Wyliczanie oparte na dostępie powoduje ukrycie plików i folderów, do których użytkownicy nie mają uprawnień dostępu. Domyślnie ta funkcja nie jest włączona dla obszarów nazw systemu plików DFS. Wyliczanie folderów systemu plików DFS oparte na dostępie można włączyć przy użyciu przystawki Zarządzanie systemem plików DFS. Aby sterować wyliczaniem opartym na dostępie dla plików i folderów w obiektach docelowych folderów, należy włączyć wyliczanie oparte na dostępie dla poszczególnych folderów udostępnionych przy użyciu przystawki Zarządzanie udziałami i magazynowaniem.

Aby włączyć dla obszaru nazw wyliczanie oparte na dostępie, wszystkie serwery obszarów nazw muszą działać w systemie Windows Server 2008 lub nowszym. Ponadto obszary nazw oparte na domenie muszą używać trybu systemu Windows Server 2008. Informacje dotyczące wymagań trybu systemu Windows Server 2008 znajdują się w temacie Wybieranie typu obszaru nazw.

W niektórych środowiskach włączenie wyliczania opartego na dostępie może spowodować duże obciążenie procesora serwera i spowolnić reakcje na żądania użytkowników. Więcej informacji można znaleźć w witrynie firmy Microsoft w sieci Web pod adresem https://go.microsoft.com/fwlink/?LinkId=140356 (strona może zostać wyświetlona w języku angielskim).

Uwaga

Jeśli poziom funkcjonalności domeny jest uaktualniany do poziomu systemu Windows Server 2008 i istnieją już obszary nazw oparte na domenie, przystawka Zarządzanie systemem plików DFS umożliwia włączenie dla tych obszarów nazw wyliczania opartego na dostępie. Jednak nie można edytować uprawnień w celu ukrycia folderów przed grupami lub użytkownikami, dopóki nie zostanie przeprowadzona migracja obszarów nazw do trybu systemu Windows Server 2008. Aby uzyskać więcej informacji, zobacz temat Migrowanie obszaru nazw opartego na domenie do trybu systemu Windows Server 2008.

Aby używać wyliczania opartego na dostępie z obszarami nazw systemu plików DFS do definiowania grup i użytkowników, którzy mogą wyświetlać określone foldery DFS, należy wykonać poniższe kroki.

  • Włączenie dla obszaru nazw wyliczania opartego na dostępie

  • Określenie użytkowników i grup, które mogą wyświetlać poszczególne foldery DFS

Przestroga

Wyliczanie oparte na dostępie nie uniemożliwia użytkownikom uzyskania odwołania do obiektu docelowego folderu, jeśli znają jego ścieżkę w systemie plików DFS. Jedynie uprawnienia udziału i uprawnienia systemu plików NTFS obiektu docelowego folderu (folderu udostępnionego) mogą uniemożliwić użytkownikom uzyskanie dostępu do obiektu docelowego folderu. Uprawnienia folderów systemu plików DFS są używane tylko do wyświetlania lub ukrywania folderów systemu plików DFS, a nie do kontrolowania dostępu. Oznacza to, że dostęp w trybie do odczytu to jedyne odpowiednie uprawnienie na poziomie folderów systemu plików DFS. Aby uzyskać więcej informacji, zobacz temat Używanie uprawnień dziedziczonych razem z wyliczaniem opartym na dostępie.

Włączanie dla obszaru nazw wyliczania opartego na dostępie

Aby włączyć wyliczanie oparte na dostępie przy użyciu interfejsu systemu Windows
  1. W drzewie konsoli w węźle Obszary nazw kliknij prawym przyciskiem myszy odpowiedni obszar nazw, a następnie kliknij polecenie Właściwości.

  2. Kliknij kartę Zaawansowane, a następnie zaznacz pole wyboru Włącz wyliczanie oparte na dostępie dla tego obszaru nazw.

Aby włączyć wyliczanie oparte na dostępie przy użyciu wiersza polecenia
  1. Otwórz okno wiersza polecenia na serwerze z zainstalowaną usługą roli Rozproszony system plików lub funkcją Narzędzia rozproszonego systemu plików.

  2. Wpisz następujące polecenie, gdzie <namespace_root> to katalog główny danego obszaru nazw:

    dfsutil property abe enable \\<namespace_root>

Określanie użytkowników i grup, które mogą wyświetlać poszczególne foldery DFS

Aby kontrolować widoczność folderów przy użyciu interfejsu systemu Windows
  1. W drzewie konsoli w węźle Obszary nazw znajdź folder zawierający obiekty docelowe, dla których chcesz ustawić widoczność, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.

  2. Kliknij kartę Zaawansowane.

  3. Kliknij opcję Ustaw jawne uprawnienia do wyświetlania tego folderu DFS, a następnie kliknij opcję Konfiguruj uprawnienia do wyświetlania.

  4. Dodaj lub usuń grupy lub użytkowników, klikając opcje Dodaj lub Usuń.

  5. Aby umożliwić użytkownikom wyświetlanie danego folderu DFS, zaznacz grupę lub użytkownika, a następnie zaznacz pole wyboru Zezwalaj.

    Aby ukryć folder przed grupą lub użytkownikiem, zaznacz tę grupę lub użytkownika, a następnie zaznacz pole wyboru Odmów.

Aby ustawić widoczność folderu przy użyciu wiersza polecenia
  1. Otwórz okno wiersza polecenia na serwerze z zainstalowaną usługą roli Rozproszony system plików lub funkcją Narzędzia rozproszonego systemu plików.

  2. Wpisz następujące polecenie, gdzie <DFSPath> to ścieżka danego folderu DFS (łącze), <DOMAIN\Account> to nazwa konta grupy lub użytkownika, a ciąg (…) należy zastąpić dodatkowymi wpisami kontroli dostępu (ACE):

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace

    Na przykład, aby zastąpić istniejące uprawnienia uprawnieniami zezwalającymi grupom Domain Admins i CONTOSO\Trainers na odczyt (Read, R) folderu \\contoso.office\public\training, wpisz następujące polecenie:

    dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace 
  3. Do wykonywania dodatkowych zadań przy użyciu wiersza polecenia służą następujące polecenia

    PolecenieOpis

    Dfsutil property sd deny

    Uniemożliwia grupie lub użytkownikowi wyświetlanie folderu.

    Dfsutil property sd reset

    Usuwa wszystkie uprawnienia z folderu.

    Dfsutil property sd revoke

    Usuwa z folderu wpis kontroli dostępu grupy lub użytkownika.

Dodatkowe informacje


Spis treści