Výčet na základě úrovně přístupu skryje soubory a složky, ke kterým uživatelé nemají přístupová oprávnění. Ve výchozím nastavení není tato funkce povolena u oborů názvů DFS. Výčet na základě úrovně přístupu lze u složek DFS povolit pomocí modulu snap-in Správa systému souborů DFS. Chcete-li řídit výčet na základě úrovně přístupu u souborů a složek v cílech složek, je nutné jej povolit u každé sdílené složky pomocí modulu snap-in Správa sdílených složek a úložišť.

Chcete-li u oboru názvů povolit výčet na základě úrovně přístupu, musí všechny servery oboru názvů používat systém Windows Server 2008 nebo novější. Obory názvů domény navíc musí používat režim Windows Server 2008. Informace o požadavcích režimu Windows Server 2008 naleznete v části Výběr typu oboru názvů.

V některých prostředích může povolení výčtu na základě úrovně přístupu vést k vysoké míře využití procesoru serveru a prodloužit dobu odezvy pro uživatele. Více informací naleznete na webu společnosti Microsoft (https://go.microsoft.com/fwlink/?LinkId=140356 (stránka může být v angličtině)).

Poznámka

Pokud upgradujete úroveň funkčnosti domény na Windows Server 2008 a zároveň existují stávající obory názvů domény, nástroj Správa systému souborů DFS vám u těchto oborů názvů umožní povolit výčet na základě úrovně přístupu. Jestliže však obory názvů nemigrujete do režimu Windows Server 2008, nebudete moci upravovat oprávnění ke skrytí složek ze zobrazení žádných skupin či uživatelů. Další informace naleznete v tématu Migrace oboru názvů domény do režimu systému Windows Server 2008.

Chcete-li k řízení toho, které skupiny či uživatelé mohou zobrazit jednotlivé složky DFS, používat výčet na základě úrovně přístupu u oborů názvů DFS, je třeba postupovat podle následujících kroků.

  • Povolení výčtu na základě úrovně přístupu u oboru názvů

  • Řízení toho, kteří uživatelé a skupiny mohou zobrazit jednotlivé složky DFS

Upozornění

Výčet na základě úrovně přístupu nebrání uživatelům získat odkaz na cíl složky v případě, že již znají cestu DFS. V přístupu k cíli složky lze uživatelům zabránit pouze pomocí oprávnění k přístupu ke sdílené položce nebo oprávnění systému souborů NTFS u samotného cíle složky (sdílené složky). Oprávnění složek DFS slouží pouze k zobrazení nebo skrytí těchto složek a neumožňují řízení přístupu. Z tohoto důvodu je u úrovně složky DFS jediným relevantním oprávněním přístup jen pro čtení. Další informace naleznete v tématu Použití zděděných oprávnění s výčtem na základě úrovně přístupu.

Povolení výčtu na základě úrovně přístupu u oboru názvů

Povolení výčtu na základě úrovně přístupu pomocí rozhraní systému Windows
  1. Ve stromu konzoly klikněte pod uzlem Obory názvů pravým tlačítkem na požadovaný obor názvů a poté klikněte na příkaz Vlastnosti.

  2. Klikněte na kartu Upřesnit a zaškrtněte políčko Povolit výčet na základě úrovně přístupu pro tento obor názvů.

Povolení výčtu na základě úrovně přístupu pomocí příkazového řádku
  1. Otevřete okno příkazového řádku na serveru, který má roli služby Systém souborů DFS nebo má nainstalovánu funkci Nástroje systému souborů DFS.

  2. Zadejte následující příkaz, kde parametr <namespace_root> představuje kořen oboru názvů:

    dfsutil property abe enable \\<namespace_root>

Řízení toho, kteří uživatelé a skupiny mohou zobrazit jednotlivé složky DFS

Řízení zobrazení složek pomocí rozhraní systému Windows
  1. Ve stromu konzoly pod uzlem Obory názvů vyhledejte složku s cíli, u kterých chcete řídit zobrazení, klikněte na ni pravým tlačítkem a poté klikněte na příkaz Vlastnosti.

  2. Klikněte na kartu Upřesnit.

  3. Klikněte na možnost Nastavit výslovná oprávnění k zobrazení složky DFS a na tlačítko Konfigurovat oprávnění k zobrazení.

  4. Přidejte nebo odeberte skupiny či uživatele kliknutím na tlačítko Přidat, respektive Odebrat.

  5. Chcete-li uživatelům povolit zobrazení dané složky DFS, vyberte skupinu či uživatele a zaškrtněte políčko Povolit.

    Chcete-li skupině či uživateli složku skrýt, vyberte je a zaškrtněte políčko Odepřít.

Řízení zobrazení složek pomocí příkazového řádku
  1. Otevřete okno příkazového řádku na serveru, který má roli služby Systém souborů DFS nebo má nainstalovánu funkci Nástroje systému souborů DFS.

  2. Zadejte následující příkaz, kde parametr <DFSPath> je cesta složky DFS (odkaz), parametr <DOMAIN\Account> představuje název skupiny nebo uživatelského účtu a znak (…) je nahrazen dalšími položkami řízení přístupu (ACE):

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace

    Chcete-li například nahradit stávající oprávnění oprávněními, která umožní skupinám Domain Admins a CONTOSO\Trainers přístup pro čtení do složky \\contoso.office\public\training, zadejte následující příkaz:

    dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace 
  3. K provedení dalších úloh z příkazového řádku slouží následující příkazy:

    PříkazPopis

    Dfsutil property sd deny

    Odepře skupině či uživateli možnost zobrazit složku.

    Dfsutil property sd reset

    Odebere ze složky všechna oprávnění.

    Dfsutil property sd revoke

    Odebere ze složky položku řízení přístupu (ACE) skupiny či uživatele.

Další odkazy


Obsah