Cómo implementar la enumeración basada en acceso de Windows Server 2003 en un entorno de DFS

INTRODUCCIÓN

En este artículo se describe cómo implementar la enumeración basada en acceso de Microsoft Windows Server 2003 en un entorno de DFS. Cuando está habilitada la enumeración basada en acceso, Windows no muestra archivos o carpetas que un usuario no tiene los derechos de acceso.

Más información

Imagine el siguiente escenario:
  • Implementar una raíz del sistema de archivos distribuido (DFS) denominada \\dfs-share\users. Existen varios vínculos DFS en la raíz.
  • Estos vínculos DFS representan los directorios principales de varios usuarios.
  • Que desea habilitar la enumeración basada en acceso en la raíz de \\dfs-share\users para que los usuarios ven sólo sus directorios principales cuando los usuarios enumeran la raíz.
Para implementar la enumeración basada en acceso en este escenario, siga estos pasos:
  1. Utilizar credenciales administrativas para iniciar sesión en Windows Server 2003.
  2. Use la utilidad de Cacls para establecer el control de acceso adecuado listas (ACL) de los vínculos DFS. (La utilidad Cacls se incluye en Windows Server 2003).

    Por ejemplo, que la ACL en el vínculo el mismo que la ACL en el destino del vínculo. Por lo tanto, si \\dfs-share\users\johndoe se vincula a un destino denominado \\server1\share1\johndoe, que la ACL en \\dfs-share\users\johndoe el mismo que la ACL en \\server1\share1\johndoe. Si el destino está en un equipo basado en Windows, escriba cacls en el símbolo del sistema para comprobar la ACL. Para obtener más información acerca de la herramienta Cacls, escriba cacls /? en un símbolo del sistema.
  3. Aplicar la propiedad de enumeración basado en Access en cada recurso compartido de raíz mediante la utilidad ABEUI. Para obtener esta utilidad, visite el siguiente sitio Web de Microsoft:Nota: Establezca la propiedad enumeración basado en Access en cada recurso compartido de raíz replicada.
  4. Tan pronto como se replican la raíz del dominio y los vínculos, utilice la utilidad de Cacls para establecer manualmente las ACL en los vínculos duplicados. Repita este paso para todas las réplicas. Sin embargo, primero asegúrese de que la raíz y vínculos se hayan replicado totalmente en el destino.
  5. En un entorno de clúster, cuando un nodo conmuta por error a otro nodo, DFS quita todos vínculos DFS y los reproduce en cada conmutación por error. Cuando se produce conmutación por error, deben volver a aplicar las ACL en los vínculos. Para aplicar automáticamente vínculos después de una conmutación por error, siga estos pasos:
    1. Desde la consola del Administrador de clúster, cree un recurso secuencia de comandos. Asegúrese de que este nuevo recurso forma parte del mismo grupo como el DFS y como los recursos compartidos.
    2. Agregue el recurso secuencia de comandos del recurso de secuencia de comandos que establece las ACL para cada vínculo DFS.
    3. Hacer dependiente del recurso DFS el nuevo recurso secuencia de comandos. Este paso asegura que el nuevo recurso secuencia de comandos se ejecuta sólo después de que se crean los vínculos DFS en el nuevo nodo haga failover.
    4. Tome el grupo sin conexión y, a continuación, colocar el grupo nuevamente en línea para asegurarse de que el nuevo recurso secuencia de comandos funciona.
  6. Reinicie el servicio del sistema de archivos distribuido (DFS). Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. Escriba net stop DFSy, a continuación, presione ENTRAR.
    3. Escriba net start DFSy, a continuación, presione ENTRAR.
Después de seguir estos pasos, se muestran sólo los vínculos DFS que tiene los derechos de acceso de un usuario cuando se enumera la raíz.

A veces, las ACL en los vínculos se restablecen y se deben volver a aplicar. Las ACL se restablecen en las situaciones siguientes:
  • Una raíz DFS se restaura mediante la utilidad DFS (Dfsutil.exe). Las ACL en los vínculos DFS no se conservan y se restablecen.
  • Raíces DFS se exportan y, a continuación, importar a otra ubicación. Las ACL en los vínculos DFS no se conservan y se restablecen.
  • Si agrega un nuevo destino de raíz DFS, los vínculos no reciben las ACL apropiadas ya que los vínculos se crean por primera vez.
  • Si cambia el nombre de un vínculo DFS, el servicio DFS elimina y vuelve a crear el vínculo. Se restablece la ACL en el vínculo.
  • Si elimina componentes múltiples vínculos, DFS quita todos los directorios intermedios vacíos. Cualquier ACL que se estableció en un directorio se pierde cuando se quita un directorio. Cuando se crea un nuevo vínculo de componente múltiples utilizando la misma ruta de acceso, debe volver a aplicar todas las ACL en los directorios intermedios.
Nota: Cuando la enumeración basada en acceso no funcione como se esperaba con vínculos DFS, examine primero las ACL en los vínculos DFS mediante la utilidad Cacls.

Si no se establece la ACL en el vínculo DFS para que coincida con la ACL en el destino, pueden cumplirse las condiciones siguientes:
  • Si la ACL en el vínculo es más restrictiva que la ACL en el destino, no se mostrará el vínculo. Sin embargo, si el usuario sabe el nombre del vínculo, el usuario puede localizar la ruta apropiada y ver el contenido del destino.
  • Si la ACL en el vínculo es menos restrictiva que la ACL en el destino, se muestra el vínculo. Sin embargo, cuando el usuario busca el vínculo, el usuario ve un mensaje de "error acceso denegado".
Propiedades

Id. de artículo: 907458 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios