Delegieren der DFS-Replikation in Windows Server 2003 R2

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Berechtigungen für die Konfigurationsobjekte für jede Replikationsgruppe direkt ändern.

Gilt für: Windows Server 2003 R2
Ursprüngliche KB-Nummer: 911604

Einführung

Die DFS-Replikation (Distributed File System) verwendet den Active Directory-Verzeichnisdienst zum Speichern von Konfigurationsobjekten. Wenn Sie Active Directory verwenden, können Sie Benutzerrechte genauer delegieren. Das DFS-Verwaltungsfeature bietet allgemeine Delegierungsunterstützung. Mit dieser Unterstützung können Sie Benutzern die Möglichkeit gewähren, eine Replikationsgruppe zu erstellen. Mit dieser Unterstützung können Sie Benutzern auch Administratorrechte für eine Replikationsgruppe gewähren, die bereits erstellt wurde.

Konfigurationsobjekte

Es ist hilfreich, sich einen Überblick über alle Objekte zu verschaffen, bevor Sie die einzelnen Objekte im Detail anzeigen. In diesem Abschnitt werden die Objekte beschrieben, die zum Konfigurieren der DFS-Replikation verwendet werden. Die Berechtigungen für diese Objekte bestimmen, welche Benutzer bestimmte Vorgänge für Replikationsgruppen ausführen können.

Globale Objekte

Globale Objekte konfigurieren die Replikatmenge als Ganzes. Beispielsweise konfigurieren globale Objekte die Anzahl der replizierten Ordner. Globale Objekte konfigurieren auch die Verbindungen zwischen den einzelnen Mitgliedern der Replikationsgruppe.

msDFSR-GlobalSettings

Dieses Objekt wird zu folgenden Zeiten erstellt:

  • Wenn die erste Replikationsgruppe in einer Domäne erstellt wird
  • Wenn einem Benutzer zum ersten Mal Rechte zum Erstellen von Replikationsgruppen in einer Domäne delegiert werden

Dieses Objekt wird im Systemcontainer erstellt. Standardmäßig kann nur der Domänenadministrator dieses Objekt erstellen.

Die einzige Sicherheitsänderung an diesem Objekt, die wir empfehlen, besteht darin, Benutzern das Recht zu gewähren, untergeordnete msDFSR-ReplicationGroup-Objekte in diesem Container zu erstellen. Um die DFS-Verwaltung für diese Aufgabe zu verwenden, führen Sie die Aktion Verwaltungsberechtigungen delegieren auf dem Replikationsknoten aus.

msDFSR-ReplicationGroup

Dieses Objekt enthält alle globalen Einstellungen, die für eine einzelne Replikationsgruppe spezifisch sind. Um die Berechtigungen für diesen Container in der DFS-Verwaltung zu ändern, führen Sie die Aktion Delegieren von Verwaltungsberechtigungen für eine Replikationsgruppe aus. Sie können einem Benutzer Administratorrechte für eine Replikationsgruppe gewähren. Sie können dem Benutzer auch die Steuerung des msDFSR-ReplicationGroup-Objekts und aller untergeordneten Objekte für eine Replikationsgruppe gewähren. Die folgenden Attribute werden in diesem Objekt gespeichert:

  1. Beschreibung
    Die Beschreibung der Replikationsgruppe.
  2. msDFSR-Topologie
    Der Standardzeitplan.

msDFSR-Content

Dieses Objekt wird unter dem msDFSR-ReplicationGroup-Objekt erstellt, wenn die Replikationsgruppe erstellt wird. Das msDFSR-Content-Objekt enthält ein msDFSR-ContentSet-Objekt für jeden replizierten Ordner in der Replikationsgruppe.

