アクセス ベースの列挙機能は、ユーザーがアクセス許可を持っていないファイルやフォルダーを表示しないようにします。この機能は、既定では DFS 名前空間に対して有効になっていません。DFS フォルダーのアクセス ベースの列挙は、DFS の管理を使用して有効にすることができます。フォルダー ターゲット内のファイルとフォルダーのアクセス ベースの列挙を制御するには、共有と記憶域の管理を使用して、各共有フォルダーでアクセス ベースの列挙を有効にする必要があります。
名前空間でアクセス ベースの列挙を有効にするには、すべての名前空間サーバーで Windows Server 2008 以降が実行されている必要があります。さらに、ドメイン ベースの名前空間で Windows Server 2008 モードを使用していることが必要です。Windows Server 2008 モードの要件の詳細については、「名前空間の種類を選択する」を参照してください。
一部の環境では、アクセス ベースの列挙を有効にするとサーバーの CPU 使用率が高くなり、ユーザーへの応答時間が遅くなる場合があります。詳細については、Microsoft の Web サイト (英語の可能性あり) (
 | 注 |
|
既にドメイン ベースの名前空間がある場合は、ドメインの機能レベルを Windows Server 2008 にアップグレードすると、DFS の管理でこれらの名前空間に対してアクセス ベースの列挙を有効にすることができます。ただし、名前空間を Windows Server 2008 モードに移行しない限り、グループやユーザーがフォルダーを表示できないようにアクセス許可を編集することはできません。詳細については、「ドメイン ベースの名前空間を Windows Server 2008 モードに移行する」を参照してください。 |
DFS 名前空間でアクセス ベースの列挙を使用して、特定の DFS フォルダーを表示できるグループまたはユーザーを制御するには、次の手順に従います。
- 名前空間でアクセス ベースの列挙を有効にする
- 個々の DFS フォルダーを表示できるユーザーおよびグループを制御する
 | 注意 |
|
アクセス ベースの列挙では、ユーザーが DFS パスを既に知っている場合、そのフォルダー ターゲットへの紹介を取得しないようにすることはできません。フォルダー ターゲット (共有フォルダー) 自体に共有または NTFS ファイル システムのアクセス許可が設定されている場合にのみ、フォルダー ターゲットへのアクセスを阻止できます。DFS フォルダーのアクセス許可は、DFS フォルダーの表示または非表示にのみ使用され、アクセスの制御には使用されないため、読み取りアクセスが DFS フォルダー レベルでの唯一の関連アクセス許可になります。詳細については、「継承されたアクセス許可をアクセス ベースの列挙で使用する」を参照してください。 |
名前空間でアクセス ベースの列挙を有効にする
 | Windows インターフェイスを使用してアクセス ベースの列挙を有効にするには |
コンソール ツリーの [名前空間] ノードで、該当する名前空間を右クリックし、[プロパティ] をクリックします。
[詳細設定] タブをクリックし、[この名前空間のアクセス ベースの列挙を有効にする] チェック ボックスをオンにします。
| コマンド ラインを使用してアクセス ベースの列挙を有効にするには |
[分散ファイル システム] の役割サービスまたは [分散ファイル システム ツール] 機能がインストールされているサーバーで、コマンド プロンプト ウィンドウを開きます。
次のコマンドを入力します。<namespace_root> には、名前空間のルートを指定します。
dfsutil property abe enable \\<namespace_root>
個々の DFS フォルダーを表示できるユーザーおよびグループを制御する
| Windows インターフェイスを使用してフォルダーの表示レベルを制御するには |
コンソール ツリーの [名前空間] ノードで、表示レベルを制御するターゲットがあるフォルダーを探し、見つかったフォルダーを右クリックして [プロパティ] をクリックします。
[詳細設定] タブをクリックします。
[DFS フォルダーに明示的なアクセス許可の表示を設定する] をクリックし、[アクセス許可の表示を構成する] をクリックします。
[追加] または [削除] をクリックして、グループやユーザーを追加または削除します。
DFS フォルダーをユーザーが表示できるようにする場合は、対象のグループまたはユーザーを選択して [許可] チェック ボックスをオンにします。
グループまたはユーザーがフォルダーを表示できないようにする場合は、対象のグループまたはユーザーを選択して [拒否] チェック ボックスをオンにします。
| コマンド ラインを使用してフォルダーの表示レベルを制御するには |
[分散ファイル システム] の役割サービスまたは [分散ファイル システム ツール] 機能がインストールされているサーバーで、コマンド プロンプト ウィンドウを開きます。
次のコマンドを入力します。<DFSPath> には DFS フォルダーのパス (リンク)、<DOMAIN\Account> にはグループまたはユーザーのアカウントの名前を指定し、(…) は追加のアクセス制御エントリ (ACE) で置き換えます。
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace
たとえば、既存のアクセス許可を変更して、Domain Admins および CONTOSO\Trainers グループに対して
\\contoso.office\public\trainingフォルダーへの読み取り (R) アクセスを許可する場合は、次のコマンドを入力します。dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace
コマンド プロンプトから追加のタスクを実行するには、次のコマンドを使用します。
コマンド 説明 Dfsutil property sd denyグループまたはユーザーがフォルダーを表示できないようにします。
Dfsutil property sd resetすべてのアクセス許可をフォルダーから削除します。
Dfsutil property sd revokeグループまたはユーザーの ACE をフォルダーから削除します。