默认情况下,用于 DFS 文件夹的权限继承于命名空间服务器的本地文件系统。这些权限继承于系统驱动器的根目录,并授予 DOMAIN\Users 组“读取”权限。因此,即使启用基于访问的枚举后,所有域用户仍可以看见命名空间中的所有文件夹。
继承权限的益处和局限性
使用继承权限控制哪些用户可以查看 DFS 命名空间中的文件夹,主要有两大益处:
- 无须使用脚本即可快速将继承的权限应用到多个文件夹。
- 可以将继承的权限应用到命名空间根目录和没有目标的文件夹。
尽管拥有以上益处,但 DFS 命名空间中的继承权限仍存在很多局限性,在大多数情况下不适用。
- 对继承权限的修改不会复制到其他命名空间服务器。因此,请仅在独立命名空间上使用继承权限;或者,如果可以执行第三方复制系统以保持访问控制列表 (ACL) 在所有命名空间服务器上都处于同步状态,也可以使用继承权限。
- DFS 管理和
Dfsutil无法查看或修改继承的权限。因此,除 DFS 管理或Dfsutil之外,还必须使用 Windows Explorer 或Icacls命令才能管理命名空间。 - 使用继承的权限时,除非使用
Dfsutil命令,否则无法修改包含目标的文件夹的权限。使用其他工具或方法时,DFS 命名空间会自动从包含目标集的文件夹中删除权限。 - 如果使用继承的权限,则在包含目标的文件夹上设置权限时,在包含目标的文件夹上设置的 ACL 会合并从文件系统中该文件夹的父文件夹中继承的权限。您必须检查这两组权限,确定哪些是 net 权限。
 | 提示 |
|
使用继承的权限时,最简单的就是在命名空间根目录和没有目标的文件夹上设置权限。然后在包含目标的文件夹上使用继承的权限,这样可从其父文件夹中继承所有权限。 |
使用继承的权限
若要限制哪些用户可以查看 DFS 文件夹,必须执行以下任务之一:
- 设置文件夹的显式权限,从而禁用继承。若要使用 DFS 管理或
Dfsutil命令在包含目标(链接)的文件夹上设置显式权限,请参阅在命名空间上启用基于访问的枚举。 - 在本地文件系统中修改父文件夹上的继承权限。若要修改包含目标的文件夹所继承的权限,如果已在该文件夹上设置显式权限,则从显式权限切换到继承权限(如以下过程中所述)。然后使用 Windows Explorer 或
Icacls命令,修改包含目标的文件夹从中继承其权限的文件夹的权限,如 Microsoft 网站 (https://go.microsoft.com/fwlink/?LinkId=140259 )(可能为英文网页)中所述。
 | 注意 |
|
如果用户已知道包含目标的文件夹的 DFS 路径,则基于访问的枚举不会阻止用户获取对文件夹目标的引用。使用 Windows Explorer 或 |
 | 从显式权限切换到继承权限的步骤 |
在控制台树中的“命名空间”节点下,找到要控制其可视性的包含目标的文件夹,右键单击该文件夹,然后单击“属性”。
单击“高级”选项卡。
单击“使用从本地文件系统继承的权限”,然后在“确认使用继承权限”对话框中单击“确定”。
执行该操作会删除此文件夹上所有显式设置的权限,从而还原从命名空间服务器的本地文件系统所继承的 NTFS 权限。
若要更改 DFS 命名空间中文件夹或命名空间根目录的继承权限,请使用 Windows Explorer 或
ICacls命令,如 Microsoft 网站 (https://go.microsoft.com/fwlink/?LinkId=140259 )(可能为英文网页)中所述。
若要使用命令提示符更改应用权限的方式,或还原从本地文件系统继承的 NTFS 权限,以及保留使用 DFS 管理设置的权限,请参阅 Microsoft 网站 (