Jak zaimplementować wyliczanie oparte na dostępie w systemie Windows Server 2003 w środowisku DFS


WPROWADZENIE


W tym artykule opisano sposób implementacji wyliczenia opartego na dostępie systemu Microsoft Windows Server 2003 w środowisku DFS. Gdy jest włączone wyliczanie oparte na dostępie, system Windows nie wyświetla plików ani folderów, do których użytkownik nie ma praw dostępu.

Więcej informacji


Rozpatrzmy następujący scenariusz:
  • Wdrożono katalog główny rozproszonego systemu plików (DFS) o nazwie \\dfs-share\users. W katalogu głównym znajdują się różne linki systemu plików DFS.
  • Te linki DFS reprezentują katalogi macierzyste kilku użytkowników.
  • Chcesz włączyć wyliczanie oparte na dostępie w katalogu głównym usługi \\dfs-share\users, aby użytkownicy widzieli tylko katalogi macierzyste, gdy użytkownicy wypłacą katalog główny.
Aby zaimplementować wyliczanie oparte na dostępie w tym scenariuszu, wykonaj następujące czynności:
  1. Zaloguj się do systemu Windows Server 2003 za pomocą poświadczeń administracyjnych.
  2. Użyj narzędzia Cacls, aby ustawić odpowiednie listy kontroli dostępu (ACL) w łączach systemu plików DFS. (Narzędzie cacls jest dostępne w systemie Windows Server 2003). Na przykład Ustaw listę ACL na linku taką samą jak lista ACL w obiekcie docelowym linku. W związku z tym, jeśli \\dfs-share\users\johndoe linki do elementu docelowego o nazwie \\server1\share1\johndoe, Utwórz listę ACL na \\dfs-share\users\johndoe taką samą jak lista ACL na \\server1\share1\johndoe. Jeśli obiekt docelowy znajduje się na komputerze z systemem Windows, wpisz polecenie cacls w wierszu polecenia, aby zweryfikować listę ACL. Aby uzyskać więcej informacji na temat narzędzia Cacls, wpisz polecenie cacls/? w wierszu polecenia.
  3. Stosowanie właściwości wyliczenia opartej na dostępie w każdym udziale głównym za pomocą narzędzia ABEUI. Uwaga Ustaw właściwość wyliczenia opartego na dostępie w każdym replikowanym udziale głównym.
  4. Gdy tylko katalog główny domeny i linki zostaną zreplikowane, użyj narzędzia Cacls w celu ręcznego ustawienia list ACL na replikowanych łączach. Powtórz ten krok dla wszystkich replik. Najpierw upewnij się, że katalog główny i linki zostały w pełni zreplikowane w miejscu docelowym.
  5. W środowisku klastra po przełączeniu węzła do innego węzła system plików DFS usuwa wszystkie linki DFS i ponownie tworzy je w każdym przypadku pracy awaryjnej. Gdy nastąpi przejście do trybu failover, listy ACL muszą być ponownie zastosowane do linków. Aby automatycznie ponownie zastosować linki po przełączeniu do trybu failover, wykonaj następujące czynności:
    1. W konsoli administratora klastrów Utwórz zasób skryptu. Upewnij się, że ten nowy zasób jest częścią tej samej grupy co system plików DFS i udział w zasobach.
    2. Dodaj zasób skrypt do zasobu skryptu, który ustawia listy ACL dla każdego łącza systemu plików DFS.
    3. Tworzenie nowego zasobu skryptu zależnego od zasobu DFS. Ten krok zapewnia, że nowy zasób skryptu będzie uruchomiony tylko po utworzeniu linków DFS w nowym węźle.
    4. Przełącz grupę w tryb offline, a następnie ponownie umieść grupę w trybie online, aby upewnić się, że nowy zasób skryptu działa.
  6. Uruchom ponownie usługę rozproszonego systemu plików (DFS). W tym celu wykonaj następujące czynności:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg cmd, a następnie kliknij przycisk OK.
    2. Wpisz net stop system plików DFS, a następnie naciśnij klawisz ENTER.
    3. Wpisz net start DFS, a następnie naciśnij klawisz ENTER.
Po wykonaniu tych czynności tylko te linki systemu plików DFS, do których użytkownik ma prawa dostępu, są wyświetlane po wyliczeniu katalogu głównego.Czasami listy ACL łączy są resetowane i muszą być stosowane ponownie. Listy kontroli dostępu są resetowane w następujących scenariuszach:
  • Katalog główny DFS jest przywracany przy użyciu narzędzia DFS (program Dfsutil. exe). Listy ACL łączy DFS nie są zachowywane i zostaną zresetowane.
  • Katalogi główne systemu plików DFS są eksportowane, a następnie importowane do innej lokalizacji. Listy ACL łączy DFS nie są zachowywane i zostaną zresetowane.
  • Po dodaniu nowego elementu docelowego katalogu głównego DFS łącza nie odbierają odpowiednich list ACL, ponieważ łącza są tworzone po raz pierwszy.
  • Jeśli zmienisz nazwę linku DFS, usługa DFS usunie i ponownie utworzy link. Lista ACL w łączu jest resetowana.
  • Jeśli usuniesz linki wielu składników, system plików DFS usunie wszystkie puste katalogi pośrednie. Po usunięciu katalogu lista ACL ustawiona w katalogu zostaje utracona. Po utworzeniu nowego linku do składnika wielokrotnego, korzystając z tej samej ścieżki, należy ponownie zastosować wszystkie listy ACL w katalogach pośrednich.
Uwaga Jeśli wyliczanie oparte na dostępie nie spełnia oczekiwań w ramach łączy DFS, należy najpierw sprawdzić listy ACL w łączach DFS, korzystając z narzędzia Cacls.Jeśli lista ACL w łączu DFS nie jest ustawiona jako zgodna z listą ACL w obiekcie docelowym, mogą być spełnione następujące warunki:
  • Jeśli lista ACL w łączu jest bardziej restrykcyjna niż lista ACL w obiekcie docelowym, łącze nie zostanie wyświetlone. Jednak jeśli użytkownik zna nazwę linku, użytkownik może zlokalizować odpowiednią ścieżkę i wyświetlić zawartość elementu docelowego.
  • Jeśli lista ACL na łączu jest mniej restrykcyjna niż lista ACL w obiekcie docelowym, łącze zostanie wyświetlone. Jednak po znalezieniu łącza użytkownik widzi komunikat "odmowa dostępu".