Por padrão, as permissões utilizadas para uma pasta DFS são herdadas de um sistema de arquivos local do servidor de namespace. As permissões são herdadas de um diretório raiz da unidade do sistema e concedem os direitos de Leitura ao grupo DOMAIN\Users. Consequentemente, mesmo depois de habilitar a enumeração baseada em acesso, todas as pastas no namespace permanecem visíveis para todos os usuários do domínio.

Vantagens e limitações das permissões herdadas

Há duas vantagens principais ao usar permissões herdadas para controlar quais usuários podem exibir pastas em um namespace DFS:

  • Você pode aplicar rapidamente as permissões herdadas a muitas pastas sem ter que usar scripts.

  • É possível aplicar as permissões herdadas às raízes e pastas de namespace sem destinos.

Apesar das vantagens, as permissões herdadas nos Namespaces DFS têm muitas limitações que as tornam inadequadas para a maioria dos ambientes:

  • As modificações para as permissões herdadas não são replicadas para outros servidores de namespace. Portanto, use as permissões herdadas somente em namespces autônomos ou em ambientes em que é possível implementar um sistema de replicação de terceiros para manter as ACLs (Listas de controle de acesso) em todos os servidores de namespace sincronizadas.

  • Gerenciamento DFS e Dfsutil não podem exibir ou modificar permissões herdadas. Portanto, você deve usar o Windows Explorer ou o comando Icacls além do Gerenciamento DFS ou o Dfsutil para gerenciar namespace.

  • Ao utilizar permissões herdadas, você não pode modificar as permissões de uma pasta com destinos, a não ser utilizando o comando Dfsutil. Os Namespaces DFS removem automaticamente permissões das pastas com destinos definidas utilizando outras ferramentas ou métodos.

  • Se você definir as permissões em uma pasta com destinos enquanto estiver usando permissões herdadas, a ACL definida na pasta com destinos se combinará com as permissões herdadas do pai da pasta no sistema de arquivos. Você deve examinar ambos os conjuntos de permissões para determinar quais são as permissões de rede.

Dica

Quando você usa as permissões herdadas, é mais simples definir permissões nas raízes do namespace e nas pastas sem destinos. Em seguida, use as permissões herdadas nas pastas com destino para que elas herdem todas as permissões de seus pais.

Usando permissões herdadas

Para limitar quais usuários podem exibir uma pasta DFS, você deve executar uma das seguintes tarefas:

  • Definir permissões explícitas para a pasta, desabilitando a herança. Para definir permissões explícitas em uma pasta com destinos (um link) utilizando o Gerenciamento DFS ou o comando Dfsutil, consulte Habilitar Enumeração com base em Acesso em um Namespace.

  • Modificar permissões herdadas no pai no sistema de arquivos local. Para modificar as permissões herdadas por uma pasta com destinos, se você já tiver definido permissões explícitas na pasta, alterne para as permissões herdadas a partir das permissões explícitas, como discutido no procedimento a seguir. Em seguida, use o Windows Explorer ou o comando Icacls para modificar as permissões da pasta da qual a pasta com destinos herda suas permissões, como descrito no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 [a página pode estar em inglês]).

Observação

A enumeração baseada em acesso não impede que os usuários obtenham uma referência para um destino de pasta se eles já souberem o caminho do DFS da pasta com destinos. As permissões definidas utilizando o Windows Explorer ou o comando Icacls nas raízes de namesapce ou nas pastas sem destinos controlam se os usuários podem acessar a pasta DFS ou a raiz de namespace. Entretanto, elas não impedem que os usuários acessem diretamente uma pasta com destinos. Somente as permissões de compartilhamento ou as próprias permissões do sistema de arquivos NTFS da pasta compartilhada podem impedir os usuários de acessarem destinos de pasta.

Para alternar das permissões explícitas para as herdadas
  1. Na árvore de console, no nó Namespaces, localize a pasta com os destinos cuja visibilidade deseja controlar, clique com o botão direito do mouse nela e clique em Propriedades.

  2. Clique na guia Avançado.

  3. Clique em Usar permissões herdadas do sistema de arquivos local e, em seguida, clique em OK na caixa de diálogo Confirmar uso de permissões herdadas.

    Isso remove todas as permissões definidas explicitamente nesta pasta, restaurando as permissões NTFS herdadas do sistema de arquivos local do servidor de namespace.

  4. Para alterar as permissões herdadas para pastas ou raízes de namespace em um namespace DFS, use o Windows Explorer ou o comando ICacls, como descrito no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 [a página pode estar em inglês]).

Para alterar o modo como as permissões são aplicadas utilizando um prompt de comando, ou para restaurar a herança das permissões NTFS do sistema de arquivos local e preservar as permissões que foram definidas utilizando o Gerenciamento DFS, consulte o site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140259 [a página pode estar em inglês]).

Referências adicionais


Sumário