Per impostazione predefinita, le autorizzazioni utilizzate per una cartella DFS vengono ereditate a partire dal file system locale del server dello spazio dei nomi. Le autorizzazioni vengono ereditate a partire dalla directory radice dell'unità di sistema e concedono autorizzazioni di lettura al gruppo DOMAIN\Users. In questo modo, anche dopo l'attivazione dell'enumerazione basata sull'accesso, tutte le cartelle dello spazio dei nomi rimarranno visibili per tutti gli utenti del dominio.

Vantaggi e limitazioni derivanti dall'utilizzo delle autorizzazioni ereditate

L'utilizzo delle autorizzazioni ereditate per specificare gli utenti che possono visualizzare le cartelle in uno spazio dei nomi DFS comporta due vantaggi principali:

  • Le autorizzazioni ereditate possono essere applicate rapidamente a molte cartelle senza dover utilizzare script.

  • È possibile applicarle a cartelle senza destinazioni e radici dello spazio dei nomi.

Nonostante questi vantaggi, in Spazi dei nomi DFS le autorizzazioni ereditate comportano numerose limitazioni che le rendono inadatte per la maggior parte degli ambienti:

  • Le modifiche apportate alle autorizzazioni ereditate non vengono replicate ad altri server dello spazio dei nomi. È consigliabile pertanto utilizzare le autorizzazioni ereditate solo in spazi dei nomi autonomi o in ambienti in cui è possibile implementare un sistema di replica di terze parti per la sincronizzazione degli elenchi di controllo di accesso (ACL, Access Control List) in tutti i server dello spazio dei nomi.

  • Gestione DFS e Dfsutil non consentono di visualizzare o modificare le autorizzazioni ereditate. È necessario pertanto utilizzare Esplora risorse o il comando Icacls insieme a Gestione DFS o a Dfsutil per gestire lo spazio dei nomi.

  • Se si utilizzano autorizzazioni ereditate, non è possibile modificare le autorizzazioni di una cartella con destinazioni, se non utilizzando il comando Dfsutil. Spazi dei nomi DFS rimuove automaticamente le autorizzazioni dalle cartelle con destinazioni impostate utilizzando altri strumenti o metodi.

  • Se si impostano autorizzazioni in una cartella con destinazioni mentre si utilizzano autorizzazioni ereditate, l'elenco ACL impostato per la cartella con destinazioni si combinerà con le autorizzazioni ereditate provenienti dall'elemento padre della cartella nel file system. Sarà necessario esaminare entrambi gli insiemi di autorizzazioni per determinare quali autorizzazioni verranno effettivamente applicate.

Suggerimento

Se si utilizzano autorizzazioni ereditate, è più semplice impostare le autorizzazioni per le cartelle senza destinazioni e le radici dello spazio dei nomi. Utilizzare quindi le autorizzazioni ereditate nelle cartelle con destinazioni in modo che ereditino tutte le autorizzazioni dai relativi elementi padre.

Utilizzare le autorizzazioni ereditate

Per limitare la visualizzazione di una cartella DFS a utenti specifici, è necessario eseguire una delle attività seguenti:

  • Impostare autorizzazioni esplicite per la cartella, disattivando l'eredità. Per impostare autorizzazioni esplicite per una cartella con destinazioni (collegamento) utilizzando Gestione DFS o il comando Dfsutil, vedere Attivare l'enumerazione basata sull'accesso in uno spazio dei nomi.

  • Modificare nell'elemento padre nel file system locale le autorizzazioni ereditate. Per modificare le autorizzazioni ereditate da una cartella con destinazioni, se sono state già impostate autorizzazioni esplicite per la cartella passare dalle autorizzazioni esplicite alle autorizzazioni ereditate, come illustrato nella procedura precedente. Utilizzare quindi Esplora risorse o il comando Icacls per modificare le autorizzazioni della cartella dalla quale la cartella con destinazioni eredita le autorizzazioni, come descritto nel sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=140259.

Nota

L'enumerazione basata sull'accesso non impedisce agli utenti di ottenere un riferimento a una destinazione di cartella se conoscono già il percorso DFS della cartella con destinazioni. Le autorizzazioni impostate utilizzando Esplora risorse o il comando Icacls nelle cartelle senza destinazioni o nelle radici dello spazio dei nomi controllano se gli utenti possono accedere alla cartella DFS o alla radice dello spazio dei nomi. Non impediscono tuttavia agli utenti di accedere direttamente a una cartella con destinazioni. Solo le autorizzazioni di condivisione o le autorizzazioni del file system NTFS della cartella condivisa stessa possono impedire agli utenti di accedere alle destinazioni delle cartelle.

Per passare da autorizzazioni esplicite ad autorizzazioni ereditate
  1. Nell'albero della console individuare al di sotto del nodo Spazi dei nomi la cartella con destinazioni di cui si desidera controllare la visibilità, fare clic su di essa con il pulsante destro del mouse e quindi scegliere Proprietà.

  2. Fare clic sulla scheda Avanzate.

  3. Fare clic su Usa autorizzazioni ereditate dal file system locale e quindi su OK nella finestra di dialogo Conferma utilizzo di autorizzazioni ereditate.

    In questo modo verranno rimosse tutte le autorizzazioni impostate in modo esplicito per la cartella e verranno ripristinate le autorizzazioni NTFS ereditate a partire dal file system locale del server dello spazio dei nomi.

  4. Per modificare le autorizzazioni ereditate per cartelle o radici dello spazio dei nomi in uno spazio dei nomi DFS, utilizzare Esplora risorse o il comando ICacls, come descritto nel sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=140259.

Per modificare la modalità di applicazione delle autorizzazioni tramite prompt dei comandi oppure ripristinare l'eredità delle autorizzazioni NTFS dal file system locale e mantenere le autorizzazioni impostate utilizzando Gestione DFS, visitare il sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=140259.

Ulteriori riferimenti


Argomenti della Guida