blog

По просьбе трудящихся, попробую коротко рассказать о Access-based enumeration ставшей доступной в Windows Server 2008. Смысл технологии в том, что ссылки в корне DFS будут иметь связанный дескриптор безопасности, что позволит скрыть от пользователя те ссылки, на которые у него нету явных прав. Когда у вас в корне DFS присутствуют больше 100 ссылок на различные ресурсы, согласитесь это не очень удобно. Так же это дополнительное уселение безопасности за счет скрытия ресурсов от пользователя.
Что бы это работало, namespaces должен быть создан как «доменное пространство имен» с режимом работы DFS «Windows Server 2008″. Так же если namespaces создан как «изолированное пространство имен», но тогда это пространство должно находится на сервере под управлением Windows Server 2008. Вот в общем и все ограничения и рекомендации. Теперь я продемонстрирую минимум который необходим для включения Access-based enumeration и приведу пример его работы.
Для работы нам понадобится утилита dfsutil. Для включения Access-based enumeration необходимо сделать следующее:

Теперь мы подтвердим, что все сделали правильно:

Вот, все отлично, теперь дадим право чтения группам Study RO (res) и Study RW (res) на ссылку \\isea.ru\Study. для этого выполним следующую команду в конселе:

После такого не хитрого действия у нас группам Study RO (res) и Study RW (res) будет данную ссылку видно, а от всех остальных она скроется.
Так же хочу объяснить:
protect отключает наследование разрешений от родительского раздела, у корня DFS \\isea.ru\Treasury по умолчанию стоит что его могут читаться все, по этому если не применить protrct у нас ссылка не скроется.
replace заменяет все ранее выданные права, то же самое делает в общем dfsutil property acl reset только она полностью удаляет все разрешения, а replace их заменяет на указанные.
#— полезные ссылки:
Enable Access-Based Enumeration on a Namespace

Distributed File System

P.S. для Windows Server 2003 читаем следующее
How to implement Windows Server 2003 Access-based Enumeration in a DFS environment