Access based enumeration windows 2008 r2

Содержание
  1. Использование унаследованных разрешений с перечислением на основе доступа Using inherited permissions with Access-based Enumeration
  2. Преимущества и ограничения унаследованных разрешений Advantages and limitations of inherited permissions
  3. Использование унаследованных разрешений Using inherited permissions
  4. Переключение с явных разрешений на унаследованные разрешения To switch from explicit permissions to inherited permissions
  5. Access based enumeration windows 2008 r2
  6. Вопрос
  7. Ответы
  8. Все ответы
  9. Enable access-based enumeration on a namespace
  10. To enable access-based enumeration by using the Windows interface
  11. To enable access-based enumeration by using a command line
  12. To control folder visibility by using the Windows interface
  13. To control folder visibility by using a command line
  14. Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace
  15. Включение перечисления на основе доступа с помощью интерфейса Windows To enable access-based enumeration by using the Windows interface
  16. Включение перечисления на основе доступа с помощью командной строки To enable access-based enumeration by using a command line
  17. Управление видимостью папки с помощью интерфейса Windows To control folder visibility by using the Windows interface
  18. Управление видимостью папки с помощью командной строки To control folder visibility by using a command line

Использование унаследованных разрешений с перечислением на основе доступа Using inherited permissions with Access-based Enumeration

Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. By default, the permissions used for a DFS folder are inherited from the local file system of the namespace server. Разрешения наследуются от корневого каталога системного диска и предоставляют группе «Пользователи домена» \ разрешения на чтение. The permissions are inherited from the root directory of the system drive and grant the DOMAIN\Users group Read permissions. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми всем пользователям домена. As a result, even after enabling access-based enumeration, all folders in the namespace remain visible to all domain users.

Преимущества и ограничения унаследованных разрешений Advantages and limitations of inherited permissions

Существует два основных преимущества использования унаследованных разрешений для управления тем, кто из пользователей может просматривать папки в пространстве имен DFS: There are two primary benefits to using inherited permissions to control which users can view folders in a DFS namespace:

Несмотря на преимущества, с унаследованными разрешениями в пространствах имен DFS связан ряд ограничений, которые делают их неприменимыми для большинства сред: Despite the benefits, inherited permissions in DFS Namespaces have many limitations that make them inappropriate for most environments:

При использовании унаследованных разрешений проще всего задать разрешения для корней пространства имен и папок без конечных объектов. When using inherited permissions, it is simplest to set permissions on namespace roots and folders without targets. Затем эти унаследованные разрешения можно использовать для папок с конечными объектами, чтобы они наследовали все разрешения от своих родителей. Then use inherited permissions on folders with targets so that they inherit all permissions from their parents.

Использование унаследованных разрешений Using inherited permissions

Чтобы ограничить круг пользователей, которые могут просматривать папку DFS, необходимо выполнить одну из следующих задач: To limit which users can view a DFS folder, you must perform one of the following tasks:

Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS папки с конечными объектами. Access-based enumeration does not prevent users from obtaining a referral to a folder target if they already know the DFS path of the folder with targets. Разрешения, заданные с помощью проводника или команды Icacls для корней пространства имен или папок без конечных объектов, определяют, могут ли пользователи получать доступ к папке DFS или корню пространства имен. Permissions set using Windows Explorer or the Icacls command on namespace roots or folders without targets control whether users can access the DFS folder or namespace root. Однако они не мешают пользователям получить непосредственный доступ к папке с конечными объектами. However, they do not prevent users from directly accessing a folder with targets. Запретить доступ пользователя к конечным объектам папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самой общей папке. Only the share permissions or the NTFS file system permissions of the shared folder itself can prevent users from accessing folder targets.

Переключение с явных разрешений на унаследованные разрешения To switch from explicit permissions to inherited permissions

В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните эту папку правой кнопкой мыши и выберите Свойства. In the console tree, under the Namespaces node, locate the folder with targets whose visibility you want to control, right-click the folder and then click Properties.

Перейдите на вкладку Дополнительно. Click the Advanced tab.

