A enumeração baseada no acesso oculta ficheiros e pastas aos quais os utilizadores não têm permissão para aceder. Por predefinição, esta funcionalidade não está activada para espaço de nomes de DFS. Pode activar a enumeração baseada no acesso de pastas DFS utilizando a Gestão de DFS. Para controlar a enumeração baseada no acesso de ficheiros e pastas em destinos de pastas, tem de activar a enumeração baseada no acesso em cada pasta partilhada utilizando a Gestão de Partilhas e Armazenamento.

Para activar a enumeração baseada no acesso num espaço de nome, todos os servidores de espaço de nome têm de ter o Windows Server 2008 ou mais recente. Adicionalmente, os espaços de nomes baseados no domínio têm de utilizar o modo Windows Server 2008. Para obter informações sobre os requisitos do modo Windows Server 2008, consulte Escolher um Tipo de Espaço de Nome.

Em alguns ambientes, a activação da enumeração baseada no acesso pode provocar uma elevada utilização da CPU no servidor e tempos de resposta lentos para os utilizadores. Para mais informações, consulte o Web site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=140356 (pode estar em inglês)).

Nota

Se actualizar o nível funcional do domínio para o Windows Server 2008 enquanto existirem espaços de nomes baseados no domínio, a Gestão DFS irá permitir a activação da enumeração baseada no acesso nesses espaços de nomes. Contudo, não poderá editar as permissões para ocultar pastas de quaisquer grupos ou utilizadores, a menos que efectue a migração dos espaços de nomes para o modo Windows Server 2008. Para mais informações, consulte Migrar um Espaço de Nome Baseado no Domínio para o Modo Windows Server 2008.

Para utilizar a enumeração baseada no acesso com Espaços de Nomes DFS para controlar que grupos ou utilizadores podem ver que pastas DFS, tem de seguir estes passos.

  • Activar a enumeração baseada no acesso num espaço de nome

  • Controlar que utilizadores e grupos podem ver pastas DFS individuais

Atenção

A enumeração baseada no acesso não impede os utilizador de obterem uma referência para um destino de pasta se já conhecerem o caminho DFS. Apenas as permissões de partilha ou as permissões do sistema de ficheiros NTFS do próprio destino de pasta (pasta partilhada) podem impedir os utilizadores de aceder a um destino de pasta. As permissões de pastas DFS só são utilizadas para mostrar ou ocultar pastas DFS, não para controlar o acesso, o que torna o acesso de Leitura na única permissão relevante ao nível da pasta DFS. Para mais informações, consulte Utilizar Permissões Herdadas com a Enumeração Baseada no Acesso.

Activar a enumeração baseada no acesso num espaço de nome

Para activar a enumeração baseada no acesso utilizando a interface do Windows
  1. Na árvore da consola, no nó Espaços de nomes, clique com o botão direito do rato no espaço de nome apropriado e, em seguida, clique em Propriedades.

  2. Clique no separador Avançadas e, em seguida, seleccione a caixa de verificação Activar enumeração baseada no acesso para este espaço de nomes.

Para activar a enumeração baseada no acesso utilizando uma linha de comandos
  1. Abra uma janela da linha de comandos num servidor que tenha o serviço de função Sistema de Ficheiros Distribuído ou a funcionalidade Ferramentas do Sistema de Ficheiros Distribuído instalada.

  2. Escreva o seguinte comando, em que <namespace_root> corresponde à raiz do espaço de nome:

    dfsutil property abe enable \\<namespace_root>

Controlar que utilizadores e grupos podem ver pastas DFS individuais

Para controlar a visibilidade da pasta utilizando a interface do Windows
  1. Na árvore da consola, no nó Espaços de nomes, localize a pasta com destinos para a qual pretende controlar a visibilidade, clique com o botão direito na mesma e, em seguida, clique em Propriedades.

  2. Clique no separador Avançadas.

  3. Clique em Definir permissões de vista explícitas na pasta DFS e, em seguida, em Configurar permissões de vista.

  4. Adicione ou remova grupos ou utilizadores, clicando em Adicionar ou Remover.

  5. Para permitir que os utilizadores visualizem a pasta DFS, seleccione o grupo ou utilizador e, em seguida, seleccione a caixa de verificação Permitir.

    Para ocultar a pasta a um grupo ou utilizador, seleccione o grupo ou utilizador e, em seguida, seleccione a caixa de verificação Negar.

Para controlar a visibilidade da pasta utilizando uma linha de comandos
  1. Abra uma janela da linha de comandos num servidor que tenha o serviço de função Sistema de Ficheiros Distribuído ou a funcionalidade Ferramentas do Sistema de Ficheiros Distribuído instalada.

  2. Escreva o seguinte comando, em que <DFSPath> corresponde ao caminho da pasta DFS (ligação), <DOMAIN\Account> corresponde ao nome do grupo ou conta de utilizador, e (…) é substituído por ACEs (Entradas de Controlo de Acesso) adicionais:

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace

    Por exemplo, para substituir permissões existentes por permissões que permitam que os grupos de Admins de Domínio e CONTOSO\Formadores tenham acesso de leitura à pasta \\contoso.office\public\training, escreva o seguinte comando:

    dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace 
  3. Para executar tarefas adicionais a partir da linha de comandos, utilize os seguintes comandos

    ComandoDescrição

    Dfsutil property sd deny

    Nega a um grupo ou utilizador a capacidade de visualizar a pasta.

    Dfsutil property sd reset

    Remove todas as permissões da pasta.

    Dfsutil property sd revoke

    Remove a ACE de um grupo ou utilizador da pasta.

Referências adicionais


Sumário