基于访问的枚举会隐藏用户没有权限访问的文件和文件夹。默认情况下,不对 DFS 命名空间启用此功能。您可以通过使用“DFS 管理”启用 DFS 文件夹基于访问的枚举。若要在文件夹目标中控制文件和文件夹基于访问的枚举,就必须通过使用“共享和存储管理”对每个共享文件夹启用基于访问的枚举。
若要在命名空间上启用基于访问的枚举,所有命名空间服务器必须都运行的是 Windows Server 2008 或更新的版本。另外,基于域的命名空间必须使用 Windows Server 2008 模式。有关 Windows Server 2008 模式的需求信息,请参阅选择命名空间类型。
在某些环境下,启用基于访问的枚举会导致服务器上的 CPU 使用率高且用户响应时间慢。有关详细信息,请参阅 Microsoft 网站 (
 | 注意 |
|
如果在存在现有基于域的命名空间的情况下将域功能级别升级到 Windows Server 2008,则使用 DFS 管理,您可以在这些命名空间上启用基于访问的枚举。但是,除非将命名空间迁移至 Windows Server 2008 模式,否则您不能编辑权限以对任意组或用户隐藏文件夹。有关详细信息,请参阅将基于域的命名空间迁移到 Windows Server 2008 模式。 |
若要将基于访问的枚举用于 DFS 命名空间以便控制哪些组或用户可以查看哪些 DFS 文件夹,必须按照以下步骤执行操作。
- 在命名空间上启用基于访问的枚举
- 控制哪些用户和组可以查看各个 DFS 文件夹
 | 小心 |
|
如果用户已知道 DFS 路径,则基于访问的枚举不会阻止用户获取对文件夹目标的参照。仅有文件夹目标(共享文件夹)自身的共享权限或 NTFS 文件系统权限可以阻止用户访问文件夹目标。DFS 文件夹权限仅用于显示或隐藏 DFS 文件夹,而并不用于控制访问,这使得读取权限成为 DFS 文件夹级别唯一的相关权限。有关详细信息,请参阅将继承的权限用于基于访问的枚举。 |
在命名空间上启用基于访问的枚举
 | 使用 Windows 界面启用基于访问的枚举的步骤 |
在控制台树中的“命名空间”节点下,右键单击相应的命名空间,然后单击“属性”。
单击“高级”选项卡,然后选中“对此命名空间启用基于访问权限的枚举”复选框。
| 使用命令行启用基于访问的枚举的步骤 |
在已安装“分布式文件系统”角色服务或“分布式文件系统工具”功能的服务器上,打开命令提示符窗口。
键入以下命令,其中 <namespace_root> 是命名空间的根目录:
dfsutil property abe enable \\<namespace_root>
控制哪些用户和组可以查看各个 DFS 文件夹
| 使用 Windows 界面控制文件夹可见性的步骤 |
在控制台树中的“命名空间”节点下,找到要控制其可见性的包含目标的文件夹,右键单击该文件夹,然后单击“属性”。
单击“高级”选项卡。
单击“在 DFS 文件夹上设置显式查看权限”,然后单击“配置查看权限”。
通过单击“添加”或“删除”添加或删除组或用户。
若要允许用户查看 DFS 文件夹,请选择组或用户,然后选中“允许”复选框。
若要对组或用户隐藏文件夹,请选择组或用户,然后选中“拒绝”复选框。
| 使用命令行控制文件夹可见性的步骤 |
在已安装“分布式文件系统”角色服务或“分布式文件系统工具”功能的服务器上,打开命令提示符窗口。
键入以下命令,其中 <DFSPath> 是 DFS 文件夹(链接)的路径,<DOMAIN\Account> 是组或用户帐户的名称,而 (…) 需要替换为其他访问控制项 (ACE):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace
例如,若要将现有权限替换为允许域管理员和 CONTOSO\Trainers 组对
\\contoso.office\public\training文件夹具有读取 (R) 访问权限,请键入以下命令:dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace
若要通过命令提示符执行其他任务,请使用以下命令:
命令 描述 Dfsutil property sd deny拒绝组或用户查看文件夹的能力。
Dfsutil property sd reset从文件夹删除所有权限。
Dfsutil property sd revoke从文件夹删除组或用户 ACE。