Нажмите кнопку Наследовать разрешения из локальной файловой системы, а затем нажмите кнопку ОК в диалоговом окне Подтвердите использование унаследованных разрешений. Click Use inherited permissions from the local file system and then click OK in the Confirm Use of Inherited Permissions dialog box. При этом будут удалены все явно заданные разрешения для этой папки и будут восстановлены унаследованные разрешения NTFS из локальной файловой системы сервера пространства имен. Doing this removes all explicitly set permissions on this folder, restoring inherited NTFS permissions from the local file system of the namespace server.

Чтобы изменить унаследованные разрешения для папок или корней пространства имен в пространстве имен DFS, используйте проводник или команду ICacls. To change the inherited permissions for folders or namespace roots in a DFS namespace, use Windows Explorer or the ICacls command.

Источник

Access based enumeration windows 2008 r2

Вопрос

but after creating that namespace, then via DFS console when i want to create second and any other namespace, this option Enable windows server 2008 mode is available and selectable.

Читайте также:  Playerxtreme media player для windows

my DFL and FFL are both 2008 R2

no other DC or client present in my test network

Ответы

I just tried it in my test domain.

Yes I receive the same » problem» ( Access-based enumeration is grayed out) using the initial wizard. I cant really see that this would be a big problem. You could just select to setup your Namespaces after the wizard completes, where both you and I can select ABE.

So my guess is that you either live with it and dont use the first wizard or open a ticket with Microsoft. But I personally like using DNS names instead of NetBIOS name for DFS namespace servers, so I cant really see that this is a problem at all.

For more information on how to use FQDN for DFS Namespace servers.

Все ответы

We have to set checkbox while creating the namespace for this feature to be supported. Otherwise the namespace would run in Windows 2000 Server mode.

and if you any further quires on DFS post your thread in File Services and Storage. some one can help you on it.

Gopi Kiran |Facebook| This posting is provided AS IS with no warranties,and confers no rights.

We have to set checkbox while creating the namespace for this feature to be supported. Otherwise the namespace would run in Windows 2000 Server mode.

and if you any further quires on DFS post your thread in File Services and Storage. some one can help you on it.

Gopi Kiran |Facebook| This posting is provided AS IS with no warranties,and confers no rights.

hi Gopi, thank you, but you didn’t pay attention to my question. read my question again carefully.

but after creating that namespace, then via DFS console when i want to create second and any other namespace, this option Enable windows server 2008 mode is available and selectable.

my DFL and FFL are both 2008 R2

no other DC or client present in my test network

I just tried it in my test domain.

Yes I receive the same » problem» ( Access-based enumeration is grayed out) using the initial wizard. I cant really see that this would be a big problem. You could just select to setup your Namespaces after the wizard completes, where both you and I can select ABE.

So my guess is that you either live with it and dont use the first wizard or open a ticket with Microsoft. But I personally like using DNS names instead of NetBIOS name for DFS namespace servers, so I cant really see that this is a problem at all.

For more information on how to use FQDN for DFS Namespace servers.

I just tried it in my test domain.

Yes I receive the same » problem» ( Access-based enumeration is grayed out) using the initial wizard. I cant really see that this would be a big problem. You could just select to setup your Namespaces after the wizard completes, where both you and I can select ABE.

So my guess is that you either live with it and dont use the first wizard or open a ticket with Microsoft. But I personally like using DNS names instead of NetBIOS name for DFS namespace servers, so I cant really see that this is a problem at all.

For more information on how to use FQDN for DFS Namespace servers.

thank you very much for reply

hi Oscar, thank you. but i don’t know how to merg that. please guide me ( i am new to forums )

As for the ABE question, I believe Oscar already answered it in the other thread, that Oscar posted (quoted). Does that help you out?

I would like to add, that I believe you must enable DFS and establish the namespace and targets FIRST, before you can enable ABE, otherwise there is no target yet to enable it on, if that makes sense?

Here’s an additional reference:

This posting is provided AS-IS with no warranties or guarantees and confers no rights.

hi Oscar, thank you. but i don’t know how to merg that. please guide me ( i am new to forums )

John, merging two threads can only be done by a Moderator, such as Tiger. I’m sure if Tiger reads this, he may take care of it.

