Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. Разрешения наследуются от корневого каталога системного диска и предоставляют разрешения на чтение группы DOMAIN\Users. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми для всех пользователей домена.
Преимущества и ограничения унаследованных разрешений
Существует два основных преимущества использования унаследованных разрешений для управления тем, какие пользователи могут просматривать папки в пространстве имен DFS:
- Вы можете быстро применить унаследованные разрешения ко многим папкам, не используя скрипты.
- Вы можете применять унаследованные разрешения для корней и папок пространства имен без целевых объектов.
Несмотря на преимущества, унаследованные разрешения в пространствах имен DFS имеют множество ограничений, которые делают их недопустимыми для большинства сред:
- Изменения унаследованных разрешений не реплицируются на другие серверы пространства имен. Поэтому используйте унаследованные разрешения только в автономных пространствах имен или в средах, где можно реализовать стороннюю систему репликации, чтобы сохранить контроль доступа списки (ACL) на всех серверах пространства имен синхронизированы.
- Управление DFS и Dfsutil не могут просматривать или изменять унаследованные разрешения. Поэтому для управления пространством имен необходимо использовать обозреватель Windows или команду Icacls в дополнение к управлению DFS Management или Dfsutil .
- При использовании унаследованных разрешений нельзя изменять разрешения папки с целевыми объектами, за исключением команды Dfsutil . Пространства имен DFS автоматически удаляют разрешения из папок с целевыми объектами, установленными с помощью других средств или методов.
- Если вы устанавливаете разрешения для папки с целевыми объектами при использовании унаследованных разрешений, ACL, заданный в папке с целевыми объектами, объединяется с унаследованными разрешениями родительской папки в файловой системе. Необходимо проверить оба набора разрешений, чтобы определить, что такое чистые разрешения.
Примечание.
При использовании унаследованных разрешений проще задать разрешения для корней и папок пространства имен без целевых объектов. Затем используйте унаследованные разрешения для папок с целевыми объектами, чтобы они наследуют все разрешения от своих родителей.
Использование унаследованных разрешений
Чтобы ограничить, какие пользователи могут просматривать папку DFS, необходимо выполнить одну из следующих задач:
- Задайте явные разрешения для папки, отключив наследование. Чтобы задать явные разрешения для папки с целевыми объектами (ссылка) с помощью управления DFS или команды Dfsutil , см. раздел "Включить перечисление на основе доступа" в пространстве имен.
- Измените унаследованные разрешения для родительского элемента в локальной файловой системе. Чтобы изменить разрешения, унаследованные папкой с целевыми объектами, если вы уже установили явные разрешения в папке, переключитесь на унаследованные разрешения от явных разрешений, как описано в следующей процедуре. Затем используйте проводник Windows или команду Icacls , чтобы изменить разрешения папки, из которой папка с целевыми объектами наследует свои разрешения.
Примечание.
Перечисление на основе доступа не препятствует пользователям получать ссылку на целевой объект папки, если они уже знают путь DFS к папке с целевыми объектами. Разрешения, заданные с помощью проводника Windows или команды Icacls в корнях пространства имен или папках без целевых объектов, определяют, могут ли пользователи получить доступ к папке или корневому пространству имен DFS. Однако они не препятствуют непосредственному доступу пользователей к папке с целевыми объектами. Только разрешения общей папки или разрешения файловой системы NTFS для самой общей папки могут запретить пользователям получать доступ к целевым объектам папок.
Переключение с явных разрешений на унаследованные разрешения
В дереве консоли в узле "Пространства имен" найдите папку с целевыми объектами, видимость которых требуется контролировать, щелкните правой кнопкой мыши папку и выберите пункт "Свойства".
Перейдите на вкладку Дополнительно.
Нажмите кнопку "Использовать унаследованные разрешения" из локальной файловой системы и нажмите кнопку "ОК " в диалоговом окне "Подтверждение использования унаследованных разрешений ". При этом удаляются все явно заданные разрешения для этой папки, восстановление унаследованных разрешений NTFS из локальной файловой системы сервера пространства имен.
Чтобы изменить унаследованные разрешения для папок или корней пространств имен в пространстве имен DFS, используйте проводник Windows или команду ICacls .