtbarkeit Sie steuern möchten, klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf Vererbte Berechtigungen aus dem lokalen Dateisystem verwenden, und klicken Sie dann im Dialogfeld Verwendung vererbter Berechtigungen bestätigen auf OK.

    Hierdurch werden alle explizit festgelegten Berechtigungen für diesen Ordner entfernt, und die geerbten NTFS-Berechtigungen werden vom lokalen Dateisystem des Namespaceservers wiederhergestellt.

  4. Zum Ändern der geerbten Berechtigungen für Ordner oder Namespacestämme in einem DFS-Namespace verwenden Sie Windows-Explorer oder den Befehl ICacls. Eine entsprechende Beschreibung finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=140259 (möglicherweise in englischer Sprache).

Informationen zum Ändern der Art und Weise, wie Berechtigungen über eine Eingabeaufforderung angewendet werden, oder zum Wiederherstellen der Vererbung von NTFS-Berechtigungen vom lokalen Dateisystem und Beibehalten von Berechtigungen, die mit der DFS-Verwaltung festgelegt wurden, finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=140259 (möglicherweise in englischer Sprache).

Weitere Verweise


Inhaltsverzeichnis