Activer l’énumération basée sur l’accès sur un espace de noms

  • Article
  • 4 minutes de lecture

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

L’énumération basée sur l’accès masque les fichiers et dossiers auxquels les utilisateurs n’ont pas les autorisations d’accès. Par défaut, cette fonctionnalité n’est pas activée pour les espaces de noms DFS. Vous pouvez activer l’énumération basée sur l’accès des dossiers DFS à l’aide de la gestion DFS. Pour contrôler l’énumération basée sur l’accès des fichiers et dossiers dans les cibles de dossiers, vous devez activer l’énumération basée sur l’accès sur chaque dossier partagé à l’aide de la gestion des partages et du stockage.

Pour activer l’énumération basée sur l’accès sur un espace de noms, tous les serveurs d’espace de noms doivent exécuter Windows Server 2008 ou version ultérieure. En outre, les espaces de noms basés sur un domaine doivent utiliser le mode Windows Server 2008. Pour plus d’informations sur la configuration requise du mode Windows Server 2008, consultez Choisir un type d’espace de noms.

Dans certains environnements, l’activation de l’énumération basée sur l’accès peut entraîner une utilisation élevée du processeur sur le serveur et des temps de réponse lents pour les utilisateurs.

Notes

Si vous mettez à niveau le niveau fonctionnel du domaine vers Windows Server 2008 alors qu’il existe des espaces de noms basés sur un domaine, la gestion DFS vous permet d’activer l’énumération basée sur l’accès sur ces espaces de noms. Toutefois, vous ne pourrez pas modifier les autorisations pour masquer les dossiers des groupes ou des utilisateurs, sauf si vous migrez les espaces de noms vers le mode Windows Server 2008. Pour plus d’informations, consultez Migrer un espace de noms basé sur un domaine vers le mode Windows Server 2008.

Pour utiliser l’énumération basée sur l’accès avec les espaces de noms DFS, vous devez suivre les étapes suivantes :

  • Activer l’énumération basée sur l’accès sur un espace de noms
  • Contrôler les utilisateurs et les groupes qui peuvent afficher des dossiers DFS individuels

Avertissement

L’énumération basée sur l’accès n’empêche pas les utilisateurs d’obtenir une référence à une cible de dossier s’ils connaissent déjà le chemin DFS. Seules les autorisations de partage ou les autorisations de système de fichiers NTFS de la cible de dossier (dossier partagé) peuvent empêcher les utilisateurs d’accéder à une cible de dossier. Les autorisations de dossier DFS sont utilisées uniquement pour afficher ou masquer des dossiers DFS, et non pour contrôler l’accès, ce qui fait de l’accès en lecture la seule autorisation pertinente au niveau du dossier DFS. Pour plus d’informations, consultez Utilisation d’autorisations héritées avec l’énumération Access-Based


Vous pouvez activer l’énumération basée sur l’accès sur un espace de noms à l’aide de l’interface Windows ou à l’aide d’une ligne de commande.

Pour activer l’énumération basée sur l’accès à l’aide de l’interface Windows

  1. Dans l’arborescence de la console, sous le nœud Espaces de noms , cliquez avec le bouton droit sur l’espace de noms approprié, puis cliquez sur Propriétés .

  2. Cliquez sur l’onglet Avancé , puis activez la case à cocher Activer l’énumération basée sur l’accès pour cet espace de noms .

Pour activer l’énumération basée sur l’accès à l’aide d’une ligne de commande

  1. Ouvrez une fenêtre d’invite de commandes sur un serveur sur lequel le service de rôle Système de fichiers distribué ou la fonctionnalité Outils du système de fichiers distribué est installée.

  2. Tapez la commande suivante, où< namespace_root> est la racine de l’espace de noms :

    dfsutil property abe enable \\ <namespace_root>

Conseil

Pour gérer l’énumération basée sur l’accès sur un espace de noms à l’aide de Windows PowerShell, utilisez les applets de commande Set-DfsnRoot, Grant-DfsnAccess et Revoke-DfsnAccess. Le module Windows PowerShell DFSN a été introduit dans Windows Server 2012.

Vous pouvez contrôler les utilisateurs et les groupes qui peuvent afficher des dossiers DFS individuels à l’aide de l’interface Windows ou d’une ligne de commande.

Pour contrôler la visibilité des dossiers à l’aide de l’interface Windows

  1. Dans l’arborescence de la console, sous le nœud Espaces de noms , recherchez le dossier avec les cibles pour lesquelles vous souhaitez contrôler la visibilité, cliquez dessus avec le bouton droit, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Avancé.

  3. Cliquez sur Définir les autorisations d’affichage explicite sur le dossier DFS , puis sur Configurer les autorisations d’affichage.

  4. Ajoutez ou supprimez des groupes ou des utilisateurs en cliquant sur Ajouter ou Supprimer.

  5. Pour permettre aux utilisateurs de voir le dossier DFS, sélectionnez le groupe ou l’utilisateur, puis activez la case à cocher Autoriser .

    Pour masquer le dossier d’un groupe ou d’un utilisateur, sélectionnez le groupe ou l’utilisateur, puis activez la case à cocher Refuser .

Pour contrôler la visibilité des dossiers à l’aide d’une ligne de commande

  1. Ouvrez une fenêtre d’invite de commandes sur un serveur sur lequel le service de rôle Système de fichiers distribué ou la fonctionnalité Outils du système de fichiers distribué est installée.

  2. Tapez la commande suivante, où <DFSPath> est le chemin d’accès du dossier DFS (lien), <DOMAIN\Account> est le nom du groupe ou du compte d’utilisateur et (...) est remplacé par des entrées Access Control (AES) supplémentaires :

    dfsutil property sd grant <DFSPath> DOMAIN\Account:R (...) Protect Replace

    Par exemple, pour remplacer les autorisations existantes par des autorisations qui permettent aux groupes Administrateurs de domaine et CONTOSO\Trainers d’accéder en lecture (R) au dossier \contoso.office\public\training, tapez la commande suivante :

    dfsutil property sd grant \\contoso.office\public\training "CONTOSO\Domain Admins":R CONTOSO\Trainers:R Protect Replace

  3. Pour effectuer des tâches supplémentaires à partir de l’invite de commandes, utilisez les commandes suivantes :

Commande Description
Propriété Dfsutil sd deny Refuse à un groupe ou à un utilisateur la possibilité d’afficher le dossier.
Dfsutil property sd reset Supprime toutes les autorisations du dossier.
Dfsutil property sd revoke Supprime un ace de groupe ou d’utilisateur du dossier.

Références supplémentaires