A enumeração baseada em acesso oculta arquivos e pastas que os usuários não têm permissão para acessar. Por padrão, este recurso não está habilitado para namespaces do DFS. Você pode habilitar a enumeração por acesso das pastas do DFS usando o Gerenciamento DFS. Para controlar a enumeração por acesso de arquivos e pastas nos destinos das pastas, você deve habilitar a enumeração por acesso em cada pasta compartilhada, usando o Gerenciamento de Compartilhamento e Armazenamento.
Para habilitar a enumeração baseada em acesso em um namespace, todos os servidores de namespace devem estar executando o Windows Server 2008 ou mais recente. Além disso, os namespaces baseados em domínio devem usar o modo Windows Server 2008. Para obter informações sobre os requisitos do modo Windows Server 2008, consulte Escolher um tipo de namespace.
Em alguns ambientes, a habilitação da enumeração baseada em acesso pode causar uma alta utilização da CPU no servidor e aumentar o tempo de resposta para os usuários. Para obter mais informações, consulte o site da Microsoft (
 | Observação |
|
Se você estiver atualizando o nível funcional do domínio para Windows Server 2008 enquanto existirem namespaces baseados em domínio, o Gerenciamento DFS permitirá que você habilite a enumeração baseada em domínio nesses namespaces. Entretanto, você não poderá editar permissões para ocultar pastas de quaisquer grupos ou usuários, exceto se migrar os namespaces para o modo Windows Server 2008. Para obter mais informações, consulte Migrar um Namespace Baseado em Domínio para o Modo Windows Server 2008. |
Para usar a enumeração baseada em acesso com Namespaces de DFS para controlar quais grupos ou usuários podem exibir quais pastas do DFS, é necessário seguir estas etapas.
- Habilitar enumeração baseada em acesso em um namespace
- Controlar quais usuários e grupos podem exibir pastas de DFS individuais
 | Cuidado |
|
A enumeração baseada em acesso não impede que os usuários obtenham uma referência de um destino de pasta se eles já souberem o caminho do DFS. Somente as permissões de compartilhamento ou as próprias permissões do sistema de arquivos NTFS do destino de pasta (pasta compartilhada) podem impedir os usuários de acessarem um destino de pasta. As permissões de pasta do DFS são usadas apenas para exibir ou ocultar as pastas do DFS, não para controlar o acesso, tornando o acesso de Leitura a única permissão relevante no nível das pastas de DFS. Para obter mais informações, consulte Utilizando Permissões Herdadas com Enumeração Baseada em Acesso. |
Habilitando enumeração baseada em acesso em um namespace
 | Para habilitar a enumeração baseada em acesso, usando a interface do Windows |
Na árvore de console, no nó Namespaces, clique com o botão direito do mouse em um namespace apropriado e clique em Propriedades.
Clique na guia Avançado e marque a caixa de seleção Habilitar enumeração baseada em acesso para este namespace.
| Para habilitar a enumeração baseada em acesso, usando uma linha de comando |
Abra uma janela do prompt de comando em um servidor que tenha o serviço de função Sistema de Arquivos Distribuído ou o recurso Ferramentas de Sistema de Arquivos Distribuído instalado.
Digite o seguinte comando, em que <namespace_root> é a raiz do namespace:
dfsutil property abe enable \\<namespace_root>
Controlando quais usuários e grupos podem exibir pastas de DFS individuais
| Para controlar a visibilidade das pastas usando a interface do Windows |
Na árvore de console, no nó Namespaces, localize a pasta com os destinos cuja visibilidade deseja controlar, clique com o botão direito do mouse nela e, em seguida, clique em Propriedades.
Clique na guia Avançado.
Clique em Definir permissões de exibição explícitas nessa pasta do DFS e em Configurar permissões de exibição.
Adicione ou remova grupos ou usuários clicando em Adicionar ou Remover.
Para permitir que os usuários vejam a pasta do DFS, selecione o grupo ou o usuário e, em seguida, marque a caixa de seleção Permitir.
Para ocultar a pasta de um grupo ou usuário, selecione o grupo ou o usuário e, em seguida, marque a caixa de seleção Negar.
| Para controlar a visibilidade das pastas usando a linha de comando |
Abra uma janela do prompt de comando em um servidor que tenha o serviço de função Sistema de Arquivos Distribuído ou o recurso Ferramentas de Sistema de Arquivos Distribuído instalado.
Digite o seguinte comando, no qual <DFSPath> é o caminho da pasta do DFS (link), <DOMAIN\Account> é o nome do grupo ou da conta do usuário e (…) é substituído por mais ACEs (Entradas de Controle de Acesso):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace
Por exemplo, para substituir as permissões existentes pelas permissões que dão direito aos grupos Admins. de Domínio e CONTOSO\Trainers acesso de Leitura (L) na pasta
\\contoso.office\public\training, digite o seguinte comando:dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace
Para executar tarefas adicionais a partir do prompt de comando, use os seguintes comandos
Comando Descrição Dfsutil property sd denyNega a um grupo ou usuário permissão para exibir a pasta.
Dfsutil property sd resetRemove todas as permissões da pasta.
Dfsutil property sd revokeRemove uma ACE de grupo ou usuário da pasta.