Hinweis

In diesem Objekt werden keine wichtigen Attribute gespeichert.

msDFSR-ContentSet

Für jeden replizierten Ordner in der Replikationsgruppe wird ein msDFSR-ContentSet-Objekt erstellt. Die folgenden Attribute werden in diesem Objekt gespeichert:

  • Beschreibung
    Die Beschreibung des replizierten Ordners.
  • msDFSR-FileFilter
    Der Dateifilter für Dateien ist von der Replikation ausgeschlossen.
  • msDFSR-DirectoryFilter
    Der Verzeichnisfilter für Ordner ist von der Replikation ausgeschlossen.
  • msDFSR-DfsPath
    Pfad des DFS-Ordners, wenn der replizierte Ordner in einem DFS-Namespace veröffentlicht wird.

msDFSR-Topologie

Dieses Objekt wird unter dem msDFSR-ReplicationGroup-Objekt erstellt, wenn die Replikationsgruppe erstellt wird. Das msDFSR-Topology-Objekt enthält ein msDFSR-Member-Objekt für jedes Mitglied der Replikationsgruppe.

Hinweis

In diesem Objekt werden keine wichtigen Attribute gespeichert.

msDFSR-Member

Für jedes Mitglied der Replikationsgruppe wird ein msDFSR-Member-Objekt erstellt. Dieses Objekt verweist auf das Computerobjekt für den Member. Dieses Objekt enthält ein msDFSR-Connection-Objekt für jede Verbindung, bei der dieser Member das empfangende Element der Verbindung ist. Die folgenden Attribute werden in diesem Objekt gespeichert:

  • msDFSR-ComputerReference
    Ein Verweis auf das Computerobjekt für den Member.

msDFSR-Connection

Eine msDFSR-Connection wird als untergeordnetes Element eines msDFSR-Member-Objekts für jede eingehende Replikationsverbindung mit diesem Member erstellt. Die folgenden Attribute werden in diesem Objekt gespeichert:

  • msDFSR-Enabled
    Der aktivierte Zustand der Verbindung.
  • msDFSR-Schedule
    Der benutzerdefinierte Zeitplan der Verbindung.
  • msDFSR-Keywords
    Schlüsselwörter für die Verbindung.
  • msDFSR-RdcEnabled
    Der aktivierte Status der differenziellen rRemote-Komprimierung.

Serverlokale Objekte

Lokale Serverobjekte sind im Computerkonto für jeden Server vorhanden, der an einer Replikation teilnimmt. Diese Objekte konfigurieren einzelne Mitglieder der Replikationsgruppe.

msDFSR-LocalSettings

Dieses Objekt ist der Container der obersten Ebene für DFS-Replikationsobjekte in einem Computerkonto.

msDFSR-Subscriber

Für jede Replikationsgruppe, zu der ein Server gehört, wird ein msDFSR-Subscriber-Objekt erstellt. Dieses Objekt enthält ein msDFSR-Subscription-Objekt für jeden replizierten Ordner in der Replikationsgruppe, die vom msDFSR-Subscriber-Objekt angegeben wird. Die folgenden Attribute werden in diesem Objekt gespeichert:

  • msDFSR-MemberReference
    Ein Verweis auf das msDFSR-Member-Objekt.

msDFSR-Subscription

Das msDFSR-Subscription-Objekt enthält Einstellungen, die für jeden replizierten Ordner auf dem Server eindeutig sind. Die folgenden Attribute werden in diesem Objekt gespeichert:

  • msDFSR-RootPath
    Der lokale Pfad des replizierten Ordners.
  • msDFSR-StagingPath
    Der Stagingpfad des replizierten Ordners.
  • msDFSR-StagingSizeInMb
    Die Größe des Stagingordners.
  • msDFSR-ConflictSizeInMb
    Die Größe des Konfliktordners.
  • msDFSR-Enabled
    Der aktivierte Status des Abonnements.
  • msDFSR-Flags
    Ein Flag, das steuert, ob gelöschte Dateien in den Konfliktordner verschoben werden.

