Som standard ärvs behörigheterna som används för en DFS-mapp från det lokala filsystemet på namnområdesservern. Behörigheterna ärvs från systemenhetens rotkatalog och ger läsbehörighet till gruppen DOMAIN\Users. Resultatet är att alla mappar i namnområdet är synliga för alla domänanvändare, även om åtkomstbaserad uppräkning aktiveras.

Fördelar och begränsningar med ärvda behörigheter

Det finns två primära fördelar med att använda ärvda behörigheter för att kontrollera vilka användare som kan visa mappar i ett DFS-namnområde:

  • Du kan snabbt använda ärvda behörigheter på många mappar utan att behöva använda skript.

  • Du kan använda ärvda behörigheter på namnområdesrötter och mappar utan mål.

Trots fördelarna har ärvda behörigheter i DFS-namnområden många begränsningar som gör dem olämpliga för de flesta miljöer:

  • Det går inte att replikera ändringar i ärvda behörigheter till andra namnområdesservrar. Använd därför bara ärvda behörigheter för fristående namnområden eller i miljöer där det går att implementera ett tredje parts replikeringssystem för att ACL:er (Access Control Lists) ska fortsätta vara synkroniserade på alla namnområdesservrar.

  • Det går inte att visa eller ändra ärvda behörigheter med DFS-hantering eller Dfsutil. Använd därför Windows Explorer eller kommandot Icacls förutom DFS-hantering eller Dfsutil för att hantera namnområdet.

  • Det går inte att ändra behörigheter för en mapp med mål utom med hjälp av kommandot Dfsutil när du använder ärvda behörigheter. DFS-namnområden tar automatiskt bort behörigheter från mappar med mål med hjälp av andra verktyg och metoder.

  • Om du anger behörigheter för en mapp med mål när du använder ärvda behörigheter kombineras den ACL som du anger för mappen med mål, med ärvda behörigheter från mappens överordnade i filsystemet. Du måste kontrollera båda behörighetsuppsättningarna för att avgöra vilka nettobehörigheterna är.

Tips!

När du använder ärvda behörigheter är det enklast att ange behörigheter för namnområdesrötter och mappar utan mål. Använd sedan de ärvda behörigheterna på mappar utan mål så att de ärver alla behörigheter från sina överordnade.

Använda ärvda behörigheter

Du kan begränsa vilka användare som kan visa en DFS-mapp genom att utföra följande åtgärder:

  • Ange explicita behörigheter för mappen vilket inaktiverar arv. Information om hur du anger explicita behörigheter för en mapp med mål (en länk) med hjälp av DFS-Hantering eller kommandot Dfsutil finns i Aktivera åtkomstbaserad uppräkning för ett namnområde.

  • Ändra ärvda behörigheter på överordnad i det lokala filsystemet. Om du vill ändra behörigheterna som en mapp med mål har ärvt och du redan har angett explicita behörigheter för mappen, ändrar du från explicita behörigheter till ärvda så som beskrivs nedan. Använd sedan Windows Explorer eller kommandot Icacls för att ändra behörigheterna för din mapp som mappen med mål har ärvt sina rättigheter från. En beskrivning finns på Microsofts webbplats (https://go.microsoft.com/fwlink/?LinkId=140259 (sidan kan vara på engelska)).

OBS

Åtkomstbaserad uppräkning hindrar inte användare från att hämta en hänvisning till ett mappmål om de redan känner till DFS-sökvägen till mappen med mål. Du kan kontrollera om användare har åtkomst till DFS-mappen eller namnområdesroten genom att ange behörigheter med hjälp av Windows Explorer eller kommandot Icacls. Det går inte att hindra användare från att direktansluta till en mapp med mål. Det är bara med delningsbehörigheter eller NFTS-filsystembehörigheter för den delade mappen som det är möjligt att förhindra att användare får åtkomst till mappmål.

Växla från explicita till ärvda behörigheter

  1. Leta reda på den mapp med mål som du vill kontrollera synligheten på i konsolträdet under noden Namnområden. Högerklicka på mappen och klicka sedan på Egenskaper.

  2. Klicka på fliken Avancerat.

  3. Klicka på Använd ärvda behörigheter från det lokala filsystemet och klicka sedan på OK i dialogrutan Bekräfta användning av ärvda behörigheter.

    När du gör det tas alla explicit angivna behörigheter bort från mappen och de ärvda NTFS-behörigheterna återställs från namnområdesserverns lokala filsystem.

  4. Om du vill ändra de ärvda behörigheterna för mappar eller namnområdesrötter i ett DFS-namnområde använder du Windows Explorer eller kommandot ICacls. En beskrivning finns på Microsofts webbplats (https://go.microsoft.com/fwlink/?LinkId=140259 (sidan kan vara på engelska)).

Information om hur du ändrar hur behörigheter tillämpas med hjälp av en kommandotolk, om återställning av ärvda NTFS-behörigheter från det lokala filsystemet och bevarande av behörigheter som angavs med hjälp av DFS-hantering finns på Microsofts webbplats (https://go.microsoft.com/fwlink/?LinkId=140259 (sidan kan vara på engelska)).

Ytterligare referenser

Innehåll