Як реалізувати нумерацію на основі Windows Server 2003 у середовищі DFS


ОСНОВНІ ВІДОМОСТІ


У цій статті описано, як впровадити нумерацію на основі Microsoft Windows Server 2003 у середовищі DFS. Якщо ввімкнуто нумерацію на основі доступу, Windows не відображає файли або папки, у яких користувач не має прав на доступ.

Додаткові відомості


Розглянемо такий сценарій:
  • Ви розгортаєте корінь розподіленої файлової системи (DFS) під назвою \\dfs-share\users. Деякі посилання DFS існують під кореневим полем.
  • Ці посилання DFS представляють домашні каталоги кількох користувачів.
  • Ви хочете ввімкнути перелічення на основі доступу в кореневому каталозі \\dfs-share\users, щоб користувачі могли переглядати лише їхні домашні каталоги, коли користувачі нумерують корінь.
Щоб здійснити перелічення на основі доступу в цьому сценарії, виконайте наведені нижче дії.
  1. Скористайтеся адміністративними обліковими даними для входу в Windows Server 2003.
  2. Використовуйте утиліту Cacls, щоб установити відповідні списки керування доступом (ACL) у посиланнях DFS. (Утиліта Cacls входить до складу Windows Server 2003.) Наприклад, щоб отримати ACL-посилання на посиланні так само, як у списку ACL на цільовому посиланні. Тому, якщо \\dfs-share\users\johndoe посилається на ціль з іменем \\server1\share1\johndoe, зробіть список ACL на \\dfs-share\users\johndoe так само, як у списку ACL на \\server1\share1\johndoe. Якщо ціль міститься на комп'ютері під керуванням ОС Windows, введіть у командному рядку команду Cacls , щоб перевірити список ACL. Щоб отримати докладніші відомості про утиліту Cacls, введіть у командному рядку команду Cacls/? .
  3. Застосування властивості "перерахування на основі Access" для кожної кореневої частки за допомогою утиліти АБЕВАЇ. Примітка. Установлення властивості "перерахування на основі доступу" для кожної реплікованої кореневої частки.
  4. Як тільки корінь домену та посилання реплікуються, використовуйте утиліту Cacls, щоб вручну налаштувати списки ACL на реплікованих посиланнях. Повторіть цей крок для всіх реплік. Однак Спочатку переконайтеся, що корінь та посилання було повністю репліковано на цільовому.
  5. У кластерному середовищі, коли вузол не зазнає іншого вузла, програма DFS видаляє всі зв'язки з DFS і відтворює їх під час кожного відновлення. Коли відбувається відновлення після відмови, списки керування доступом потрібно повторно застосувати до посилань. Щоб автоматично повторно застосувати посилання після відмови, виконайте наведені нижче дії.
    1. У консолі адміністратора кластера створіть ресурс сценарію. Переконайтеся, що цей новий ресурс є частиною тієї самої групи, що й "DFS", а також ресурси для спільного використання.
    2. Додайте ресурс сценарію до ресурсу сценарію, який установлює списки ACL для кожного посилання в службі DFS.
    3. Створення нового сценарію ресурсу, залежного від ресурсу DFS. Цей крок гарантує, що новий ресурс сценарію запускається лише після того, як посилання DFS створюватимуться на новому вузлі.
    4. Відкрийте групу в автономному режимі, а потім знову помістіть групу в онлайновий режим, щоб переконатися, що новий ресурс сценарію працює.
  6. Перезапустіть службу розподіленої файлової системи (DFS). Для цього виконайте описані нижче дії.
    1. Натисніть кнопку Пуск, виберіть команду виконати, введіть CMD, а потім натисніть кнопку OK.
    2. Введіть чистий Stop DFS, а потім натисніть клавішу ВВІД.
    3. Введіть чистий початок DFS, а потім натисніть клавішу ВВІД.
Після виконання цих дій лише ті посилання DFS, які користувач має права на доступ, відображатимуться, коли корінь буде перелічане.Іноді посилання на списки ACL на посиланнях буде скинуто, і їх потрібно повторно застосувати. Списки ACL скинуті в таких ситуаціях:
  • Корінь ДФС відновлено за допомогою утиліти DFS (ffsutil. exe). Списки ACL для посилань у службі DFS не зберігаються та скинуті.
  • Коріння DFS експортуються, а потім імпортуються до іншого розташування. Списки ACL для посилань у службі DFS не зберігаються та скинуті.
  • Якщо додати нову кореневу цільову мережу DFS, посилання не отримають відповідні списки керування доступом, тому що посилання створюються вперше.
  • Якщо перейменувати посилання в службі DFS, служба DFS видалить та відтворює посилання. Список керування ДОСТУПОМ за посиланням буде скинуто.
  • Якщо видалити посилання для кількох компонентів, програма DFS видаляє всі порожні проміжні каталоги. Коли каталог видалено, на будь-якому ACL-каталозі, який було настроєно на каталог, втрачається. Коли ви створюєте нове багатокомпонентне посилання, використовуючи той самий шлях, потрібно повторно застосувати всі списки ACL в проміжних каталогах.
Примітка. Під час перерахування на основі Access не виконується відповідно до посилань у службі DFS, спочатку перегляньте посилання на списки керування доступом до посилань на веб-програми, використовуючи утиліту Cacls.Якщо ACL-посилання на посиланні DFS не настроєно відповідно до ACL-об'єкта в цільовому списку, такі умови можуть бути істинними:
  • Якщо ACL-посилання на посиланні більш обмежувальний, ніж ACL-об'єкт на цільовому екрані, посилання не відображатиметься. Однак, якщо користувач знає ім'я посилання, користувач може знайти відповідний шлях і переглянути вміст цільового значення.
  • Якщо ACL-посилання на посиланні менше обмежувальний, ніж ACL-об'єкт на цільовому екрані, відображається посилання. Однак, коли користувач знаходить посилання, користувач бачить повідомлення "відмовлено в доступі".