Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wyliczanie oparte na dostępie ukrywa pliki i foldery, do których użytkownicy nie mają uprawnień dostępu. Domyślnie ta funkcja nie jest włączona dla przestrzeni nazw systemu plików DFS. Można włączyć wyliczanie folderów systemu plików DFS oparte na dostępie przy użyciu zarządzania systemem plików DFS. Aby kontrolować wyliczanie plików i folderów w docelowych lokalizacjach na podstawie dostępu, należy włączyć wyliczanie oparte na dostępie w każdym folderze udostępnionym przy użyciu Zarządzania Udziałami i Magazynem.
Aby włączyć wyliczanie oparte na dostępie w przestrzeni nazw, wszystkie serwery przestrzeni nazw muszą mieć system Windows Server 2008 lub nowszy. Ponadto przestrzenie nazw oparte na domenie muszą używać trybu systemu Windows Server 2008. Aby uzyskać informacje o wymaganiach trybu systemu Windows Server 2008, zobacz Wybieranie typu przestrzeni nazw.
W niektórych środowiskach włączenie wyliczania opartego na dostępie może spowodować wysokie wykorzystanie procesora CPU na serwerze i długi czas odpowiedzi dla użytkowników.
Note
Jeśli uaktualnisz poziom funkcjonalny domeny do systemu Windows Server 2008, gdy istnieją przestrzenie nazw oparte na domenie, zarządzanie DFS umożliwi włączenie wyliczania opartego na dostępie w tych przestrzeniach nazw. Nie będzie jednak można edytować uprawnień do ukrywania folderów przed żadnymi grupami lub użytkownikami, chyba że migrujesz przestrzenie nazw do trybu systemu Windows Server 2008. Aby uzyskać więcej informacji, zobacz Migrowanie przestrzeni nazw opartej na domenie do trybu systemu Windows Server 2008.
Aby użyć wyliczania opartego na dostępie z przestrzeniami nazw systemu plików DFS, należy wykonać następujące kroki:
- Włącz wyliczanie oparte na dostępie w przestrzeni nazw
- Kontrolowanie, którzy użytkownicy i grupy mogą wyświetlać poszczególne foldery systemu plików DFS
Warning
Wyliczenie oparte na dostępie nie uniemożliwia użytkownikom uzyskiwania odwołania do miejsca docelowego folderu, jeśli znają już ścieżkę systemu plików DFS. Tylko uprawnienia udziału lub uprawnienia systemu plików NTFS samego folderu docelowego (udostępnionego folderu) mogą uniemożliwić użytkownikom dostęp do tego folderu docelowego. Uprawnienia folderu systemu plików DFS są używane tylko do wyświetlania lub ukrywania folderów systemu plików DFS, a nie do kontrolowania dostępu, dzięki czemu dostęp do odczytu jest jedynym odpowiednim uprawnieniem na poziomie folderu systemu plików DFS. Aby uzyskać więcej informacji, zobacz Using Inherited Permissions with Access-Based Enumeration (Używanie dziedzicznych uprawnień z wyliczeniem Access-Based)
Wyliczenie oparte na dostępie można włączyć w przestrzeni nazw przy użyciu interfejsu systemu Windows lub wiersza polecenia.
Aby włączyć wyliczanie oparte na dostępie przy użyciu interfejsu systemu Windows
W drzewie konsoli w węźle Przestrzenie nazw kliknij prawym przyciskiem myszy odpowiednią przestrzeń nazw, a następnie kliknij polecenie Właściwości .
Kliknij kartę Zaawansowane , a następnie zaznacz pole wyboru Włącz wyliczanie oparte na dostępie dla tej przestrzeni nazw .
Aby włączyć wyliczanie oparte na dostępie przy użyciu wiersza polecenia
Otwórz okno wiersza polecenia na serwerze z zainstalowaną funkcją roli Rozproszonego systemu plików lub Narzędzia rozproszonego systemu plików .
Wpisz następujące polecenie, gdzie <namespace_root> jest korzeniem przestrzeni nazw.
dfsutil property abe enable \\ <namespace_root>
Tip
Aby zarządzać wyliczaniem opartym na dostępie w przestrzeni nazw przy użyciu programu Windows PowerShell, użyj poleceń cmdlet Set-DfsnRoot, Grant-DfsnAccess i Revoke-DfsnAccess . Moduł DFSN środowiska Windows PowerShell został wprowadzony w systemie Windows Server 2012.
Możesz kontrolować, którzy użytkownicy i grupy mogą wyświetlać poszczególne foldery systemu plików DFS za pomocą interfejsu systemu Windows lub za pomocą wiersza polecenia.
Aby kontrolować widoczność folderu przy użyciu interfejsu systemu Windows
W drzewie konsoli w węźle Przestrzenie nazw znajdź folder z miejscami docelowymi, dla których chcesz kontrolować widoczność, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
Kliknij kartę Zaawansowane .
Kliknij pozycję Ustaw jawne uprawnienia widoku w folderze systemu plików DFS , a następnie pozycję Konfiguruj uprawnienia widoku.
Dodaj lub usuń grupy lub użytkowników, klikając pozycję Dodaj lub Usuń.
Aby zezwolić użytkownikom na wyświetlanie folderu systemu plików DFS, zaznacz grupę lub użytkownika, a następnie zaznacz pole wyboru Zezwalaj .
Aby ukryć folder od grupy lub użytkownika, zaznacz grupę lub użytkownika, a następnie zaznacz pole wyboru Odmów .
Aby kontrolować widoczność folderu przy użyciu wiersza polecenia
Otwórz okno wiersza polecenia na serwerze z zainstalowaną funkcją roli Rozproszonego systemu plików lub Narzędzia rozproszonego systemu plików .
Wpisz następujące polecenie, gdzie <DFSPath> jest ścieżką folderu systemu plików DFS (link), <DOMAIN\Account> jest nazwą grupy lub konta użytkownika, a (...) jest zastępowany dodatkowymi wpisami kontroli dostępu (ACL):
dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect ReplaceAby na przykład zastąpić istniejące uprawnienia uprawnieniami, które umożliwiają administratorom domeny i grupom CONTOSO\Trainers dostęp do odczytu (R) do folderu \contoso.office\public\training, wpisz następujące polecenie:
dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect ReplaceAby wykonać dodatkowe zadania z poziomu wiersza polecenia, użyj następujących poleceń:
| Command | Description |
|---|---|
| Odmów sd właściwości Dfsutil | Odmowa grupie lub użytkownikowi możliwości przeglądania folderu. |
| Resetowanie właściwości Dfsutil sd | Usuwa wszystkie uprawnienia z folderu. |
| Odwoływanie właściwości Dfsutil sd | Usuwa grupę lub użytkownika ACE z folderu. |