DFS 复制和 SYSTEM 用户（NTFS 权限）

Question

我在 Google 或 Technet 上找不到答案的问题...

授予SYSTEM用户对 DFS 共享文件和文件夹的权限对 DFS 复制有任何影响吗？（虽然我们在这，有没有什么好的理由不能让SYSTEM有权限的DFS共享文件？）

它出现是因为我有一组 DFS 命名空间和文件夹，我无法解决其他人的问题，并且在解决一个 DFS 副本无缘无故无法与另一个 DFS 副本复制的问题时，我观察到SYSTEM帐户没有对相关文件夹中的任何文件或文件夹授予任何权限。

所以我设置SYSTEM了完全控制并向下传播，我们的 DFS 健康诊断报告从显示约 80 个文件的积压到约 100,000 个积压......事情开始复制，包括一些丢失的文件在一台服务器或另一台服务器上（因此不仅仅是权限更改开始复制）。

自然，这让我很好奇 DFS 是否需要该SYSTEM帐户具有执行其工作的权限，或者是否只是对相关文件夹树的任何更改促使 DFS 采取行动。如果重要的话，我们的 DFS 命名空间是在 2000/2003 下设置的，我最近刚刚完成将所有服务器升级到 2008 R2 或 2012（启用 UAC，blech），但还没有开始提高 DFS 命名空间的功能Server 2008 的级别。

（如果有人有关于 NTFS 文件权限和SYSTEM与 DFS 或网络文件有关的帐户的官方 Microsoft 文章，则可获得加分。）

Answer 1

technet 上的这个帖子说 SYSTEM 需要完全控制。然而，不是一个非常官方的来源，进一步的测试证明它是错误的。

DFS 复制服务

我使用 Process Explorer 查看了 Server 2008R2 机器上的 DFS 服务。dfsrs.exe，分布式文件系统复制服务，作为“NT Authority\SYSTEM”运行。但是，它具有SeBackupPrivilege和SeRestorePrivilege：

来自 Microsoft 特权常量：

SeBackupPrivilege - 需要执行备份操作。此特权会导致系统授予对任何文件的所有读取访问控制权，而不管为该文件指定的访问控制列表 (ACL)。除读取之外的任何访问请求仍使用 ACL 进行评估。3

SeRestorePrivilege - 需要执行还原操作。此特权使系统授予对任何文件的所有写访问控制，而不管为文件指定的 ACL。除写入之外的任何访问请求仍使用 ACL 进行评估。此外，此权限使您可以将任何有效的用户或组 SID 设置为文件的所有者。

使用这些权限，DFS 复制服务可以忽略任何文件权限 - 它被授予读取、写入和设置它喜欢的任何文件的权限。

测试

我在我的 DFS 共享之一中创建了一个文件夹，其中包含一些文件，将我的帐户设置为所有者，并删除了除我的帐户之外的所有权限。

DFS 毫无问题地将其复制到所有其他服务器，并且所有副本都具有相同的权限。

因此，DFS 不依赖于任何文件系统权限进行复制。

我怀疑在您的情况下，仅对文件进行任何更改都会导致 DFS 醒来并看到它们需要复制。不过，首先不知道是什么导致了这种情况。