По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. Разрешения наследуются от корневого каталога системного диска и предоставляют разрешения на чтение группе ДОМЕН\Пользователи. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми для всех пользователей домена.

Преимущества и ограничения наследуемых разрешений

У использования наследуемых разрешений есть два основных преимущества, позволяющих управлять просмотром папок пользователями в пространстве имен DFS.

  • Можно быстро применить наследуемые разрешения ко многим папкам без использования сценариев.

  • Можно применить наследуемые разрешения к корням пространств имен и папкам без конечных объектов.

Несмотря на эти преимущества наследуемые разрешения в пространствах имен DFS обладают многими ограничениями, которые делают их неприменимыми для большинства сред.

  • Изменения наследуемых разрешений не реплицируются на другие серверы пространства имен. Поэтому их следует использовать только в изолированных пространствах имен или средах, в которых можно применить систему репликации других производителей, чтобы сохранить синхронизацию списков управления доступом для всех серверов пространств имен.

  • Оснастка «Управление DFS» и программа Dfsutil не позволяют просматривать или изменять наследуемые разрешения. Поэтому для управления пространством имен следует использовать проводник или команду Icacls в дополнение к оснастке «Управление DFS» и программе Dfsutil.

  • При использовании наследуемых разрешений изменять разрешения папки с конечными объектами можно только с помощью команды Dfsutil. Оснастка «Пространства имен» автоматически удаляет разрешения из папок с конечными объектами, используя другие средства или методы.

  • Если установить разрешения для папки с конечными объектами при использовании наследуемых разрешений, список управления доступом, заданный для этой папки, сочетается с наследуемыми разрешениями из родительской папки в файловой системе. Необходимо изучить оба набора разрешений, чтобы определить общие разрешения.

Совет

Использование наследуемых разрешений - это простейший способ установить разрешения в корнях пространства имен и папках без конечных объектов. Затем можно использовать наследуемые разрешения в папках с конечными объектами, чтобы они наследовали все разрешения родительских папок.

Использование наследуемых разрешений

Для ограничения пользователей, способных просматривать папку DFS, следует выполнить одно из следующих действий:

  • Установить явные разрешения для папки, отключив наследование. Чтобы установить явные разрешения для папки с конечными объектами (ссылки) с помощью оснастки «Управление DFS» или команды Dfsutil, см. раздел Включение перечисления на основе доступа в пространстве имен.

  • Изменить наследуемые разрешения родительского объекта в локальной файловой системе. Для изменения разрешений, наследуемых папкой с конечными объектами, если уже заданы явные разрешения, переключитесь с явных на наследуемые разрешения, как описано далее. Затем используйте проводник или команду Icacls для изменения разрешений папки, от которой папка с конечными объектами наследует разрешения, как описано на веб-сайте Майкрософт (https://go.microsoft.com/fwlink/?LinkId=140259 (может быть на английском языке)).

Примечание

Перечисление на основе доступа не запрещает пользователям получать ссылку на папку с конечными объектами, если они уже знают путь DFS папки с конечными объектами. Разрешения, заданные с помощью проводника или команды Icacls в корнях пространств имен или папках без конечных объектов, управляют тем, могут ли пользователи получить доступ к папке DFS или корню пространства имен. Однако они не запрещают пользователям прямой доступ к папке с конечными объектами. Только разрешения для общего ресурса или разрешения файловой системы NTFS для общего ресурса могут предотвратить доступ пользователей к папке с конечными объектами.

Переключение с явных на наследуемые разрешения

  1. В дереве консоли в узле Пространства имен найдите папку, чью видимость следует установить, щелкните ее правой кнопкой и затем выберите команду Свойства.

  2. Перейдите на вкладку Дополнительно.

  3. Щелкните Использовать наследуемые разрешения локальной файловой системы и затем нажмите кнопку ОК в диалоговом окне Подтверждение использования наследуемых разрешений.

    При этом удаляются все явно заданные разрешения для этой папки, восстанавливаются унаследованные от локальной файловой системы сервера пространства имен разрешения NTFS.

  4. Чтобы изменить наследуемые разрешения для папок или корней пространств имен в пространстве имен DFS, воспользуйтесь проводником или командой ICacls, как описано на веб-сайте Майкрософт (https://go.microsoft.com/fwlink/?LinkId=140259 (может быть на английском языке)).

Чтобы изменить метод применения разрешений с помощью командной строки или восстановить наследование разрешений NTFS от локальной файловой системы и сохранить разрешения, установленные с помощью оснастки «Управление DFS», см. статью на веб-сайте Майкрософт (https://go.microsoft.com/fwlink/?LinkId=140259 (может быть на английском языке)).

Дополнительные ссылки

Содержание