根據預設值,用於 DFS 資料夾的權限是從命名空間伺服器的本機檔案系統所繼承。權限是從系統磁碟機的根目錄所繼承,並將讀取權限授與 DOMAIN\Users 群組。因此,即使在啟用存取型列舉之後,所有網域使用者仍然可以看到命名空間中的所有資料夾。
繼承權限的優點與限制
使用繼承權限來控制哪些使用者可以檢視 DFS 命名空間中的資料夾,有兩個主要的好處:
- 您不需要使用指令碼,就可以將繼承權限迅速套用到許多資料夾。
- 您可以將繼承權限套用到命名空間根目錄與不含目標的資料夾。
雖然 DFS 命名空間中的繼承權限有許多好處,但是也有許多限制,使其不適合大多數環境:
- 對於繼承權限的修改不會複寫到其他命名空間伺服器。因此,請只將繼承權限用於獨立命名空間,或用於能夠實作其他廠商複寫系統,以使所有命名空間伺服器之存取控制清單 (ACL) 保持同步的環境中。
- [DFS 管理] 與
Dfsutil無法檢視或修改繼承權限。因此,除了 [DFS 管理] 或Dfsutil之外,您還必須使用 [Windows 檔案總管] 或Icacls命令來管理命名空間。 - 使用繼承權限時,除非使用
Dfsutil命令,否則無法修改含有目標的資料夾權限。DFS 命名空間會從含有目標的資料夾中,自動移除使用其他工具或方法所設定的權限。 - 如果使用繼承權限時,設定了含有目標之資料夾的權限,則您在含有目標的資料夾上設定的 ACL 會與來自檔案系統之資料夾父系的繼承權限結合。您必須檢查這兩組權限,才能判定網路權限。
 | 秘訣 |
|
使用繼承權限時,最簡單的方法就是為命名空間根目錄與不含目標的資料夾設定權限。接著將繼承權限用於含有目標的資料夾,使其繼承父系的所有權限。 |
使用繼承權限
若要限制能夠檢視 DFS 資料夾的使用者,則必須執行下列其中一項工作:
- 為資料夾設定明確權限以停用繼承。若要使用 [DFS 管理] 或
Dfsutil命令為含有目標 (連結) 的資料夾設定明確權限,請參閱在命名空間上啟用存取型列舉。 - 為本機檔案系統中的父系修改繼承權限。如果您已經為資料夾設定明確權限,且想要修改含有目標之資料夾所繼承的權限,則可從明確權限切換成繼承權限,如下列程序所述。接著使用 [Windows 檔案總管] 或
Icacls命令,來修改含有目標資料夾所繼承權限的資料夾權限,如 Microsoft 網站所述 (https://go.microsoft.com/fwlink/?LinkId=140259 (可能為英文網頁) )。
 | 附註 |
|
存取型列舉無法防止已經知道含有目標之資料夾的 DFS 路徑的使用者取得資料夾目標轉介。使用 [Windows 檔案總管] 或 |
 | 從明確權限切換成繼承權限 |
在主控台樹狀目錄的 [命名空間] 節點之下,找出您要控制其目標能見度的資料夾,在該資料夾上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [進階] 索引標籤。
按一下 [使用從本機檔案系統繼承的權限],然後按一下 [確認使用繼承的權限] 對話方塊中的 [確定]。
這樣做會移除此資料夾上所有明確設定的權限,並從命名空間伺服器的本機檔案系統還原繼承的 NTFS 權限。
若要變更 DFS 命名空間之資料夾或命名空間根目錄的繼承權限,請使用 [Windows 檔案總管] 或
ICacls命令,如 Microsoft 網站所述 (https://go.microsoft.com/fwlink/?LinkId=140259 (可能為英文網頁) )。
若要變更使用命令提示字元套用權限的方式,或是從本機檔案系統還原繼承的 NTFS 權限並保留使用 [DFS 管理] 所設定的權限,請參閱 Microsoft 網站 (