Delegación de la replicación DFS en Windows Server 2003 R2

  • Artículo

En este artículo se describe cómo modificar directamente los permisos de los objetos de configuración para cada grupo de replicación.

Se aplica a: Windows Server 2003 R2
Número de KB original: 911604

Introducción

La replicación del sistema de archivos distribuido (DFS) usa el servicio de directorio de Active Directory para almacenar objetos de configuración. Al usar Active Directory, puede delegar los derechos de usuario de forma más exacta. La característica administración DFS proporciona compatibilidad con delegación de alto nivel. Esta compatibilidad le permite conceder a los usuarios la capacidad de crear un grupo de replicación. Esta compatibilidad también le permite conceder derechos administrativos a los usuarios en un grupo de replicación que ya se ha creado.

Objetos de configuración

Es útil tener una visión general de todos los objetos antes de ver cada objeto en detalle. En esta sección se describen los objetos que se usan para configurar la replicación DFS. Los permisos para estos objetos determinan qué usuarios pueden realizar operaciones específicas en grupos de replicación.

Objetos globales

Los objetos globales configuran el conjunto de réplicas en su conjunto. Por ejemplo, los objetos globales configuran el número de carpetas replicadas. Los objetos globales también configuran las conexiones entre cada miembro del grupo de replicación.

msDFSR-GlobalSettings

Este objeto se crea en las siguientes ocasiones:

  • Cuando se crea el primer grupo de replicación de un dominio
  • La primera vez que un usuario tiene derechos delegados para crear grupos de replicación en un dominio

Este objeto se crea en el contenedor del sistema. De forma predeterminada, solo el administrador de dominio puede crear este objeto.

La única modificación de seguridad de este objeto que se recomienda es conceder a los usuarios el derecho de crear objetos secundarios msDFSR-ReplicationGroup en este contenedor. Para usar administración DFS para esta tarea, realice la acción Delegar permisos de administración en el nodo Replicación.

msDFSR-ReplicationGroup

Este objeto contiene toda la configuración global específica de un único grupo de replicación. Para modificar los permisos de este contenedor en Administración DFS, realice la acción Permisos de administración de delegados en un grupo de replicación. Puede conceder derechos de administración de usuarios a un grupo de replicación. También puede conceder al usuario el control del objeto msDFSR-ReplicationGroup y de todos los objetos secundarios de un grupo de replicación. Los atributos siguientes se almacenan en este objeto:

  1. Descripción
    Descripción del grupo de replicación.
  2. msDFSR-Topology
    Programación predeterminada.

msDFSR-Content

Este objeto se crea en el objeto msDFSR-ReplicationGroup cuando se crea el grupo de replicación. El objeto msDFSR-Content contiene un objeto msDFSR-ContentSet para cada carpeta replicada en el grupo de replicación.

Nota:

No se almacenan atributos importantes en este objeto.

msDFSR-ContentSet

Se crea un objeto msDFSR-ContentSet para cada carpeta replicada del grupo de replicación. Los atributos siguientes se almacenan en este objeto:

  • Descripción
    Descripción de la carpeta replicada.
  • msDFSR-FileFilter
    El filtro de archivos de los archivos se excluye de la replicación.
  • msDFSR-DirectoryFilter
    El filtro de directorio para carpetas se excluye de la replicación.
  • msDFSR-DfsPath
    Ruta de acceso de la carpeta DFS cuando la carpeta replicada se publica en un espacio de nombres DFS.

msDFSR-Topology

Este objeto se crea en el objeto msDFSR-ReplicationGroup cuando se crea el grupo de replicación. El objeto msDFSR-Topology contiene un objeto msDFSR-Member para cada miembro del grupo de replicación.

Nota:

No se almacenan atributos importantes en este objeto.

msDFSR-Member

Se crea un objeto msDFSR-Member para cada miembro del grupo de replicación. Este objeto hace referencia al objeto de equipo para el miembro. Este objeto contiene un objeto msDFSR-Connection para cada conexión donde este miembro es el miembro receptor de la conexión. Los atributos siguientes se almacenan en este objeto:

  • msDFSR-ComputerReference
    Referencia al objeto de equipo para el miembro.

msDFSR-Connection

Se crea una conexión msDFSR como elemento secundario de un objeto msDFSR-Member para cada conexión de replicación entrante a ese miembro. Los atributos siguientes se almacenan en este objeto:

  • msDFSR habilitado
    Estado habilitado de la conexión.
  • msDFSR-Schedule
    Programación personalizada de la conexión.
  • msDFSR-Keywords
    Palabras clave para la conexión.
  • msDFSR-RdcEnabled
    Estado habilitado de la compresión diferencial rRemote.

