Par défaut, les autorisations utilisées pour un dossier DFS sont héritées du système de fichiers local du serveur d’espaces de noms. Les autorisations sont héritées du répertoire racine du lecteur système et accordent au groupe DOMAINE\Utilisateurs des autorisations de lecture. Par conséquent, même après avoir activé l’énumération basée sur l’accès, tous les dossiers de l’espace de noms restent visibles par tous les utilisateurs du domaine.
Avantages et limites des autorisations héritées
L’utilisation d’autorisations héritées pour contrôler les utilisateurs qui peuvent afficher les dossiers dans un espace de noms DFS présente deux avantages principaux :
- Vous pouvez rapidement appliquer les autorisations héritées à un grand nombre de dossiers sans avoir à utiliser de scripts.
- Vous pouvez appliquer les autorisations héritées aux racines d’espaces de noms et aux dossiers sans cibles.
En dépit de ces avantages, les autorisations héritées dans les espaces de noms DFS présentent de nombreuses limites qui les rendent inadaptées pour la plupart des environnements :
- Les modifications apportées aux autorisations héritées ne sont pas répliquées sur les autres serveurs d’espaces de noms. Par conséquent, n’utilisez les autorisations héritées que pour les espaces de noms autonomes ou dans les environnements où vous pouvez implémenter un système de réplication tiers pour assurer la synchronisation des listes de contrôle d’accès sur tous les serveurs d’espaces de noms.
- Le composant logiciel enfichable Gestion du système de fichiers distribués DFS et la commande
Dfsutil
ne peuvent ni afficher ni modifier les autorisations héritées. Par conséquent, vous devez utiliser l’Explorateur Windows ou la commandeIcacls
en plus du composant Gestion du système de fichiers distribués DFS ou deDfsutil
pour gérer l’espace de noms. - Lorsque vous utilisez des autorisations héritées, vous ne pouvez pas modifier les autorisations d’un dossier avec cibles, à moins d’utiliser la commande
Dfsutil
. Le service d’espaces de noms DFS supprime automatiquement les autorisations des dossiers avec cibles qui ont été définies à l’aide d’autres outils ou méthodes. - Si vous définissez des autorisations sur un dossier avec cibles alors que vous utilisez les autorisations héritées, la liste de contrôle d’accès que vous définissez sur ce dossier avec cibles est combinée avec les autorisations héritées du parent du dossier dans le système de fichiers. Vous devez examiner les deux ensembles d’autorisations pour déterminer quelles sont les autorisations réseau.
Conseil | |
Lorsque vous utilisez des autorisations héritées, il est plus simple de définir des autorisations sur les racines d’espaces de noms et les dossiers sans cibles. Par conséquent, utilisez des autorisations héritées sur les dossiers avec cibles pour qu’ils héritent toutes les autorisations de leurs parents. |
Utilisation d’autorisations héritées
Pour limiter les utilisateurs qui peuvent afficher un dossier DFS, vous devez effectuer l’une des tâches suivantes :
- Définir des autorisations explicites pour le dossier, en désactivant l’héritage. Pour définir des autorisations explicites sur un dossier avec cibles (un lien) à l’aide du composant Gestion du système de fichiers distribués DFS ou de la commande
Dfsutil
, voir Activer l’énumération basée sur l’accès pour un espace de noms. - Modifier les autorisations héritées sur le parent dans le système de fichiers local. Pour modifier les autorisations héritées par un dossier avec cibles, si vous avez déjà défini des autorisations explicites sur le dossier, basculez des autorisations explicites aux autorisations héritées, comme expliqué dans la procédure suivante. Utilisez ensuite l’Explorateur Windows ou la commande
Icacls
pour modifier les autorisations du dossier à partir duquel le dossier avec cibles hérite ses autorisations, comme décrit sur le site Web de Microsoft à l’adressehttps://go.microsoft.com/fwlink/?LinkId=140259 (éventuellement en anglais).
Remarques | |
L’énumération basée sur l’accès n’empêche pas les utilisateurs d’obtenir une référence vers une cible de dossier s’ils connaissent déjà le chemin d’accès DFS du dossier avec cibles. Les autorisations définies à l’aide de l’Explorateur Windows ou de la commande |
Pour basculer des autorisations explicites aux autorisations héritées |
Dans l’arborescence de la console, sous le nœud Espaces de noms, recherchez le dossier avec cibles dont vous voulez contrôler la visibilité, cliquez dessus avec le bouton droit, puis cliquez sur Propriétés.
Cliquez sur l’onglet Avancé.
Cliquez sur Utiliser les autorisations héritées du système de fichiers local, puis sur OK dans la boîte de dialogue Confirmer l’utilisation des autorisations héritées.
Cette opération supprime toutes les autorisations définies explicitement sur le dossier et restaure les autorisations NTFS héritées du système de fichiers local du serveur d’espaces de noms.
Pour modifier les autorisations héritées pour des dossiers ou des racines d’espaces de noms dans un espace de noms DFS, utilisez l’Explorateur Windows ou la commande
ICacls
, comme expliqué sur le site Web de Microsoft à l’adressehttps://go.microsoft.com/fwlink/?LinkId=140259 (éventuellement en anglais).
Pour modifier la manière dont les autorisations sont appliquées à partir de l’invite de commandes ou pour restaurer l’héritage des autorisations NTFS du système de fichiers local et conserver les autorisations définies à l’aide du composant logiciel enfichable Gestion du système de fichiers distribués DFS, consultez le site Web de Microsoft à l’adresse