Delegieren der DFS-Replikation in Windows Server 2003 R2
In diesem Artikel wird beschrieben, wie Sie die Berechtigungen für die Konfigurationsobjekte für jede Replikationsgruppe direkt ändern.
Gilt für: Windows Server 2003 R2
Ursprüngliche KB-Nummer: 911604
Einführung
Die DFS-Replikation (Distributed File System) verwendet den Active Directory-Verzeichnisdienst zum Speichern von Konfigurationsobjekten. Wenn Sie Active Directory verwenden, können Sie Benutzerrechte genauer delegieren. Das DFS-Verwaltungsfeature bietet allgemeine Delegierungsunterstützung. Mit dieser Unterstützung können Sie Benutzern die Möglichkeit gewähren, eine Replikationsgruppe zu erstellen. Mit dieser Unterstützung können Sie Benutzern auch Administratorrechte für eine Replikationsgruppe gewähren, die bereits erstellt wurde.
Konfigurationsobjekte
Es ist hilfreich, sich einen Überblick über alle Objekte zu verschaffen, bevor Sie die einzelnen Objekte im Detail anzeigen. In diesem Abschnitt werden die Objekte beschrieben, die zum Konfigurieren der DFS-Replikation verwendet werden. Die Berechtigungen für diese Objekte bestimmen, welche Benutzer bestimmte Vorgänge für Replikationsgruppen ausführen können.
Globale Objekte
Globale Objekte konfigurieren die Replikatmenge als Ganzes. Beispielsweise konfigurieren globale Objekte die Anzahl der replizierten Ordner. Globale Objekte konfigurieren auch die Verbindungen zwischen den einzelnen Mitgliedern der Replikationsgruppe.
msDFSR-GlobalSettings
Dieses Objekt wird zu folgenden Zeiten erstellt:
- Wenn die erste Replikationsgruppe in einer Domäne erstellt wird
- Wenn einem Benutzer zum ersten Mal Rechte zum Erstellen von Replikationsgruppen in einer Domäne delegiert werden
Dieses Objekt wird im Systemcontainer erstellt. Standardmäßig kann nur der Domänenadministrator dieses Objekt erstellen.
Die einzige Sicherheitsänderung an diesem Objekt, die wir empfehlen, besteht darin, Benutzern das Recht zu gewähren, untergeordnete msDFSR-ReplicationGroup-Objekte in diesem Container zu erstellen. Um die DFS-Verwaltung für diese Aufgabe zu verwenden, führen Sie die Aktion Verwaltungsberechtigungen delegieren auf dem Replikationsknoten aus.
msDFSR-ReplicationGroup
Dieses Objekt enthält alle globalen Einstellungen, die für eine einzelne Replikationsgruppe spezifisch sind. Um die Berechtigungen für diesen Container in der DFS-Verwaltung zu ändern, führen Sie die Aktion Delegieren von Verwaltungsberechtigungen für eine Replikationsgruppe aus. Sie können einem Benutzer Administratorrechte für eine Replikationsgruppe gewähren. Sie können dem Benutzer auch die Steuerung des msDFSR-ReplicationGroup-Objekts und aller untergeordneten Objekte für eine Replikationsgruppe gewähren. Die folgenden Attribute werden in diesem Objekt gespeichert:
- Beschreibung
Die Beschreibung der Replikationsgruppe. - msDFSR-Topologie
Der Standardzeitplan.
msDFSR-Content
Dieses Objekt wird unter dem msDFSR-ReplicationGroup-Objekt erstellt, wenn die Replikationsgruppe erstellt wird. Das msDFSR-Content-Objekt enthält ein msDFSR-ContentSet-Objekt für jeden replizierten Ordner in der Replikationsgruppe.
Hinweis
In diesem Objekt werden keine wichtigen Attribute gespeichert.
msDFSR-ContentSet
Für jeden replizierten Ordner in der Replikationsgruppe wird ein msDFSR-ContentSet-Objekt erstellt. Die folgenden Attribute werden in diesem Objekt gespeichert:
- Beschreibung
Die Beschreibung des replizierten Ordners. - msDFSR-FileFilter
Der Dateifilter für Dateien ist von der Replikation ausgeschlossen. - msDFSR-DirectoryFilter
Der Verzeichnisfilter für Ordner ist von der Replikation ausgeschlossen. - msDFSR-DfsPath
Pfad des DFS-Ordners, wenn der replizierte Ordner in einem DFS-Namespace veröffentlicht wird.
msDFSR-Topologie
Dieses Objekt wird unter dem msDFSR-ReplicationGroup-Objekt erstellt, wenn die Replikationsgruppe erstellt wird. Das msDFSR-Topology-Objekt enthält ein msDFSR-Member-Objekt für jedes Mitglied der Replikationsgruppe.
Hinweis
In diesem Objekt werden keine wichtigen Attribute gespeichert.
msDFSR-Member
Für jedes Mitglied der Replikationsgruppe wird ein msDFSR-Member-Objekt erstellt. Dieses Objekt verweist auf das Computerobjekt für den Member. Dieses Objekt enthält ein msDFSR-Connection-Objekt für jede Verbindung, bei der dieser Member das empfangende Element der Verbindung ist. Die folgenden Attribute werden in diesem Objekt gespeichert:
- msDFSR-ComputerReference
Ein Verweis auf das Computerobjekt für den Member.
msDFSR-Connection
Eine msDFSR-Connection wird als untergeordnetes Element eines msDFSR-Member-Objekts für jede eingehende Replikationsverbindung mit diesem Member erstellt. Die folgenden Attribute werden in diesem Objekt gespeichert:
- msDFSR-Enabled
Der aktivierte Zustand der Verbindung. - msDFSR-Schedule
Der benutzerdefinierte Zeitplan der Verbindung. - msDFSR-Keywords
Schlüsselwörter für die Verbindung. - msDFSR-RdcEnabled
Der aktivierte Status der differenziellen rRemote-Komprimierung.
