Utilisation d’autorisations héritées avec l’énumération basée sur l’accès

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Par défaut, les autorisations utilisées pour un dossier DFS sont héritées du système de fichiers local du serveur d’espace de noms. Les autorisations sont héritées du répertoire racine du lecteur système et accordent au groupe DOMAINE\Utilisateurs des autorisations de lecture. Ainsi, même après avoir activé l’énumération basée sur l’accès, tous les dossiers de l’espace de noms restent visibles par tous les utilisateurs du domaine.

Avantages et limitations des autorisations héritées

L’utilisation d’autorisations héritées présente deux principaux avantages pour contrôler les utilisateurs qui peuvent afficher les dossiers dans un espace de noms DFS :

  • Vous pouvez rapidement appliquer des autorisations héritées à de nombreux dossiers sans avoir à utiliser de scripts.
  • Vous pouvez appliquer des autorisations héritées aux racines de l’espace de noms et aux dossiers sans cibles.

Malgré ces avantages, les autorisations héritées dans les espaces de noms DFS présentent de nombreuses limitations qui les rendent inappropriées pour la plupart des environnements :

  • Les modifications apportées aux autorisations héritées ne sont pas répliquées sur d’autres serveurs d’espaces de noms. Ainsi, utilisez des autorisations héritées uniquement sur des espaces de noms autonomes ou dans des environnements où vous pouvez implémenter un système de réplication tiers pour synchroniser les listes de contrôle d’accès (ACL) sur tous les serveurs d’espaces de noms.
  • DFS Management et Dfsutil ne peuvent pas afficher ou modifier les autorisations héritées. Vous devez donc utiliser l’Explorateur Windows ou la commande Icacls en plus de DFS Management ou Dfsutil pour gérer l’espace de noms.
  • Quand vous utilisez des autorisations héritées, vous ne pouvez pas modifier les autorisations d’un dossier avec des cibles, sauf avec la commande Dfsutil. Les espaces de noms DFS suppriment automatiquement les autorisations des dossiers avec des cibles définies au moyen d’autres outils ou méthodes.
  • Si vous définissez des autorisations sur un dossier avec des cibles alors que vous utilisez des autorisations héritées, la liste de contrôle d’accès que vous définissez sur le dossier avec des cibles se combine avec les autorisations héritées du parent du dossier dans le système de fichiers. Vous devez examiner les deux ensembles d’autorisations pour déterminer quelles sont les autorisations nettes.

Notes

Quand vous utilisez des autorisations héritées, il est plus simple de définir des autorisations sur les racines de l’espace de noms et les dossiers sans cibles. Utilisez ensuite les autorisations héritées sur les dossiers avec des cibles afin qu’ils héritent de toutes les autorisations de leurs parents.

Utilisation des autorisations héritées

Pour limiter les utilisateurs pouvant afficher un dossier DFS, vous devez effectuer l’une des tâches suivantes :

  • Définissez des autorisations explicites pour le dossier, en désactivant l’héritage. Pour définir des autorisations explicites sur un dossier avec des cibles (un lien) au moyen de DFS Management ou de la commande Dfsutil, consultez Activer l’énumération basée sur l’accès sur un espace de noms.
  • Modifiez les autorisations héritées sur le parent dans le système de fichiers local. Pour modifier les autorisations héritées par un dossier avec des cibles, si vous avez déjà défini des autorisations explicites sur le dossier, passez des autorisations explicites aux autorisations héritées, comme indiqué dans la procédure suivante. Utilisez ensuite l’Explorateur Windows ou la commande Icacls pour modifier les autorisations du dossier dont le dossier avec des cibles hérite ses autorisations.

Notes

L’énumération basée sur l’accès n’empêche pas les utilisateurs d’obtenir une référence à une cible de dossier s’ils connaissent déjà le chemin DFS du dossier avec des cibles. Les autorisations définies avec l’Explorateur Windows ou la commande Icacls sur les racines d’espace de noms ou les dossiers sans cibles déterminent si les utilisateurs peuvent accéder au dossier DFS ou à la racine de l’espace de noms. Toutefois, elles n’empêchent pas les utilisateurs d’accéder directement à un dossier avec des cibles. Seules les autorisations de partage ou les autorisations de système de fichiers NTFS du dossier partagé lui-même peuvent empêcher les utilisateurs d’accéder à des cibles de dossier.

Pour passer des autorisations explicites aux autorisations héritées

  1. Dans l’arborescence de la console, sous le nœud Espaces de noms, recherchez le dossier avec des cibles dont vous souhaitez contrôler la visibilité, cliquez sur le dossier avec le bouton droit, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Avancé.

  3. Cliquez sur Utiliser les autorisations héritées du système de fichiers local, puis cliquez sur OK dans la boîte de dialogue Confirmer l’utilisation des autorisations héritées . Cette opération supprime toutes les autorisations explicitement définies sur ce dossier, en restaurant les autorisations NTFS héritées du système de fichiers local du serveur d’espaces de noms.

  4. Pour changer les autorisations héritées pour les dossiers ou les racines d’espace de noms dans un espace de noms DFS, utilisez l’Explorateur Windows ou la commande ICacls.

Références supplémentaires