As for the ABE question, I believe Oscar already answered it in the other thread, that Oscar posted (quoted). Does that help you out?

I would like to add, that I believe you must enable DFS and establish the namespace and targets FIRST, before you can enable ABE, otherwise there is no target yet to enable it on, if that makes sense?

Here’s an additional reference:

This posting is provided AS-IS with no warranties or guarantees and confers no rights.

I’ve experienced the same issue except that even after installing DFS the option is still greyed out. I’ve checked the operation of DFS using dfsdiag and also ran a dcdiag and all basic tests come back OK. I upgraded both DFL and FFL to 2008 R2 successfully and they are reporting as such. I’ve also reinstalled DFS on all the file servers since it’s not in production (thank goodness). No joy, every time I try to create a namespace the option for Windows Server 2008 mode is greyed out!

Does anyone know of anything else I can check to resolve this?

I’ve experienced the same issue except that even after installing DFS the option is still greyed out. I’ve checked the operation of DFS using dfsdiag and also ran a dcdiag and all basic tests come back OK. I upgraded both DFL and FFL to 2008 R2 successfully and they are reporting as such. I’ve also reinstalled DFS on all the file servers since it’s not in production (thank goodness). No joy, every time I try to create a namespace the option for Windows Server 2008 mode is greyed out!

Does anyone know of anything else I can check to resolve this?

Читайте также:  Windows azure vpn client

I assume you’re logged on as an Enterprise Admin?

This post is provided AS-IS with no warranties or guarantees and confers no rights.

Источник

Enable access-based enumeration on a namespace

Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Access-based enumeration hides files and folders that users do not have permissions to access. By default, this feature is not enabled for DFS namespaces. You can enable access-based enumeration of DFS folders by using DFS Management. To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.

To enable access-based enumeration on a namespace, all namespace servers must be running Windows ServerВ 2008 or newer. Additionally, domain-based namespaces must use the Windows ServerВ 2008 mode. For information about the requirements of the Windows ServerВ 2008 mode, see Choose a Namespace Type.

In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.

If you upgrade the domain functional level to Windows ServerВ 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows ServerВ 2008 mode. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.

To use access-based enumeration with DFS Namespaces, you must follow these steps:

Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. For more information, see Using Inherited Permissions with Access-Based Enumeration

To enable access-based enumeration by using the Windows interface

Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.

To enable access-based enumeration by using a command line

Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Type the following command, where is the root of the namespace:

To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. The DFSN Windows PowerShell module was introduced in Windows Server 2012.

You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.

To control folder visibility by using the Windows interface

In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.

Click the Advanced tab.

Click Set explicit view permissions on the DFS folder and then Configure view permissions.

Add or remove groups or users by clicking Add or Remove.

To allow users to see the DFS folder, select the group or user, and then select the Allow check box.

To hide the folder from a group or user, select the group or user, and then select the Deny check box.

To control folder visibility by using a command line

Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):

For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:

To perform additional tasks from the command prompt, use the following commands:

Источник

Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace

Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Перечисление на основе доступа позволяет скрыть файлы и папки, на доступ к которым у пользователей нет разрешения. Access-based enumeration hides files and folders that users do not have permissions to access. По умолчанию для пространств имен DFS эта функция отключена. By default, this feature is not enabled for DFS namespaces. Включить перечисление на основе доступа для папок DFS можно с помощью оснастки «Управление DFS». You can enable access-based enumeration of DFS folders by using DFS Management. Для управления перечислением на основе доступа файлов и папок в конечных объектах папок необходимо включить перечисление на основе доступа в каждой общей папке с помощью оснастки «Управление общими ресурсами и хранилищами». To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.

Для включения перечисления на основе доступа для пространства имен все серверы пространства имен должны работать под управлением Windows Server 2008 или более поздней версии. To enable access-based enumeration on a namespace, all namespace servers must be running Windows Server 2008 or newer. Кроме того, для доменных пространств имен должен использоваться режим Windows Server 2008. Additionally, domain-based namespaces must use the Windows Server 2008 mode. Сведения о требованиях режима Windows Server 2008 см. в разделе Выбор типа пространства имен. For information about the requirements of the Windows Server 2008 mode, see Choose a Namespace Type.