Serverlokale Objekte
Lokale Serverobjekte sind im Computerkonto für jeden Server vorhanden, der an einer Replikation teilnimmt. Diese Objekte konfigurieren einzelne Mitglieder der Replikationsgruppe.
msDFSR-LocalSettings
Dieses Objekt ist der Container der obersten Ebene für DFS-Replikationsobjekte in einem Computerkonto.
msDFSR-Subscriber
Für jede Replikationsgruppe, zu der ein Server gehört, wird ein msDFSR-Subscriber-Objekt erstellt. Dieses Objekt enthält ein msDFSR-Subscription-Objekt für jeden replizierten Ordner in der Replikationsgruppe, die vom msDFSR-Subscriber-Objekt angegeben wird. Die folgenden Attribute werden in diesem Objekt gespeichert:
- msDFSR-MemberReference
Ein Verweis auf das msDFSR-Member-Objekt.
msDFSR-Subscription
Das msDFSR-Subscription-Objekt enthält Einstellungen, die für jeden replizierten Ordner auf dem Server eindeutig sind. Die folgenden Attribute werden in diesem Objekt gespeichert:
- msDFSR-RootPath
Der lokale Pfad des replizierten Ordners. - msDFSR-StagingPath
Der Stagingpfad des replizierten Ordners. - msDFSR-StagingSizeInMb
Die Größe des Stagingordners. - msDFSR-ConflictSizeInMb
Die Größe des Konfliktordners. - msDFSR-Enabled
Der aktivierte Status des Abonnements. - msDFSR-Flags
Ein Flag, das steuert, ob gelöschte Dateien in den Konfliktordner verschoben werden.
Detaillierte Delegierung
Erteilen von Berechtigungen zum Erstellen einer Replikationsgruppe
Diese Aktion ist eine der beiden Delegierungsaktionen, die in der DFS-Verwaltung verfügbar sind. Führen Sie die folgenden Schritte aus, um diese Aktion in Active Directory-Benutzer und -Computer manuell auszuführen:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
- Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Alle untergeordneten Objekte erstellen , und wählen Sie dann Dieses Objekt nur im Bereich Anwenden auf aus .
Delegieren von Administratorrechten an eine Replikationsgruppe
Dies ist die andere Delegierungsaktion, die in der DFS-Verwaltung verfügbar ist. Führen Sie die folgenden Schritte aus, um diese Aktion in Active Directory-Benutzer und -Computer manuell auszuführen:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
- Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
- Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu.
Verwalten lokaler Systemeinstellungen, ohne ein lokaler Administrator zu sein
In der Regel muss der Benutzer ein Administrator sein, um lokale Computereinstellungen verwalten zu können. Um einem Benutzer, der kein Administrator ist, die Verwaltung lokaler Computereinstellungen zu ermöglichen, gewähren Sie dem Benutzer die direkte Kontrolle über die erforderlichen Objekte in Active Directory. Gehen Sie dazu wie folgt vor:
Starten Sie "Active Directory-Benutzer und -Computer".
Klicken Sie mit der rechten Maustaste auf den Computerknoten, und klicken Sie dann auf Eigenschaften.
Standardmäßig ist der Pfad des Computerknotens einer der folgenden:
- Mitgliedsserver
Domäne\Computer\Computername\DFSR-LocalSettings - Domänencontroller
Domäne\Domänencontroller\Computername\DFSR-LocalSettings
- Mitgliedsserver
Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff, und klicken Sie dann im Bereich Anwenden auf, um Dieses Objekt und alle untergeordneten Objekte auszuwählen.
Steuerung aller Replikationsgruppen
Führen Sie die folgenden Schritte aus, um einem Benutzer die Steuerung aller vorhandenen und zukünftigen Replikationsgruppen in einer Domäne zu gewähren:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
- Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff, und klicken Sie dann im Bereich Anwenden auf, um Dieses Objekt und alle untergeordneten Objekte auszuwählen.
- Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.
Hinzufügen/Entfernen/Ändern replizierter Ordner
Führen Sie die folgenden Schritte aus, um einem Benutzer nur Berechtigungen zum Ändern, Hinzufügen oder Löschen eines replizierten Ordners zu erteilen:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings\ReplicationGroup\Content, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
- Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
- Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.
Hinzufügen/Entfernen/Ändern von Mitgliedern und Verbindungen
Führen Sie die folgenden Schritte aus, um einem Benutzer nur Berechtigungen zum Ändern, Hinzufügen oder Löschen von Mitgliedern und Verbindungen zu gewähren:
- Starten Sie "Active Directory-Benutzer und -Computer".
- Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings\ReplicationGroup\Topologie, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
- Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
- Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.
Generieren eines Berichts für eine Replikationsgruppe
Um einen Diagnosebericht zu generieren, muss ein Benutzer ein lokaler Administrator der Server sein, die Teil des Berichts sind.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für