Detaillierte Delegierung

  • Erteilen von Berechtigungen zum Erstellen einer Replikationsgruppe

    Diese Aktion ist eine der beiden Delegierungsaktionen, die in der DFS-Verwaltung verfügbar sind. Führen Sie die folgenden Schritte aus, um diese Aktion in Active Directory-Benutzer und -Computer manuell auszuführen:

    1. Starten Sie "Active Directory-Benutzer und -Computer".
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Alle untergeordneten Objekte erstellen , und wählen Sie dann Dieses Objekt nur im Bereich Anwenden auf aus .

  • Delegieren von Administratorrechten an eine Replikationsgruppe

    Dies ist die andere Delegierungsaktion, die in der DFS-Verwaltung verfügbar ist. Führen Sie die folgenden Schritte aus, um diese Aktion in Active Directory-Benutzer und -Computer manuell auszuführen:

    1. Starten Sie "Active Directory-Benutzer und -Computer".
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
    5. Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu.

  • Verwalten lokaler Systemeinstellungen, ohne ein lokaler Administrator zu sein

    In der Regel muss der Benutzer ein Administrator sein, um lokale Computereinstellungen verwalten zu können. Um einem Benutzer, der kein Administrator ist, die Verwaltung lokaler Computereinstellungen zu ermöglichen, gewähren Sie dem Benutzer die direkte Kontrolle über die erforderlichen Objekte in Active Directory. Gehen Sie dazu wie folgt vor:

    1. Starten Sie "Active Directory-Benutzer und -Computer".

    2. Klicken Sie mit der rechten Maustaste auf den Computerknoten, und klicken Sie dann auf Eigenschaften.

      Standardmäßig ist der Pfad des Computerknotens einer der folgenden:

      • Mitgliedsserver
        Domäne\Computer\Computername\DFSR-LocalSettings
      • Domänencontroller
        Domäne\Domänencontroller\Computername\DFSR-LocalSettings

    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.

    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff, und klicken Sie dann im Bereich Anwenden auf, um Dieses Objekt und alle untergeordneten Objekte auszuwählen.

  • Steuerung aller Replikationsgruppen

    Führen Sie die folgenden Schritte aus, um einem Benutzer die Steuerung aller vorhandenen und zukünftigen Replikationsgruppen in einer Domäne zu gewähren:

    1. Starten Sie "Active Directory-Benutzer und -Computer".
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff, und klicken Sie dann im Bereich Anwenden auf, um Dieses Objekt und alle untergeordneten Objekte auszuwählen.
    5. Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.

  • Hinzufügen/Entfernen/Ändern replizierter Ordner

    Führen Sie die folgenden Schritte aus, um einem Benutzer nur Berechtigungen zum Ändern, Hinzufügen oder Löschen eines replizierten Ordners zu erteilen:

    1. Starten Sie "Active Directory-Benutzer und -Computer".
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings\ReplicationGroup\Content, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
    5. Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.

  • Hinzufügen/Entfernen/Ändern von Mitgliedern und Verbindungen

    Führen Sie die folgenden Schritte aus, um einem Benutzer nur Berechtigungen zum Ändern, Hinzufügen oder Löschen von Mitgliedern und Verbindungen zu gewähren:

    1. Starten Sie "Active Directory-Benutzer und -Computer".
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Domäne\System\DFSR-GlobalSettings\ReplicationGroup\Topologie, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
    4. Erteilen Sie den gewünschten Benutzern oder Gruppen die Berechtigung Vollzugriff , und wählen Sie dann Dieses Objekt und alle untergeordneten Objekte im Bereich Anwenden auf aus.
    5. Fügen Sie die Benutzer oder Gruppen der lokalen Administratorgruppe jedes Mitglieds hinzu. Oder erteilen Sie die Berechtigung Vollzugriff für die Computerobjekte jedes Servers in den Replikationsgruppen.

  • Generieren eines Berichts für eine Replikationsgruppe

    Um einen Diagnosebericht zu generieren, muss ein Benutzer ein lokaler Administrator der Server sein, die Teil des Berichts sind.