根據預設,DFS 資料夾所使用的權限會繼承自命名空間伺服器的本機檔案系統。 這些權限繼承自系統磁碟機的根目錄,並授與 DOMAIN\Users 群組讀取權限。 因此,即使在啟用存取型列舉之後,所有網域使用者仍可看見命名空間中的所有資料夾。
繼承權限的優點和限制
使用繼承權限來控制哪些使用者可以檢視 DFS 命名空間中的資料夾時,您可獲得兩個主要好處:
- 您無須使用指令碼,就可以快速將繼承權限套用至許多資料夾。
- 您可以將繼承權限套用至命名空間根目錄和不具目標的資料夾。
儘管有這些好處,DFS 命名空間中的繼承權限仍有許多限制,因而不適合大部分環境:
- 繼承權限的修改內容不會複寫到其他命名空間伺服器。 因此,請只在獨立命名空間或您可以實作第三方複寫系統的環境中使用繼承的權限,讓所有命名空間伺服器上的存取控制清單 (ACL) 保持同步。
- DFS 管理和 Dfsutil 無法檢視或修改繼承的許可權。 因此,除了 DFS Management 或 Dfsutil 之外,您還必須使用 Windows 檔案總管或 Icacls 命令來管理命名空間。
- 使用繼承的許可權時,除非使用 Dfsutil 命令,否則您無法修改具有目標的資料夾許可權。 DFS 命名空間會自動對具有目標的資料夾移除使用其他工具或方法設定的權限。
- 如果您在使用繼承的權限時對具有目標的資料夾設定權限,則您對具有目標的資料夾設定的 ACL 將會與檔案系統中的父資料夾繼承權限結合。 您必須檢查這兩組權限,以判斷網路權限為何。
Note
使用繼承的權限時,最簡單的方式是對命名空間根目錄和不具目標的資料夾設定權限。 然後對具有目標的資料夾使用繼承的權限,讓它們繼承父資料夾的所有權限。
使用繼承的權限
若要限制哪些使用者可以檢視 DFS 資料夾,您必須執行下列其中一項工作:
- 設定資料夾的明確權限以停用繼承。 若要使用 DFS 管理或 Dfsutil 命令,在具有目標 (連結) 的資料夾上設定明確許可權,請參閱 在命名空間上啟用 Access-Based 列舉。
- 修改本機檔案系統中父項目上的繼承的權限。 要修改具有目標之資料夾所繼承的權限時,若您已對該資料夾設定明確權限,請切換至從明確權限繼承的權限,如下列程序所述。 然後使用 Windows 檔案總管或 Icacls 命令來修改目標資料夾繼承其權限來源資料夾的權限。
Note
如果使用者已經知道具有目標的 DFS 資料夾路徑,存取型列舉並不會防止使用者取得資料夾目標的轉介。 使用 Windows 檔案總管或 Icacls 命令在命名空間根目錄或沒有目標的資料夾上設定的權限,可控制使用者是否可以存取 DFS 資料夾或命名空間根目錄。 不過,這些權限不會防止使用者直接存取具有目標的資料夾。 只有共用資料夾本身的共用權限或 NTFS 檔案系統權限,才能防止使用者存取資料夾目標。
從明確權限切換至繼承權限
在主控台樹狀結構的「名稱空間」節點下,找出具有您要控制其可見度之目標的資料夾,以滑鼠右鍵按一下資料夾,然後按一下「內容」。
按一下 進階 標籤。
按兩下 [從本機檔案系統使用繼承的許可權],然後按兩下 [確認繼承許可權的使用] 對話框中的 [確定]。 這樣做會移除對此資料夾明確設定的所有權限,並從命名空間伺服器的本機檔案系統還原繼承的 NTFS 權限。
若要變更 DFS 命名空間中資料夾或命名空間根目錄的繼承許可權,請使用 Windows 檔案總管或 ICacls 命令。