Habilitar la enumeración basada en el acceso en un espacio de nombres
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
La enumeración basada en el acceso oculta los archivos y carpetas a los que los usuarios no tienen permisos de acceso. De forma predeterminada, esta característica no está habilitada para los espacios de nombres DFS. Puede habilitar la enumeración basada en el acceso de carpetas DFS mediante Administración de DFS. Para controlar la enumeración basada en el acceso de archivos y carpetas de las carpetas de destino, debe habilitarla en cada carpeta compartida mediante Administración de almacenamiento y recursos compartidos.
Para habilitar la enumeración basada en el acceso en un espacio de nombres, todos los servidores de espacios de nombres deben ejecutar Windows Server 2008 o versiones posteriores. Además, los espacios de nombres basados en dominio deben usar el modo Windows Server 2008. Para más información sobre los requisitos del modo Windows Server 2008, consulte Elección de un tipo de espacio de nombres.
En algunos entornos, habilitar la enumeración basada en el acceso puede provocar un uso elevado de la CPU en el servidor y tiempos de respuesta lentos para los usuarios.
Nota
Si actualiza el nivel funcional de dominio a Windows Server 2008 mientras hay espacios de nombres basados en dominio, Administración de DFS le permitirá habilitar la enumeración basada en el acceso en estos espacios de nombres. Sin embargo, no podrá editar permisos para ocultar carpetas de grupos o usuarios a menos que migre los espacios de nombres al modo Windows Server 2008. Para más información, consulte Migración de un espacio de nombres basado en dominio al modo Windows Server 2008.
Para usar la enumeración basada en el acceso con espacios de nombres DFS, debe seguir estos pasos:
- Habilitar la enumeración basada en el acceso en un espacio de nombres
- Controlar qué usuarios y grupos pueden ver carpetas DFS individuales
Advertencia
La enumeración basada en el acceso no impide que los usuarios obtengan una referencia a una carpeta de destino si ya conocen la ruta de acceso DFS. Solo los permisos de recurso compartido o los permisos del sistema de archivos NTFS de la carpeta de destino (carpeta compartida) pueden impedir que los usuarios accedan a dicha carpeta. Los permisos de la carpeta DFS solo se usan para mostrar u ocultar carpetas DFS, no para controlar el acceso, lo que hace que el acceso de lectura sea el único permiso pertinente en el nivel de carpeta DFS. Para más información, consulte Uso de permisos heredados con la enumeración basada en el acceso.
Puede habilitar la enumeración basada en el acceso en un espacio de nombres mediante la interfaz de Windows o mediante una línea de comandos.
Para habilitar la enumeración basada en el acceso mediante la interfaz de Windows
En el árbol de consola, en el nodo Espacios de nombres, haga clic con el botón derecho en el espacio de nombres adecuado y, a continuación, haga clic en Propiedades.
Haga clic en la pestaña Avanzadas y, a continuación, active la casilla Habilitar enumeración basada en el acceso para este espacio de nombres.
Para habilitar la enumeración basada en el acceso mediante una línea de comandos
Abra una ventana del símbolo del sistema en un servidor que tenga instalado el servicio de rol Sistema de archivos distribuido o la característica Herramientas del sistema de archivos distribuido.
Escriba el siguiente comando, donde <namespace_root> es la raíz del espacio de nombres:
dfsutil property abe enable \\ <namespace_root>
Sugerencia
Para administrar la enumeración basada en el acceso en un espacio de nombres mediante Windows PowerShell, use los cmdlets Set-DfsnRoot, Grant-DfsnAccess y Revoke-DfsnAccess. El módulo Windows PowerShell DFSN se presentó por primera vez en Windows Server 2012.
Puede controlar qué usuarios y grupos pueden ver carpetas DFS individuales mediante la interfaz de Windows o mediante una línea de comandos.
Para controlar la visibilidad de una carpeta mediante la interfaz de Windows
En el árbol de consola, en el nodo Espacios de nombres, busque la carpeta con los destinos de los que desea controlar la visibilidad, haga clic con el botón derecho en ella y, a continuación, haga clic en Propiedades.
Haga clic en la pestaña Opciones avanzadas.
Haga clic en Establecer permisos de visualización explícitos en la carpeta DFS y, a continuación, en Configurar permisos de visualización.
Para agregar o eliminar grupos o usuarios, haga clic en Agregar o Eliminar.
Para permitir que los usuarios vean la carpeta DFS, seleccione el grupo o el usuario y, a continuación, active la casilla Permitir.
Para ocultar la carpeta de un grupo o usuario, seleccione el grupo o el usuario y, a continuación, active la casilla Denegar.
Para controlar la visibilidad de una carpeta mediante una línea de comandos
Abra una ventana del símbolo del sistema en un servidor que tenga instalado el servicio de rol Sistema de archivos distribuido o la característica Herramientas del sistema de archivos distribuido.
Escriba el siguiente comando, donde <DFSPath> es la ruta de acceso de la carpeta DFS (vínculo), <DOMAIN\Account> es el nombre del grupo o la cuenta de usuario, y (...) se reemplaza por entradas de control de acceso adicionales (ACE):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect ReplacePor ejemplo, para reemplazar los permisos existentes por permisos que permitan a los administradores de dominio y los grupos de CONTOSO\Trainers acceso de lectura a la carpeta \contoso.office\public\training, escriba el siguiente comando:
dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect ReplacePara realizar tareas adicionales desde el símbolo del sistema, use los siguientes comandos:
| Comando | Descripción |
|---|---|
| Dfsutil property sd deny | Deniega a un grupo o usuario la capacidad de ver la carpeta. |
| Dfsutil property sd reset | Quita todos los permisos de la carpeta. |
| Dfsutil property sd revoke | Elimina un grupo o entrada de control de acceso de usuario de la carpeta. |