Por predefinição, as permissões utilizadas para uma pasta DFS são herdadas do sistema de ficheiros local do servidor de espaços de nomes. As permissões são herdadas do directório de raiz da unidade de sistema e concedem as permissões de Leitura DOMÍNIO\Grupo de utilizadores. Como resultado, mesmo depois de activar a enumeração baseada no acesso, todas as pastas do espaço de nome permanecem visíveis a todos os utilizadores de domínio.

Vantagens e limitações das permissões herdadas

Existem dois benefícios principais na utilização de permissões herdadas para controlar os utilizadores que podem visualizar pastas num espaço de nome DFS:

  • Pode aplicar rapidamente as permissões herdadas em várias pastas sem ter de utilizar scripts.

  • Pode aplicar permissões herdadas em raízes de espaços de nomes e pastas sem destinos.

Apesar dos benefícios, as permissões herdadas nos Espaços de Nomes DFS têm várias limitações que as tornam inapropriadas para a maioria dos ambientes:

  • As modificações à permissões herdadas não são replicadas para outros servidores de espaços de nomes. Por conseguinte, utilize as permissões herdadas apenas em espaços de nomes autónomos ou em ambientes nos quais pode implementar um sistema de replicação de terceiros para manter as listas de controlo de acesso (ACLs) em todos os servidores de espaços de nomes sincronizadas.

  • A Gestão DFS e o Dfsutil não podem visualizar ou modificar as permissões herdadas. Por conseguinte, tem de utilizar o Explorador do Windows ou o comando Icacls além da Gestão DFS ou o Dfsutil para gerir o espaço de nome.

  • Ao utilizar permissões herdadas, não pode modificar as permissões de uma pasta com destinos, excepto utilizando o comando Dfsutil. Os Espaços de Nomes DFS removem automaticamente as permissões de pastas com destinos definidos utilizando outras ferramentas ou métodos.

  • Se definir permissões numa pasta com destinos enquanto estiver a utilizar permissões herdadas, a ACL definida na pasta com destinos combina com as permissões herdadas do principal da pasta no sistema de ficheiros. Tem de examinar ambos os conjuntos de permissões para determinar as permissões de rede.

Sugestão

Ao utilizar permissões herdadas, é mais simples definir as permissões nas raízes de espaços de nomes e pastas sem destinos. Em seguida, utilize as permissões herdadas em pastas com destinos para que possam herdar todas as permissões das suas principais.

Utilizar permissões herdadas

Para limitar os utilizadores que podem visualizar uma pasta DFS, tem de executar uma das seguintes tarefas:

  • Definir permissões explícitas para a pasta, desactivando a herança. Para definir permissões explícitas numa pasta com destinos (uma ligação) utilizando a Gestão DFS ou o comando Dfsutil, consulte Activar a Enumeração Baseada no Acesso num Espaço de Nome.

  • Modificar permissões herdadas no principal no sistema de ficheiros local. Para modificar as permissões herdadas por uma pasta com destinos, se já tiver definido permissões explícitas na pasta, mude de permissões explícitas para permissões herdadas, conforme indicado no seguinte procedimento. Em seguida, utilize o Explorador do Windows ou o comando Icacls para modificar as permissões da pasta a partir da qual a pasta com destinos herda as suas permissões, conforme descrito no Web site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 (pode estar em inglês)).

Nota

A enumeração baseada no acesso não impede os utilizador de obterem uma referência para um destino de pasta se já conhecerem o caminho DFS da pasta com destinos. As permissões definidas utilizando o Explorador do Windows ou o comando Icacls nas raízes de espaços de nomes ou pastas sem destinos controlam se os utilizadores podem aceder à pasta DFS ou raiz de espaço de nome. Contudo, não impedem os utilizadores de aceder directamente a uma pasta com destinos. Apenas as permissões de partilha ou as permissões do sistema de ficheiros NTFS da própria pasta partilhada podem impedir os utilizadores de aceder a destinos de pasta.

Para mudar de permissões explícitas para permissões herdadas

  1. Na árvore da consola, no nó Espaços de nomes, localize a pasta com destinos para a qual pretende controlar a visibilidade, clique com o botão direito na pasta e, em seguida, clique em Propriedades.

  2. Clique no separador Avançadas.

  3. Clique em Utilizar permissões herdadas do sistema de ficheiros local e, em seguida, clique em OK na caixa de diálogo Confirmar Utilização de Permissões Herdadas.

    Este procedimento remove todas as permissões definidas explicitamente nesta pasta, restaurando as permissões NTFS herdadas do sistema de ficheiros local do servidor de espaços de nomes.

  4. Para alterar as permissões herdadas para pastas ou raízes de espaços de nomes num espaço de nome DFS, utilize o Explorador do Windows ou o comando ICacls, conforme descrito no Web site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 (pode estar em inglês)).

Para alterar a forma como as permissões são aplicadas utilizando uma linha de comandos, ou para restaurar a herança de permissões NTFS do sistema de ficheiros local e preservar as permissões que foram definidas utilizando a Gestão DFS, consulte o Web site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 (pode estar em inglês)).

Referências adicionais

Sumário