Activer l’énumération basée sur l’accès pour un espace de noms

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

L’énumération basée sur l’accès masque les fichiers et dossiers auxquels les utilisateurs ne disposent pas d’autorisations d’accès. Par défaut, cette fonctionnalité n’est pas activée pour les espaces de noms DFS. Vous pouvez activer l’énumération basée sur l’accès des dossiers DFS en utilisant DFS Management. Pour contrôler l’énumération basée sur l’accès des fichiers et dossiers dans les cibles de dossiers, vous devez activer l’énumération basée sur l’accès sur chaque dossier partagé en utilisant la gestion du partage et du stockage.

Pour activer l’énumération basée sur l’accès pour un espace de noms, tous les serveurs d’espaces de noms doivent exécuter Windows Server 2008 ou version ultérieure. En outre, les espaces de noms basés sur un domaine doivent utiliser le mode Windows Server 2008. Pour plus d’informations sur les exigences du mode Windows Server 2008, consultez Choisir un type d’espace de noms.

Dans certains environnements, l’activation de l’énumération basée sur l’accès peut entraîner une utilisation élevée du processeur sur le serveur et des temps de réponse ralentis pour les utilisateurs.

Notes

Si vous mettez à niveau le niveau fonctionnel du domaine vers Windows Server 2008 alors qu’il existe des espaces de noms basés sur un domaine, DFS Management vous permet d’activer l’énumération basée sur l’accès pour ces espaces de noms. Toutefois, vous ne pourrez pas modifier les autorisations pour masquer les dossiers à un groupe ou un utilisateur, sauf si vous migrez les espaces de noms vers le mode Windows Server 2008. Pour plus d’informations, consultez Migrer un espace de noms de domaine vers le mode Windows Server 2008.

Pour utiliser l’énumération basée sur l’accès avec des espaces de noms DFS, vous devez suivre les étapes suivantes :

  • Activer l’énumération basée sur l’accès pour un espace de noms
  • Contrôler les utilisateurs et les groupes qui peuvent voir des dossiers DFS individuels

Avertissement

L’énumération basée sur l’accès n’empêche pas les utilisateurs d’obtenir une référence à une cible de dossier s’ils connaissent déjà le chemin DFS. Seules les autorisations de partage ou les autorisations de système de fichiers NTFS de la cible de dossier (dossier partagé) elle-même peuvent empêcher les utilisateurs d’accéder à une cible de dossier. Les autorisations de dossier DFS sont utilisées uniquement pour afficher ou masquer des dossiers DFS, et non pour contrôler l’accès, ce qui fait de l’accès en lecture la seule autorisation pertinente au niveau des dossiers DFS. Pour plus d’informations, consultez Utilisation d’autorisations héritées avec l’énumération basée sur l’accès.


Vous pouvez activer l’énumération basée sur l’accès pour un espace de noms en utilisant l’interface Windows ou une ligne de commande.

Pour activer l’énumération basée sur l’accès avec l’interface Windows

  1. Dans l’arborescence de la console, sous le nœud Espaces de noms, cliquez avec le bouton droit sur l’espace de noms approprié, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Avancé, puis cochez la case Activer l’énumération basée sur l’accès pour cet espace de noms.

Pour activer l’énumération basée sur l’accès avec une ligne de commande

  1. Ouvrez une fenêtre d’invite de commandes sur un serveur sur lequel le service de rôle Système de fichiers DFS ou la fonctionnalité Outils du système de fichiers DFS est installé.

  2. Tapez la commande suivante, où <namespace_root> est la racine de l’espace de noms :

    dfsutil property abe enable \\ <namespace_root>

Conseil

Pour gérer l’énumération basée sur l’accès pour un espace de noms avec Windows PowerShell, utilisez les applets de commande Set-DfsnRoot, Grant-DfsnAccess et Revoke-DfsnAccess. Le module Windows PowerShell DFSN a été introduit dans Windows Server 2012.

Vous pouvez contrôler quels utilisateurs et groupes peuvent voir des dossiers DFS individuels avec l’interface Windows ou une ligne de commande.

Pour contrôler la visibilité des dossiers avec l’interface Windows

  1. Dans l’arborescence de la console, sous le nœud Espaces de noms, recherchez le dossier avec des cibles dont vous souhaitez contrôler la visibilité, cliquez dessus avec le bouton droit, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Avancé.

  3. Cliquez sur Définir des autorisations d’affichage explicites sur le dossier DFS, puis sur Configurer les autorisations d’affichage.

  4. Ajoutez ou supprimez des groupes ou des utilisateurs en cliquant sur Ajouter ou Supprimer.

  5. Pour permettre aux utilisateurs de voir le dossier DFS, sélectionnez le groupe ou l’utilisateur, puis cochez la case Autoriser.

    Pour masquer le dossier à un groupe ou utilisateur, sélectionnez le groupe ou l’utilisateur, puis cochez la case Refuser.

Pour contrôler la visibilité des dossiers avec une ligne de commande

  1. Ouvrez une fenêtre d’invite de commandes sur un serveur sur lequel le service de rôle Système de fichiers DFS ou la fonctionnalité Outils du système de fichiers DFS est installé.

  2. Tapez la commande suivante, où <DFSPath> est le chemin d’accès du dossier DFS (lien), <DOMAIN\Account> est le nom du groupe ou du compte d’utilisateur et (...) est remplacé par des entrées de contrôle d’accès (ACE) supplémentaires :

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace

    Par exemple, pour remplacer les autorisations existantes par des autorisations qui autorisent les administrateurs de domaine et les groupes CONTOSO\Trainers à accéder en lecture (R) au dossier \contoso.office\public\training, tapez la commande suivante :

    dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace

  3. Pour effectuer des tâches supplémentaires à partir de l’invite de commandes, utilisez les commandes suivantes :

Commande Description
Dfsutil property sd deny Refuse à un groupe ou à un utilisateur la possibilité de voir le dossier.
Dfsutil property sd reset Supprime toutes les autorisations du dossier.
Dfsutil property sd revoke Supprime une entrée ACE de groupe ou d’utilisateur du dossier.

Références supplémentaires