DFS复制和SYSTEM用户（NTFS权限）

我在Google或Technet上找不到答案的问题...

向SYSTEM用户授予DFS共享文件和文件夹的权限是否对DFS复制有任何影响？（虽然我们在这，有没有什么好的理由不能让SYSTEM有权限的DFS共享文件？）

之所以出现这个问题，是因为我有一个DFS命名空间和文件夹集合，无法解决其他人的问题，并且在解决一个DFS副本由于某种不明确的原因而无法与另一个DFS副本进行复制的问题时，我注意到SYSTEM帐户没有授予相关文件夹中任何文件或文件夹的任何权限。

因此，我开始SYSTEM进行完全控制并将其传播给我们，我们的DFS运行状况诊断报告从显示积压的〜80个文件变成了积压的〜100,000个...，事情开始复制，包括许多丢失的文件在一台服务器或另一台服务器上（不仅是权限更改开始复制）。

自然，这让我好奇DFS是否需要该SYSTEM帐户具有执行其工作的权限，或者也许仅仅是有关文件夹树的任何更改促使DFS采取了行动。如果重要的话，我们的DFS命名空间是在2000/2003下设置的，而我最近刚刚完成了将所有服务器升级到2008 R2或2012（启用UAC，已崩溃）的工作，但还没有解决提高DFS命名空间功能的问题。级别到Server 2008。

（如果有人拥有有关NTFS文件权限的Microsoft官方文章以及SYSTEM与DFS或网络文件有关的帐户，则可获得积分奖励。）

Technet上的该线程表示SYSTEM需要完全控制。但是，这不是一个非常正式的消息来源，进一步的测试证明这是错误的。

DFS复制服务

我使用Process Explorer查看了Server 2008R2计算机上的DFS服务。分布式文件系统复制服务dfsrs.exe以“ NT Authority \ SYSTEM”运行。但是，它具有SeBackupPrivilege和SeRestorePrivilege：

来自Microsoft特权常量：

SeBackupPrivilege-执行备份操作所需。此特权使系统将所有读取访问控制授予任何文件，而与为文件指定的访问控制列表（ACL）无关。除读取以外的任何访问请求仍将通过ACL进行评估。3

SeRestorePrivilege-执行还原操作所需。此特权使系统授予对任何文件的所有写访问控制权，而不管为该文件指定的ACL如何。除写入外，其他访问请求仍将通过ACL进行评估。此外，使用此特权，您可以将任何有效的用户或组SID设置为文件的所有者。

有了这些权限，DFS复制服务就可以忽略任何文件权限-为其授予对任意文件的读取，写入和设置权限的权限。

测试中

我在一个DFS共享中创建了一个文件夹，其中包含几个文件，将我的帐户设置为所有者，并删除了除我的帐户以外的所有权限。

DFS毫无问题地将其复制到所有其他服务器，并且所有副本具有相同的权限。

因此，DFS不依赖于任何文件系统权限来复制。

我怀疑在您的情况下，仅对文件进行任何更改都会导致DFS唤醒并看到它们需要复制。首先不知道是什么原因导致了这种情况。

根据Microsoft http://support.microsoft.com/kb/120929的这篇文章， “系统帐户和管理员帐户（Administrators组）具有相同的文件特权，但是它们具有不同的功能。”

这意味着系统帐户与本地管理员相同，并且存在该帐户是为了以管理员权限运行系统服务而无需密码。DFS-R中的复制过程是使用此帐户执行的。

系统用户在文件系统或DFS设置中没有特殊意义，与常规管理员没有任何区别。但是，这可能会引起混乱，因为Windows Admins并不总是以管理特权运行，具体取决于调用程序或外壳程序的方式，而系统帐户则可能总是以升级/管理令牌运行。我猜想您的DFS设置只是错误的，修改ACL可能导致进行了一些系统调用，或者打开/刷新了文件句柄，从而使众所周知的蜘蛛网关闭了。