Domyślnie uprawnienia do folderów systemu plików DFS są dziedziczone z lokalnego systemu plików serwera obszaru nazw. Uprawnienia są dziedziczone z katalogu głównego na dysku systemowym, a grupa DOMENA\Użytkownicy ma uprawnienia do odczytu. W wyniku tego nawet po włączeniu wyliczania opartego na dostępie wszystkie foldery w obszarze nazw są widoczne dla wszystkich użytkowników z domeny.
Zalety i ograniczenia uprawnień dziedziczonych
Istnieją dwie główne korzyści wynikające z używania uprawnień dziedziczonych do określania użytkowników, którzy widzą foldery w obszarze nazw systemu plików DFS:
- Można szybko zastosować uprawnienia dziedziczone do wielu folderów bez konieczności używania skryptów.
- Można zastosować uprawnienia dziedziczone do katalogów głównych obszarów nazw i folderów bez obiektów docelowych.
Oprócz tych korzyści uprawnienia dziedziczone w obszarach nazw systemu plików DFS mają jednak wiele ograniczeń, przez co są nieodpowiednie dla większości środowisk:
- Modyfikacje uprawnień dziedziczonych nie są replikowane do innych serwerów obszarów nazw. Dlatego uprawnień dziedziczonych należy używać tylko w autonomicznych obszarach nazw lub środowiskach, w których można wdrożyć system replikacji innej firmy w celu zachowania synchronizacji list kontroli dostępu na wszystkich serwerach obszarów nazw.
- Przystawka Zarządzanie systemem plików DFS i narzędzie
Dfsutil
nie umożliwiają wyświetlania ani modyfikowania uprawnień dziedziczonych. Dlatego do zarządzania obszarem nazw należy używać Eksploratora Windows lub poleceniaIcacls
w uzupełnieniu przystawki Zarządzanie systemem plików DFS lub narzędziaDfsutil
. - W przypadku używania uprawnień dziedziczonych nie można modyfikować uprawnień do folderu z obiektami docelowymi inaczej niż przy użyciu polecenia
Dfsutil
. Usługa Obszary nazw systemu plików DFS automatycznie usuwa uprawnienia z folderów z obiektami docelowymi, które zostały ustawione przy użyciu innych narzędzi i metod. - Jeśli są używane uprawnienia dziedziczone i zostaną ustawione uprawnienia do folderu z obiektami docelowymi, lista kontroli dostępu ustawiona dla tego folderu zostanie połączona z uprawnieniami dziedziczonymi z jego folderu nadrzędnego w systemie plików. Należy sprawdzić oba zestawy uprawnień, aby ustalić, jakie uprawnienia obowiązują.
Wskazówka | |
W przypadku używania uprawnień dziedziczonych najprościej jest ustawić uprawnienia do katalogów głównych obszaru nazw i folderów bez obiektów docelowych. Następnie należy użyć uprawnień dziedziczonych względem folderów z obiektami docelowymi, aby odziedziczyły wszystkie uprawnienia ze swoich folderów nadrzędnych. |
Używanie uprawnień dziedziczonych
Aby określić, którzy użytkownicy mogą widzieć folder systemu plików DFS, należy wykonać jedno z następujących zadań:
- Ustawienie jawnych uprawnień do folderu, wyłączając dziedziczenie. Aby ustawić jawne uprawnienia do folderu z obiektami docelowymi (łącze) przy użyciu przystawki Zarządzanie systemem plików DFS lub polecenia
Dfsutil
, zobacz temat Włączanie dla obszaru nazw wyliczania opartego na dostępie. - Zmodyfikowanie uprawnień dziedziczonych folderu nadrzędnego w lokalnym systemie plików. Aby zmodyfikować uprawnienia dziedziczone przez folder z obiektami docelowymi, jeśli już ustawiono jawne uprawnienia do folderu, należy zrezygnować z uprawnień jawnych na rzecz uprawnień dziedziczonych, jak to opisano w poniższej procedurze. Następnie należy użyć Eksploratora Windows lub polecenia
Icacls
w celu zmodyfikowania uprawnień folderu, z którego folder z obiektami docelowymi dziedziczy uprawnienia, jak to opisano w witrynie firmy Microsoft w sieci Web (https://go.microsoft.com/fwlink/?LinkId=140259 (strona może zostać wyświetlona w języku angielskim) ).
Uwaga | |
Wyliczanie oparte na dostępie nie uniemożliwia użytkownikom uzyskania odwołania do obiektu docelowego folderu, jeśli znają ścieżkę tego folderu z obiektami docelowymi w systemie plików DFS. Uprawnienia ustawione przy użyciu Eksploratora Windows lub polecenia |
Aby zrezygnować z uprawnień jawnych na rzecz uprawnień dziedziczonych |
W drzewie konsoli w węźle Obszary nazw znajdź folder zawierający obiekty docelowe, dla których chcesz ustawić widoczność, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
Kliknij kartę Zaawansowane.
Kliknij opcję Korzystaj z uprawnień odziedziczonych z lokalnego systemu plików, a następnie kliknij przycisk OK w oknie dialogowym Potwierdź zastosowanie uprawnień odziedziczonych.
W ten sposób zostaną usunięte wszystkie jawnie ustawione uprawnienia do tego folderu i przywrócone uprawnienia dziedziczone systemu plików NTFS z lokalnego systemu plików serwera obszaru nazw.
Aby zmienić uprawniania dziedziczone dla folderów lub katalogów głównych obszaru nazw w obszarze nazw systemu plików DFS, użyj Eksploratora Windows lub polecenia
ICacls
, jak to opisano w witrynie firmy Microsoft w sieci Web (https://go.microsoft.com/fwlink/?LinkId=140259 (strona może zostać wyświetlona w języku angielskim) ).
Aby zmienić sposób stosowania uprawnień przy użyciu wiersza polecenia lub przywrócić dziedziczenie uprawnień systemu plików NTFS z lokalnego systemu plików i zachować uprawnienia ustawione przy użyciu przystawki Zarządzanie systemem plików DFS, zobacz informacje w witrynie firmy Microsoft w sieci Web (