Povolení výčtu podle přístupu v jmenném prostoru

Výčet založený na accessu skryje soubory a složky, ke kterým nemají uživatelé oprávnění k přístupu. Ve výchozím nastavení není tato funkce povolená pro obory názvů DFS. Výčet složek DFS na základě přístupu můžete povolit pomocí správy DFS. Pokud chcete řídit výčet souborů a složek v cílech složek na základě přístupu, musíte povolit výčet na základě přístupu pro každou sdílenou složku pomocí správy sdílených složek a úložiště.

Chcete-li povolit výčet na základě oprávnění v oboru názvů, musí na všech serverech oboru názvů běžet operační systém Windows Server 2008 nebo novější. Obory názvů založené na doméně navíc musí používat režim Windows Server 2008. Informace o požadavcích režimu Windows Server 2008 naleznete v tématu Výběr typu prostoru jmen.

V některých prostředích může povolení přístupu na základě enumerace způsobit vysoké zatížení CPU na serveru a pomalé reakční časy pro uživatele.

Note

Pokud upgradujete úroveň funkčnosti domény na Systém Windows Server 2008, zatímco existují obory názvů založené na doméně, správa systému souborů DFS vám umožní povolit výčet na základě přístupu pro tyto obory názvů. Pokud ale nemigrujete obory názvů do režimu Windows Server 2008, nebudete moct upravovat oprávnění ke skrytí složek před žádnými skupinami nebo uživateli. Další informace naleznete v části Migrace oboru názvů založeného na doméně do režimu Windows Server 2008.

Chcete-li použít enumeraci na základě přístupu s názvovými prostory DFS, musíte postupovat následovně:

• Povolení výčtu podle přístupu v jmenném prostoru
• Určení, kteří uživatelé a skupiny můžou zobrazit jednotlivé složky DFS

Warning

Výčet založený na přístupu nezabrání uživatelům v získání odkazu na cíl složky, pokud už znají cestu DFS. Pouze oprávnění ke sdílené složce nebo oprávnění systému souborů NTFS cílové složky (sdílené složky) můžou uživatelům zabránit v přístupu k cíli složky. Oprávnění ke složce DFS se používají jenom pro zobrazení nebo skrytí složek DFS, ne pro řízení přístupu, takže přístup ke čtení je jediným relevantním oprávněním na úrovni složky DFS. Další informace naleznete v tématu Použití zděděných oprávnění s Access-Based výčtu

Výčty založené na přístupu můžete povolit v oboru názvů buď pomocí rozhraní systému Windows, nebo pomocí příkazového řádku.

Povolení výčtu na základě přístupových oprávnění pomocí rozhraní systému Windows

1. Ve stromu konzoly v uzlu Obory názvů klepněte pravým tlačítkem myši na příslušný obor názvů a potom klepněte na příkaz Vlastnosti .

2. Klikněte na kartu Upřesnit a zaškrtněte políčko Povolit výčet na základě přístupu pro tento obor názvů .

Povolení výčtu na základě přístupu pomocí příkazového řádku

1. Otevřete okno příkazového řádku na serveru, na který je nainstalovaná služba role distribuovaného systému souborů nebo funkce Nástroje distribuovaného systému souborů .

2. Zadejte následující příkaz, kde <namespace_root> je kořenem oboru názvů:

   dfsutil property abe enable \\ <namespace_root>
   

Tip

Pokud chcete spravovat výčet založený na přístupu pro obor názvů pomocí Prostředí Windows PowerShell, použijte rutiny Set-DfsnRoot, Grant-DfsnAccess a Revoke-DfsnAccess . Modul DfsN pro Windows PowerShell byl zaveden ve Windows Serveru 2012.

Pomocí rozhraní systému Windows nebo pomocí příkazového řádku můžete určit, kteří uživatelé a skupiny můžou zobrazit jednotlivé složky DFS.

Řízení viditelnosti složek pomocí rozhraní systému Windows

1. Ve stromu konzoly v uzlu Obory názvů vyhledejte složku s cíli, pro které chcete řídit viditelnost, klikněte na ni pravým tlačítkem myši a potom klikněte na příkaz Vlastnosti.

2. Klikněte na kartu Upřesnit .

3. Klepněte na tlačítko Nastavit explicitní oprávnění zobrazení ve složce DFS a potom Konfigurovat oprávnění zobrazení.

4. Kliknutím na Přidat nebo Odebrat můžete přidat nebo odebrat skupiny nebo uživatele.

5. Pokud chcete uživatelům povolit zobrazení složky DFS, vyberte skupinu nebo uživatele a zaškrtněte políčko Povolit .

   Pokud chcete složku skrýt před skupinou nebo uživatelem, vyberte skupinu nebo uživatele a zaškrtněte políčko Odepřít .

Řízení viditelnosti složek pomocí příkazového řádku

1. Otevřete okno příkazového řádku na serveru, na který je nainstalovaná služba role distribuovaného systému souborů nebo funkce Nástroje distribuovaného systému souborů .

2. Zadejte následující příkaz, kde <DFSPath> je cesta ke složce DFS (odkaz), <DOMAIN\Account> je název skupiny nebo uživatelského účtu a (...) se nahradí dalšími položkami řízení přístupu (ACL):

   dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace
   

   Pokud chcete například nahradit stávající oprávnění oprávněními, která umožňují správcům domény a skupinám CONTOSO\Trainers číst (R) ke složce \contoso.office\public\training, zadejte následující příkaz:

   dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace
   

3. Pokud chcete provádět další úlohy z příkazového řádku, použijte následující příkazy:

Command	Description
Dfsutil – vlastnost sd deny	Odepře skupině nebo uživateli možnost zobrazit složku.
Resetování vlastnosti Dfsutil	Odebere všechna oprávnění ze složky.
Odvolání vlastnosti Dfsutil	Odebere skupinu nebo uživatele ACE ze složky.

Další odkazy

• Vytvořit oblast názvů DFS
• Delegování oprávnění správy pro obory názvů DFS
• Instalace systému souborů DFS
• Použití zděděných oprávnění s enumerací Access-Based