Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Standardmäßig werden die Berechtigungen für einen DFS-Ordner vom lokalen Dateisystem des Namespaceservers geerbt. Die Berechtigungen werden aus dem Stammverzeichnis des Systemlaufwerks geerbt und erteilen der Gruppe „DOMÄNE\Benutzer“ Leseberechtigungen. Daher bleiben auch nach der Aktivierung der zugriffsbasierten Aufzählung alle Ordner im Namespace für alle Domänenbenutzer sichtbar.
Vor- und Nachteile der geerbten Berechtigungen
Es gibt zwei Hauptvorteile für die Kontrolle geerbter Berechtigungen, um zu bestimmen, welche Benutzer Ordner in einem DFS-Namespace sehen können oder nicht:
- Sie können mehreren Ordnern schnell geerbte Berechtigungen zuweisen, ohne Skripts zu verwenden.
- Sie können geerbte Berechtigungen auf Namespacestämme und Ordner ohne Ziele anwenden.
Trotz der Vorteile gelten für geerbte Berechtigungen in DFS-Namespaces viele Einschränkungen, sodass sie für die meisten Umgebungen nicht geeignet sind:
- Änderungen für geerbte Berechtigungen werden nicht in anderen Namespaceservern repliziert. Verwenden Sie daher geerbte Berechtigungen nur für eigenständige Namespaces oder in Umgebungen, in denen Sie ein Drittanbieter-Replikationssystem implementieren können, um die Zugriffssteuerungslisten (ACLs) auf allen Namespaceservern zu synchronisieren.
- DFS-Verwaltung und Dfsutil können geerbte Berechtigungen nicht anzeigen oder ändern. Daher müssen Sie zusätzlich zur DFS-Verwaltung oder dfsutil den Windows-Explorer oder den Befehl "Icacls" verwenden, um den Namespace zu verwalten.
- Wenn Sie geerbte Berechtigungen verwenden, können Sie die Berechtigungen eines Ordners mit Zielen außer mithilfe des Befehls "Dfsutil " nicht ändern. Mit DFS-Namespaces werden Berechtigungen automatisch aus Ordnern mit Zielen entfernt, die über andere Tools und Methoden festgelegt wurden.
- Wenn Sie Berechtigungen für einen Ordner mit Zielen während der Verwendung von geerbten Berechtigungen festlegen, kombiniert die ACL, die Sie für den Ordner mit Zielen festlegen, die geerbten Berechtigungen vom übergeordneten Element des Ordners im Dateisystem. Sie müssen beide Berechtigungssätze analysieren, um zu ermitteln, welche Berechtigungen gelten.
Note
Wenn Sie geerbte Berechtigungen verwenden, ist es am einfachsten, Berechtigungen für Namespacestämme und Ordner ohne Ziele festzulegen. Verwenden Sie dann geerbte Berechtigungen für Ordner mit Zielen, damit sie alle Berechtigungen von ihren übergeordneten Elementen erben.
Verwenden von geerbten Berechtigungen
Wenn Sie einschränken möchten, welche Benutzer einen DFS-Ordner anzeigen können, führen Sie eine der folgenden Aufgaben aus:
- Legen Sie explizite Berechtigungen für den Ordner fest, und deaktivieren Sie die Vererbung. Informationen zum Festlegen expliziter Berechtigungen für einen Ordner mit Zielen (einem Link) mithilfe der DFS-Verwaltung oder des Dfsutil-Befehls finden Sie unter Aktivieren Access-Based Enumeration für einen Namespace.
- Ändern Sie die geerbten Berechtigungen für das übergeordnete Element im lokalen Dateisystem. Wenn Sie die geerbten Berechtigungen eines Ordners mit Zielen ändern möchten und bereits explizite Berechtigungen für den Ordner festgelegt haben, wechseln Sie wie im folgenden Verfahren von den expliziten Berechtigungen zu den geerbten Berechtigungen. Verwenden Sie dann den Windows-Explorer oder den Befehl "Icacls ", um die Berechtigungen des Ordners zu ändern, von dem der Ordner mit Zielen seine Berechtigungen erbt.
Note
Mit der zugriffsbasierten Aufzählung wird nicht verhindert, dass Benutzer einen Verweis auf ein Ordnerziel abrufen, obwohl sie den DFS-Pfad des Ordners mit Zielen bereits kennen. Berechtigungen, die mithilfe des Windows-Explorers oder des Befehls "Icacls " für Namespacestamme oder -Ordner festgelegt werden, ohne dass Ziele gesteuert werden, ob Benutzer auf den DFS-Ordner oder namespacestamm zugreifen können. Allerdings wird damit nicht verhindert, dass Benutzer einen direkten Zugriff auf einen Ordner mit Zielen haben. Nur mit den Freigabeberechtigungen oder den NTFS-Dateisystemberechtigungen für den freigegebenen Ordner selbst kann verhindert werden, dass Benutzer Zugriff auf Ordnerziele erhalten.
So wechseln Sie von expliziten Berechtigungen zu geerbten Berechtigungen
Suchen Sie in der Konsolenstruktur unter dem Namespaces-Knoten den Ordner mit Zielen, deren Sichtbarkeit Sie steuern möchten, klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte "Erweitert ".
Klicken Sie auf Geerbte Berechtigungen aus dem lokalen Dateisystem verwenden, und klicken Sie im Dialogfeld Verwenden von geerbten Berechtigungen bestätigen auf OK. Auf diese Weise werden alle explizit festgelegten Berechtigungen für diesen Ordner entfernt und die geerbten NTFS-Berechtigungen aus dem lokalen Dateisystem des Namespaceservers wiederhergestellt.
Verwenden Sie Windows Explorer oder den Befehl "ICacls ", um die geerbten Berechtigungen für Ordner oder Namespacewurzeln in einem DFS-Namespace zu ändern.