Objetos locales del servidor

Los objetos locales del servidor existen en la cuenta de equipo para cada servidor que participa en una replicación. Estos objetos configuran miembros individuales del grupo de replicación.

msDFSR-LocalSettings

Este objeto es el contenedor de nivel superior para los objetos de replicación DFS en una cuenta de equipo.

msDFSR-Subscriber

Se crea un objeto msDFSR-Subscriber para cada grupo de replicación al que pertenece un servidor. Este objeto contiene un objeto msDFSR-Subscription para cada carpeta replicada en el grupo de replicación especificado por el objeto msDFSR-Subscriber. Los atributos siguientes se almacenan en este objeto:

  • msDFSR-MemberReference
    Referencia al objeto msDFSR-Member.

msDFSR-Subscription

El objeto msDFSR-Subscription contiene una configuración única para cada carpeta replicada en el servidor. Los atributos siguientes se almacenan en este objeto:

  • msDFSR-RootPath
    Ruta de acceso local de la carpeta replicada.
  • msDFSR-StagingPath
    Ruta de acceso de almacenamiento provisional de la carpeta replicada.
  • msDFSR-StagingSizeInMb
    Tamaño de la carpeta de almacenamiento provisional.
  • msDFSR-ConflictSizeInMb
    Tamaño de la carpeta de conflictos.
  • msDFSR habilitado
    Estado habilitado de la suscripción.
  • msDFSR-Flags
    Marca que controla si los archivos eliminados se mueven a la carpeta de conflictos.

Delegación detallada

  • Concesión de permisos para crear un grupo de replicación

    Esta acción es una de las dos acciones de delegación que están disponibles en administración DFS. Para realizar manualmente esta acción en Usuarios y equipos de Active Directory, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en el nodo Domain\System\DFSR-GlobalSettings y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.
    4. Conceda a los usuarios o grupos deseados el permiso Crear todos los objetos secundarios y, a continuación, seleccione Este objeto solo en el área Aplicar en .

  • Delegación de derechos administrativos a un grupo de replicación

    Esta es la otra acción de delegación que está disponible en administración DFS. Para realizar manualmente esta acción en Usuarios y equipos de Active Directory, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en el nodo Domain\System\DFSR-GlobalSettings y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.
    4. Conceda a los usuarios o grupos deseados el permiso Control total y, a continuación, seleccione Este objeto y todos los objetos secundarios en el área Aplicar en .
    5. Agregue los usuarios o grupos al grupo de administradores local de cada miembro.

  • Administrar la configuración del sistema local sin ser administrador local

    Normalmente, el usuario debe ser administrador para administrar la configuración del equipo local. Para permitir que un usuario que no sea administrador administre la configuración del equipo local, conceda al usuario el control directo de los objetos necesarios en Active Directory. Para ello, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.

    2. Haga clic con el botón derecho en el nodo del equipo y, a continuación, haga clic en Propiedades.

      De forma predeterminada, la ruta de acceso del nodo de equipo es una de las siguientes:

      • Servidores miembros
        Domain\Computer\ComputerName\DFSR-LocalSettings
      • Controladores de dominio
        Domain\Domain Controllers\ComputerName\DFSR-LocalSettings

    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.

    4. Conceda a los usuarios o grupos deseados el permiso Control total y, a continuación, haga clic para seleccionar Este objeto y todos los objetos secundarios en el área Aplicar en .

  • Control de todos los grupos de replicación

    Para conceder a un usuario el control de todos los grupos de replicación existentes y futuros de un dominio, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en el nodo Domain\System\DFSR-GlobalSettings y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.
    4. Conceda a los usuarios o grupos deseados el permiso Control total y, a continuación, haga clic para seleccionar Este objeto y todos los objetos secundarios en el área Aplicar en .
    5. Agregue los usuarios o grupos al grupo de administradores local de cada miembro. O bien, conceda el permiso Control total para los objetos de equipo de cada servidor de los grupos de replicación.

  • Agregar, quitar o modificar carpetas replicadas

    Para conceder a un usuario derechos solo para modificar, agregar o eliminar una carpeta replicada, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en el nodo Domain\System\DFSR-GlobalSettings\ReplicationGroup\Content y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.
    4. Conceda a los usuarios o grupos deseados el permiso Control total y, a continuación, seleccione Este objeto y todos los objetos secundarios en el área Aplicar en .
    5. Agregue los usuarios o grupos al grupo de administradores local de cada miembro. O bien, conceda el permiso Control total para los objetos de equipo de cada servidor de los grupos de replicación.

  • Agregar, quitar o modificar miembros y conexiones

    Para conceder a un usuario derechos solo para modificar, agregar o eliminar miembros y conexiones, siga estos pasos:

    1. Inicie usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en el nodo Domain\System\DFSR-GlobalSettings\ReplicationGroup\Topology y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Opciones avanzadas.
    4. Conceda a los usuarios o grupos deseados el permiso Control total y, a continuación, seleccione Este objeto y todos los objetos secundarios en el área Aplicar en .
    5. Agregue los usuarios o grupos al grupo de administradores local de cada miembro. O bien, conceda el permiso Control total para los objetos de equipo de cada servidor de los grupos de replicación.

  • Generación de un informe en un grupo de replicación

    Para generar un informe de diagnóstico, un usuario debe ser un administrador local de los servidores que forman parte del informe.