Domyślnie uprawnienia do folderów systemu plików DFS są dziedziczone z lokalnego systemu plików serwera obszaru nazw. Uprawnienia są dziedziczone z katalogu głównego na dysku systemowym, a grupa DOMENA\Użytkownicy ma uprawnienia do odczytu. W wyniku tego nawet po włączeniu wyliczania opartego na dostępie wszystkie foldery w obszarze nazw są widoczne dla wszystkich użytkowników z domeny.

Zalety i ograniczenia uprawnień dziedziczonych

Istnieją dwie główne korzyści wynikające z używania uprawnień dziedziczonych do określania użytkowników, którzy widzą foldery w obszarze nazw systemu plików DFS:

  • Można szybko zastosować uprawnienia dziedziczone do wielu folderów bez konieczności używania skryptów.

  • Można zastosować uprawnienia dziedziczone do katalogów głównych obszarów nazw i folderów bez obiektów docelowych.

Oprócz tych korzyści uprawnienia dziedziczone w obszarach nazw systemu plików DFS mają jednak wiele ograniczeń, przez co są nieodpowiednie dla większości środowisk:

  • Modyfikacje uprawnień dziedziczonych nie są replikowane do innych serwerów obszarów nazw. Dlatego uprawnień dziedziczonych należy używać tylko w autonomicznych obszarach nazw lub środowiskach, w których można wdrożyć system replikacji innej firmy w celu zachowania synchronizacji list kontroli dostępu na wszystkich serwerach obszarów nazw.

  • Przystawka Zarządzanie systemem plików DFS i narzędzie Dfsutil nie umożliwiają wyświetlania ani modyfikowania uprawnień dziedziczonych. Dlatego do zarządzania obszarem nazw należy używać Eksploratora Windows lub polecenia Icacls w uzupełnieniu przystawki Zarządzanie systemem plików DFS lub narzędzia Dfsutil.

  • W przypadku używania uprawnień dziedziczonych nie można modyfikować uprawnień do folderu z obiektami docelowymi inaczej niż przy użyciu polecenia Dfsutil. Usługa Obszary nazw systemu plików DFS automatycznie usuwa uprawnienia z folderów z obiektami docelowymi, które zostały ustawione przy użyciu innych narzędzi i metod.

  • Jeśli są używane uprawnienia dziedziczone i zostaną ustawione uprawnienia do folderu z obiektami docelowymi, lista kontroli dostępu ustawiona dla tego folderu zostanie połączona z uprawnieniami dziedziczonymi z jego folderu nadrzędnego w systemie plików. Należy sprawdzić oba zestawy uprawnień, aby ustalić, jakie uprawnienia obowiązują.

Wskazówka

W przypadku używania uprawnień dziedziczonych najprościej jest ustawić uprawnienia do katalogów głównych obszaru nazw i folderów bez obiektów docelowych. Następnie należy użyć uprawnień dziedziczonych względem folderów z obiektami docelowymi, aby odziedziczyły wszystkie uprawnienia ze swoich folderów nadrzędnych.

Używanie uprawnień dziedziczonych

Aby określić, którzy użytkownicy mogą widzieć folder systemu plików DFS, należy wykonać jedno z następujących zadań:

  • Ustawienie jawnych uprawnień do folderu, wyłączając dziedziczenie. Aby ustawić jawne uprawnienia do folderu z obiektami docelowymi (łącze) przy użyciu przystawki Zarządzanie systemem plików DFS lub polecenia Dfsutil, zobacz temat Włączanie dla obszaru nazw wyliczania opartego na dostępie.

  • Zmodyfikowanie uprawnień dziedziczonych folderu nadrzędnego w lokalnym systemie plików. Aby zmodyfikować uprawnienia dziedziczone przez folder z obiektami docelowymi, jeśli już ustawiono jawne uprawnienia do folderu, należy zrezygnować z uprawnień jawnych na rzecz uprawnień dziedziczonych, jak to opisano w poniższej procedurze. Następnie należy użyć Eksploratora Windows lub polecenia Icacls w celu zmodyfikowania uprawnień folderu, z którego folder z obiektami docelowymi dziedziczy uprawnienia, jak to opisano w witrynie firmy Microsoft w sieci Web (https://go.microsoft.com/fwlink/?LinkId=140259 (strona może zostać wyświetlona w języku angielskim)).

Uwaga

Wyliczanie oparte na dostępie nie uniemożliwia użytkownikom uzyskania odwołania do obiektu docelowego folderu, jeśli znają ścieżkę tego folderu z obiektami docelowymi w systemie plików DFS. Uprawnienia ustawione przy użyciu Eksploratora Windows lub polecenia Icacls dla katalogów głównych obszaru nazw lub folderów bez obiektów docelowych określają, czy użytkownicy mają dostęp do danego folderu systemu plików DFS lub katalogu głównego obszaru nazw. Jednak nie uniemożliwiają użytkownikom bezpośredniego dostępu do folderu z obiektami docelowymi. Jedynie uprawnienia do udziału i uprawnienia systemu plików NTFS folderu udostępnionego mogą uniemożliwić użytkownikom uzyskanie dostępu do obiektów docelowych folderu.

Aby zrezygnować z uprawnień jawnych na rzecz uprawnień dziedziczonych

  1. W drzewie konsoli w węźle Obszary nazw znajdź folder zawierający obiekty docelowe, dla których chcesz ustawić widoczność, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.

  2. Kliknij kartę Zaawansowane.

  3. Kliknij opcję Korzystaj z uprawnień odziedziczonych z lokalnego systemu plików, a następnie kliknij przycisk OK w oknie dialogowym Potwierdź zastosowanie uprawnień odziedziczonych.

    W ten sposób zostaną usunięte wszystkie jawnie ustawione uprawnienia do tego folderu i przywrócone uprawnienia dziedziczone systemu plików NTFS z lokalnego systemu plików serwera obszaru nazw.

  4. Aby zmienić uprawniania dziedziczone dla folderów lub katalogów głównych obszaru nazw w obszarze nazw systemu plików DFS, użyj Eksploratora Windows lub polecenia ICacls, jak to opisano w witrynie firmy Microsoft w sieci Web (https://go.microsoft.com/fwlink/?LinkId=140259 (strona może zostać wyświetlona w języku angielskim)).

Aby zmienić sposób stosowania uprawnień przy użyciu wiersza polecenia lub przywrócić dziedziczenie uprawnień systemu plików NTFS z lokalnego systemu plików i zachować uprawnienia ustawione przy użyciu przystawki Zarządzanie systemem plików DFS, zobacz informacje w witrynie firmy Microsoft w sieci Web (https://go.microsoft.com/fwlink/?LinkId=140259 (strona może zostać wyświetlona w języku angielskim)).

Dodatkowe informacje

Spis treści