Читайте также:  Asus x556u тачпад windows 7

В некоторых средах включение перечисления на основе доступа может привести к высокой загрузке ЦП на сервере и замедлением отклика для пользователей. In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.

Если вы обновите режим работы домена до Windows Server 2008 при наличии существующих доменных пространств имен, оснастка «Управление DFS» позволит включить перечисление на основе доступа для этих пространств имен. If you upgrade the domain functional level to Windows Server 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. Однако вы не сможете редактировать разрешения для скрытия папок от каких-либо групп или пользователей, если перенесете пространство имен в режим Windows Server 2008. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows Server 2008 mode. Дополнительные сведения см. в разделе Перенос доменного пространства имен в режим Windows Server 2008. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.

Чтобы использовать перечисление на основе доступа с пространствами имен DFS, необходимо выполнить следующие действия: To use access-based enumeration with DFS Namespaces, you must follow these steps:

Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS. Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Помешать доступу пользователя к конечному объекту папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самому конечному объекту папки (общей папке). Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. Разрешения для папок DFS используются только для отображения или скрытия папок DFS, а не для управления доступом, что делает доступ на чтение единственным применимым разрешением на уровне папки DFS. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. Дополнительные сведения см. в разделе Использование унаследованных разрешений с перечислением на основе доступа For more information, see Using Inherited Permissions with Access-Based Enumeration

Включение перечисления на основе доступа с помощью интерфейса Windows To enable access-based enumeration by using the Windows interface

Перейдите на вкладку Дополнительно и установите флажок Включить перечисление на основе доступа для этого пространства имен. Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.

Включение перечисления на основе доступа с помощью командной строки To enable access-based enumeration by using a command line

Откройте окно командной строки на сервере, где установлена служба роли Распределенная файловая система или компонент Средства распределенной файловой системы. Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Введите следующую команду, где является корнем пространства имен: Type the following command, where is the root of the namespace:

Для управления перечислением на основе доступа для пространства имен с помощью Windows PowerShell используйте командлеты Set-DfsnRoot, Grant-DfsnAccess и Revoke-DfsnAccess. To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. Модуль DFSN Windows PowerShell был введен в Windows Server 2012. The DFSN Windows PowerShell module was introduced in Windows Server 2012.

Управлять тем, какие пользователи и группы могут просматривать отдельные папки DFS, можно с помощью интерфейса Windows или с помощью командной строки. You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.

Управление видимостью папки с помощью интерфейса Windows To control folder visibility by using the Windows interface

В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните ее правой кнопкой мыши и выберите Свойства. In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.

Перейдите на вкладку Дополнительно. Click the Advanced tab.

Нажмите кнопку Задать явные разрешения на просмотр для папки DFS и затем Настроить разрешения просмотра. Click Set explicit view permissions on the DFS folder and then Configure view permissions.

Добавьте или удалите группы или пользователей, нажимая кнопку Добавить или Удалить. Add or remove groups or users by clicking Add or Remove.

Чтобы разрешить пользователям видеть папку DFS, выберите группу или пользователя и установите флажок Разрешить. To allow users to see the DFS folder, select the group or user, and then select the Allow check box.

Чтобы скрыть папку от группы или пользователя, выберите группу или пользователя и установите флажок Запретить. To hide the folder from a group or user, select the group or user, and then select the Deny check box.

Управление видимостью папки с помощью командной строки To control folder visibility by using a command line

Введите следующую команду, где * дфспас* — путь к папке DFS (Link), является именем группы или учетной записи пользователя, а (. ) заменяется дополнительными записями управления доступом (ACE): Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):

Например, чтобы заменить существующие разрешения на разрешения, которые позволяют группам «Администраторы домена» и » \ преподаватели Contoso» читать (R) доступ к \ папке contoso. оффице\публик\траининг, введите следующую команду: For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:

Для выполнения дополнительных задач в командной строке используйте следующие команды: To perform additional tasks from the command prompt, use the following commands:

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector