Перечисление на основе доступа скрывает файлы и папки, для которых у пользователей нет прав доступа. По умолчанию эта возможность не включена в пространствах имен DFS. Можно включить перечисление на основе доступа для папок DFS при помощи оснастки «Управление DFS». Чтобы управлять перечислением на основе доступа для файлов и папок в конечных объектах папки, необходимо включить перечисление на основе доступа для каждой общей папки при помощи оснастки «Управление общими ресурсами и хранилищами».

Чтобы включить перечисление на основе доступа в пространстве имен, все серверы пространств имен должны работать под управлением ОС Windows Server 2008 или более поздней версии. Также перечисления на основе домена должны использовать режим Windows Server 2008. Дополнительные сведения о требованиях режима Windows Server 2008 см. в разделе Выбор типа пространства имен.

В некоторых средах включение перечисления на основе доступа может привести к повышению загрузки процессора сервера и замедлить время ответа пользователям. Дополнительные сведения см. на веб-сайте корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=140356 (может быть на английском языке)).

Примечание

Если обновить функциональный уровень домена до Windows Server 2008, при том что есть пространства имен на основе домена, управление DFS позволит включить перечисление на основе доступа для этих пространств имен. Но при этом будет невозможно изменять разрешения с целью скрыть папки от любых групп и пользователей, если не выполняется миграция пространств имен в режим Windows Server 2008. Дополнительные сведения см. в разделе Миграция доменного пространства имен в режим Windows Server 2008.

Для использования перечисления на основе доступа с пространствами имен DFS, чтобы управлять тем, какие группы и пользователи могут просматривать различные папки DFS, необходимо выполнить следующие действия.

Внимание!

Перечисление на основе доступа не запрещает пользователям получать ссылку на папку, если они уже знают путь DFS. Только разрешения для общего ресурса или разрешения файловой системы NTFS для конечной папки (общего ресурса) могут предотвратить доступ пользователей к конечной папке. Разрешения для папок DFS используются только для отображения или скрытия папок DFS, а не для управления доступом. Поэтому разрешение на чтение - единственное подходящее разрешение на уровне папок DFS. Дополнительные сведения см. в разделе Использование наследуемых разрешений с перечислением на основе доступа.

Включение перечисления на основе доступа в пространстве имен

Чтобы включить перечисление на основе доступа в пространстве имен с помощью интерфейса Windows
  1. В узле Пространства имен дерева консоли щелкните правой кнопкой мыши нужное пространство имен и в контекстном меню выберите команду Свойства.

  2. Щелкните вкладку Дополнительно и затем установите флажок Включить перечисление на основе доступа для этого пространства имен.

Чтобы включить перечисление на основе доступа в пространстве имен с помощью командной строки
  1. Откройте окно командной строки на сервере, на котором установлены служба роли Распределенная файловая система или компонент Средства распределенной файловой системы.

  2. Введите следующую команду, где <namespace_root> - корень пространства имен.

    dfsutil property abe enable \\<namespace_root>
    

Управление тем, какие пользователи и группы могут просматривать отдельные папки DFS

Чтобы установить видимость папки с помощью интерфейса Windows
  1. В дереве консоли в узле Пространства имен найдите папку, чью видимость следует установить, щелкните ее правой кнопкой и затем выберите команду Свойства.

  2. Перейдите на вкладку Дополнительно.

  3. Щелкните Задать явные разрешения на просмотр для папки DFS и затем выберите команду Настроить разрешения просмотра.

  4. Добавьте или удалите группы или пользователей, щелкнув Добавить или Удалить.

  5. Чтобы разрешить пользователям просмотр папки DFS, выберите группу или пользователя и установите флажок Разрешить.

    Чтобы скрыть папку, выберите группу или пользователя и установите флажок Запретить.

Управление видимостью папки с помощью командной строки
  1. Откройте окно командной строки на сервере, на котором установлены служба роли Распределенная файловая система или компонент Средства распределенной файловой системы.

  2. Введите следующую команду, где <DFSPath> - путь папки DFS (ссылка), <DOMAIN\Account> - имя группы или пользователя, а (…) заменяется дополнительными записями управления доступом (ACE).

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (…) Protect Replace
    

    Например, чтобы заменить существующие разрешения на разрешения, предоставляющие группам «Администраторы домена» и CONTOSO\Trainers права доступа для чтения (R) к папке \\contoso.office\public\training, введите следующую команду:

    dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace 
    
  3. Для выполнения дополнительных задач из командной строки используйте следующие команды.

    Команда Описание

    Dfsutil property sd deny

    Запрещает группе или пользователю просмотр папки.

    Dfsutil property sd reset

    Удаляет все разрешения из папки.

    Dfsutil property sd revoke

    Удаляет ACE группы или пользователя из папки.

Дополнительные источники информации