Implementieren der Access-basierten Enumeration von Windows Server 2003 in einer DFS-Umgebung


EINFÜHRUNG


In diesem Artikel wird beschrieben, wie Sie die Access-basierte Enumeration von Microsoft Windows Server 2003 in einer DFS-Umgebung implementieren. Wenn die zugriffsbasierte Enumeration aktiviert ist, werden in Windows keine Dateien oder Ordner angezeigt, für die ein Benutzer nicht über die Zugriffsrechte verfügt.

Weitere Informationen


Stellen Sie sich folgendes Szenario vor:
  • Sie stellen einen DFS-Stamm (Distributed File System) mit dem Namen \\DFS-share\users. bereit. Unter dem Stammverzeichnis sind mehrere DFS-Links vorhanden.
  • Diese DFS-Links stellen die Home-Verzeichnisse mehrerer Benutzer dar.
  • Sie möchten die zugriffsbasierte Enumeration im \\DFS-share\users-Stammverzeichnis aktivieren, damit Benutzer nur Ihre privaten Verzeichnisse sehen, wenn die Benutzer den Stamm auflisten.
Führen Sie die folgenden Schritte aus, um die Access-basierte Enumeration in diesem Szenario zu implementieren:
  1. Verwenden Sie Administratoranmeldeinformationen, um sich bei Windows Server 2003 anzumelden.
  2. Verwenden Sie das Dienstprogramm cacls, um die entsprechenden Zugriffssteuerungslisten (ACLs) für die DFS-Links einzurichten. (Das cacls-Dienstprogramm ist in Windows Server 2003 enthalten.) Nehmen Sie beispielsweise die Zugriffssteuerungsliste für den Link genauso an wie die ACL für das Ziel des Links. Wenn \\DFS-share\users\johndoe mit einem Ziel namens "\\server1\share1\johndoe" verknüpft ist, erstellen Sie die ACL auf \\DFS-share\users\johndoe mit der ACL auf \\server1\share1\johndoe.. Wenn sich das Ziel auf einem Windows-basierten Computer befindet, geben Sie cacls an der Eingabeaufforderung ein, um die ACL zu überprüfen. Wenn Sie weitere Informationen zum cacls-Dienstprogramm wünschen, geben Sie cacls/? an einer Eingabeaufforderung ein.
  3. Wenden Sie die Access-basierte Enumeration-Eigenschaft für jede Stammfreigabe mithilfe des ABEUI-Dienstprogramms an. Hinweis Festlegen der zugriffsbasierten Aufzählungseigenschaft für jede replizierte Stammfreigabe
  4. Sobald der Domänenstamm und die Verknüpfungen repliziert wurden, verwenden Sie das Dienstprogramm cacls, um die ACLs für die replizierten Links manuell zu definieren. Wiederholen Sie diesen Schritt für alle Replikate. Stellen Sie jedoch zunächst sicher, dass der Stamm und die Verknüpfungen vollständig auf dem Ziel repliziert wurden.
  5. In einer Clusterumgebung entfernt DFS alle DFS-Links, wenn ein Knoten einen Failover zu einem anderen Knoten durchführt, und erstellt diese bei jedem Failover neu. Wenn ein Failover erfolgt, müssen ACLs erneut auf die Links angewendet werden. Führen Sie die folgenden Schritte aus, um Links nach einem Failover automatisch erneut anzuwenden:
    1. Erstellen Sie in der Cluster Administratorkonsole eine Skriptressource. Stellen Sie sicher, dass diese neue Ressource Teil der gleichen Gruppe wie die DFS und die Freigabe Ressourcen ist.
    2. Fügen Sie die Skriptressource der Skriptressource hinzu, mit der die ACLs für jede DFS-Verknüpfung festgelegt werden.
    3. Machen Sie die neue Skriptressource von der DFS-Ressource abhängig. Mit diesem Schritt wird sichergestellt, dass die neue Skriptressource erst ausgeführt wird, nachdem die DFS-Links auf dem neuen Failover-Knoten erstellt wurden.
    4. Nehmen Sie die Gruppe offline, und setzen Sie die Gruppe wieder online, um sicherzustellen, dass die neue Skriptressource funktioniert.
  6. Starten Sie den DFS-Dienst (Distributed File System) neu. Gehen Sie hierzu wie folgt vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie net stop DFSein, und drücken Sie dann die EINGABETASTE.
    3. Geben Sie net Start DFSein, und drücken Sie dann die EINGABETASTE.
Nachdem Sie diese Schritte ausgeführt haben, werden nur die DFS-Links angezeigt, auf die ein Benutzer die Zugriffsrechte hat, wenn der Stamm aufgelistet wird.Manchmal werden die ACLs für Links zurückgesetzt und müssen erneut angewendet werden. ACLs werden in den folgenden Szenarien zurückgesetzt:
  • Ein DFS-Stamm wird mithilfe des DFS-Dienstprogramms (DFSUtil. exe) wiederhergestellt. Die ACLs für die DFS-Links werden nicht beibehalten und zurückgesetzt.
  • DFS-Stämme werden exportiert und dann an einen anderen Speicherort importiert. Die ACLs für die DFS-Links werden nicht beibehalten und zurückgesetzt.
  • Wenn Sie ein neues DFS-Stamm Ziel hinzufügen, erhalten die Verknüpfungen nicht die entsprechenden ACLs, da die Verknüpfungen zum ersten Mal erstellt werden.
  • Wenn Sie eine DFS-Verknüpfung umbenennen, wird die Verknüpfung vom DFS-Dienst gelöscht und neu erstellt. Die Zugriffssteuerungsliste für den Link wird zurückgesetzt.
  • Wenn Sie Mehrkomponenten-Links löschen, entfernt DFS alle leeren zwischen Verzeichnisse. Jede ACL, die für ein Verzeichnis festgesetzt wurde, geht verloren, wenn ein Verzeichnis entfernt wird. Wenn Sie einen neuen Mehrkomponenten Link mithilfe desselben Pfads erstellen, müssen Sie alle ACLs für die zwischen Verzeichnisse erneut anwenden.
Hinweis Wenn die zugriffsbasierte Enumeration mit DFS-Links nicht erwartungsgemäß ausgeführt wird, untersuchen Sie zuerst die ACLs für die DFS-Links mithilfe des cacls-Dienstprogramms.Wenn die Zugriffssteuerungsliste für den DFS-Link nicht so festgelegt ist, dass Sie der ACL des Ziels entspricht, können die folgenden Bedingungen zutreffen:
  • Wenn die Zugriffssteuerungsliste für den Link restriktiver als die ACL für das Ziel ist, wird der Link nicht angezeigt. Wenn der Benutzer jedoch den Namen des Links kennt, kann der Benutzer den entsprechenden Pfad suchen und den Inhalt des Ziels anzeigen.
  • Wenn die Zugriffssteuerungsliste für den Link weniger restriktiv als die ACL für das Ziel ist, wird der Link angezeigt. Wenn der Benutzer den Link findet, sieht der Benutzer jedoch die Meldung "Zugriff verweigert".