Cómo implementar la enumeración basada en Access de Windows Server 2003 en un entorno DFS


INTRODUCCIÓN


En este artículo se describe cómo implementar la enumeración basada en Access de Microsoft Windows Server 2003 en un entorno DFS. Cuando se habilita la enumeración basada en el acceso, Windows no muestra archivos ni carpetas que el usuario no tenga los derechos de acceso.

Más información


Imagine la siguiente situación:
  • Implemente una raíz del sistema de archivos distribuido (DFS) denominada \\dfs-share\users. Hay varios vínculos DFS en la raíz.
  • Estos vínculos DFS representan los directorios principales de varios usuarios.
  • Desea habilitar la enumeración basada en el acceso en la raíz de \\dfs-share\users para que los usuarios solo vean sus directorios principales cuando los usuarios enumeran la raíz.
Para implementar la enumeración basada en el acceso en este escenario, siga estos pasos:
  1. Use credenciales administrativas para iniciar sesión en Windows Server 2003.
  2. Use la utilidad cacls para establecer las listas de control de acceso (ACL) apropiadas en los vínculos DFS. (La herramienta CACLS se incluye en Windows Server 2003). Por ejemplo, haga que la ACL en el vínculo sea la misma que la de la ACL en el destino del vínculo. Por lo tanto, si \\dfs-share\users\johndoe está vinculado a un destino denominado \\server1\share1\johndoe, Haz que la ACL en \\dfs-share\users\johndoe sea la misma que la ACL en \\server1\share1\johndoe. Si el destino está en un equipo basado en Windows, escriba cacls en el símbolo del sistema para comprobar la ACL. Para obtener más información acerca de la herramienta CACLS, escriba cacls/? en un símbolo del sistema.
  3. Aplique la propiedad de enumeración basada en Access en cada recurso compartido raíz mediante la utilidad ABEUI. Nota Establezca la propiedad de enumeración basada en el acceso en cada recurso raíz replicado.
  4. Tan pronto como se repliquen la raíz del dominio y los vínculos, use la herramienta CACLS para establecer manualmente las ACL de los vínculos duplicados. Repita este paso para todas las réplicas. Sin embargo, primero asegúrate de que la raíz y los vínculos se hayan replicado por completo en el destino.
  5. En un entorno de clúster, cuando un nodo conmuta por error a otro nodo, DFS quita todos los vínculos DFS y vuelve a crearlos en cada conmutación por error. Cuando se produce la conmutación por error, se deben volver a aplicar las ACL en los vínculos. Para volver a aplicar los vínculos automáticamente después de una conmutación por error, siga estos pasos:
    1. Desde la consola del administrador de clústeres, cree un recurso de script. Asegúrese de que este nuevo recurso forma parte del mismo grupo que el DFS y los recursos compartidos.
    2. Agregue el recurso de script al recurso de script que establece las ACL de cada vínculo DFS.
    3. Haga que el nuevo recurso de script dependa del recurso DFS. Este paso garantiza que el nuevo recurso de script solo se ejecutará después de que se creen los vínculos DFS en el nuevo nodo de conmutación por error.
    4. Ponga el grupo fuera de línea y, a continuación, vuelva a ponerlo en línea para asegurarse de que funciona el nuevo recurso de script.
  6. Reinicie el servicio sistema de archivos distribuido (DFS). Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba cmd y, por último, haga clic en Aceptar.
    2. Escriba net stop DFSy, a continuación, presione Entrar.
    3. Escriba net start DFSy, a continuación, presione Entrar.
Después de seguir estos pasos, solo se mostrarán los vínculos DFS para los que un usuario tiene derechos de acceso cuando se Enumere la raíz.A veces, las ACL de los vínculos se restablecen y deben volver a aplicarse. Las ACL se restablecen en los escenarios siguientes:
  • Una raíz DFS se restaura con la utilidad DFS (Dfsutil. exe). Las ACL de los vínculos DFS no se conservan y se restablecen.
  • Las raíces DFS se exportan y luego se importan a otra ubicación. Las ACL de los vínculos DFS no se conservan y se restablecen.
  • Si agrega un nuevo destino de raíz DFS, los vínculos no recibirán las ACL correspondientes porque los vínculos se crean por primera vez.
  • Si cambia el nombre de un vínculo DFS, el servicio DFS elimina y vuelve a crear el vínculo. Se restablece la lista ACL en el vínculo.
  • Si elimina los vínculos de varios componentes, DFS quita los directorios intermedios vacíos. Todas las ACL que se establecieron en un directorio se pierden cuando se quita un directorio. Al crear un vínculo de varios componentes con la misma ruta de acceso, debe volver a aplicar todas las ACL en los directorios intermedios.
Nota Cuando la enumeración basada en Access no funciona de la manera esperada con vínculos DFS, primero debe examinar las ACL de los vínculos DFS mediante la herramienta CACLS.Si la ACL en el vínculo DFS no está configurada para coincidir con la ACL en el destino, pueden ser ciertas las condiciones siguientes:
  • Si la ACL en el vínculo es más restrictiva que la ACL en el destino, no se mostrará el vínculo. Sin embargo, si el usuario sabe el nombre del vínculo, el usuario puede localizar la ruta de acceso adecuada y ver el contenido del destino.
  • Si la ACL en el vínculo es menos restrictiva que la LCA en el destino, se muestra el vínculo. Sin embargo, cuando el usuario encuentra el vínculo, el usuario ve un mensaje "acceso denegado".