Déléguer la réplication DFS dans Windows Server 2003 R2

  • Article

Cet article explique comment modifier directement les autorisations sur les objets de configuration pour chaque groupe de réplication.

S’applique à : Windows Server 2003 R2
Numéro de la base de connaissances d’origine : 911604

Introduction

La réplication du système de fichiers distribué (DFS) utilise le service d’annuaire Active Directory pour stocker les objets de configuration. Lorsque vous utilisez Active Directory, vous pouvez déléguer des droits utilisateur plus précisément. La fonctionnalité de gestion DFS fournit une prise en charge de la délégation de haut niveau. Cette prise en charge vous permet d’accorder aux utilisateurs la possibilité de créer un groupe de réplication. Cette prise en charge vous permet également d’accorder aux utilisateurs des droits d’administration sur un groupe de réplication qui a déjà été créé.

Objets de configuration

Il est utile d’avoir une vue d’ensemble de tous les objets avant d’afficher chaque objet en détail. Cette section décrit les objets utilisés pour configurer la réplication DFS. Les autorisations sur ces objets déterminent quels utilisateurs peuvent effectuer des opérations spécifiques sur les groupes de réplication.

Objets globaux

Les objets globaux configurent le réplica défini dans son ensemble. Par exemple, les objets globaux configurent le nombre de dossiers répliqués. Les objets globaux configurent également les connexions entre chaque membre du groupe de réplication.

msDFSR-GlobalSettings

Cet objet est créé aux moments suivants :

  • Lors de la création du premier groupe de réplication dans un domaine
  • La première fois qu’un utilisateur a délégué des droits pour créer des groupes de réplication dans un domaine

Cet objet est créé dans le conteneur système. Par défaut, seul l’administrateur de domaine peut créer cet objet.

La seule modification de sécurité de cet objet que nous recommandons est d’accorder aux utilisateurs le droit de créer des objets enfants msDFSR-ReplicationGroup dans ce conteneur. Pour utiliser la gestion DFS pour cette tâche, effectuez l’action Déléguer les autorisations de gestion sur le nœud Réplication.

msDFSR-ReplicationGroup

Cet objet contient tous les paramètres globaux spécifiques à un groupe de réplication unique. Pour modifier les autorisations sur ce conteneur dans la gestion DFS, effectuez l’action Déléguer les autorisations de gestion sur un groupe de réplication. Vous pouvez accorder des droits d’administration à un utilisateur sur un groupe de réplication. Vous pouvez également accorder à l’utilisateur le contrôle de l’objet msDFSR-ReplicationGroup et de tous les objets enfants d’un groupe de réplication. Les attributs suivants sont stockés dans cet objet :

  1. Description
    Description du groupe de réplication.
  2. msDFSR-Topology
    Planification par défaut.

msDFSR-Content

Cet objet est créé sous l’objet msDFSR-ReplicationGroup lors de la création du groupe de réplication. L’objet msDFSR-Content contient un objet msDFSR-ContentSet pour chaque dossier répliqué dans le groupe de réplication.

Remarque

Aucun attribut important n’est stocké dans cet objet.

msDFSR-ContentSet

Un objet msDFSR-ContentSet est créé pour chaque dossier répliqué dans le groupe de réplication. Les attributs suivants sont stockés dans cet objet :

  • Description
    Description du dossier répliqué.
  • msDFSR-FileFilter
    Le filtre de fichiers pour les fichiers est exclu de la réplication.
  • msDFSR-DirectoryFilter
    Le filtre d’annuaires pour les dossiers est exclu de la réplication.
  • msDFSR-DfsPath
    Chemin du dossier DFS lorsque le dossier répliqué est publié dans un espace de noms DFS.

msDFSR-Topology

Cet objet est créé sous l’objet msDFSR-ReplicationGroup lors de la création du groupe de réplication. L’objet msDFSR-Topology contient un objet msDFSR-Member pour chaque membre du groupe de réplication.

Remarque

Aucun attribut important n’est stocké dans cet objet.

msDFSR-Member

Un objet msDFSR-Member est créé pour chaque membre du groupe de réplication. Cet objet fait référence à l’objet ordinateur du membre. Cet objet contient un objet msDFSR-Connection pour chaque connexion où ce membre est le membre récepteur de la connexion. Les attributs suivants sont stockés dans cet objet :

  • msDFSR-ComputerReference
    Référence à l’objet ordinateur pour le membre.

msDFSR-Connection

Un msDFSR-Connection est créé en tant qu’enfant d’un objet msDFSR-Member pour chaque connexion de réplication entrante à ce membre. Les attributs suivants sont stockés dans cet objet :

  • msDFSR-Enabled
    État activé de la connexion.
  • msDFSR-Schedule
    Planification personnalisée de la connexion.
  • msDFSR-Keywords
    Mots clés pour la connexion.
  • msDFSR-RdcEnabled
    État activé de la compression différentielle rRemote.

Objets locaux du serveur

Des objets serveur-local existent dans le compte d’ordinateur pour chaque serveur qui participe à une réplication. Ces objets configurent des membres individuels du groupe de réplication.

msDFSR-LocalSettings

Cet objet est le conteneur de niveau supérieur pour les objets de réplication DFS sur un compte d’ordinateur.

msDFSR-Subscriber

Un objet msDFSR-Subscriber est créé pour chaque groupe de réplication auquel appartient un serveur. Cet objet contient un objet msDFSR-Subscription pour chaque dossier répliqué dans le groupe de réplication spécifié par l’objet msDFSR-Subscriber. Les attributs suivants sont stockés dans cet objet :

  • msDFSR-MemberReference
    Référence à l’objet msDFSR-Member.

msDFSR-Subscription

L’objet msDFSR-Subscription contient des paramètres propres à chaque dossier répliqué sur le serveur. Les attributs suivants sont stockés dans cet objet :

  • msDFSR-RootPath
    Chemin d’accès local du dossier répliqué.
  • msDFSR-StagingPath
    Chemin d’accès intermédiaire du dossier répliqué.
  • msDFSR-StagingSizeInMb
    Taille du dossier intermédiaire.
  • msDFSR-ConflictSizeInMb
    Taille du dossier de conflit.
  • msDFSR-Enabled
    État activé de l’abonnement.
  • msDFSR-Flags
    Indicateur qui contrôle si les fichiers supprimés sont déplacés vers le dossier de conflit.

Délégation détaillée

  • Accorder des autorisations pour créer un groupe de réplication

    Cette action est l’une des deux actions de délégation disponibles dans la gestion DFS. Pour effectuer manuellement cette action dans Utilisateurs et ordinateurs Active Directory, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le nœud Domaine\Système\DFSR-GlobalSettings, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.
    4. Accordez aux utilisateurs ou groupes souhaités l’autorisation Créer tous les objets enfants , puis sélectionnez Cet objet uniquement dans la zone Appliquer sur .

  • Déléguer des droits d’administration à un groupe de réplication

    Il s’agit de l’autre action de délégation disponible dans gestion DFS. Pour effectuer manuellement cette action dans Utilisateurs et ordinateurs Active Directory, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le nœud Domaine\Système\DFSR-GlobalSettings, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.
    4. Accordez l’autorisation Contrôle total aux utilisateurs ou groupes souhaités, puis sélectionnez Cet objet et tous les objets enfants dans la zone Appliquer sur .
    5. Ajoutez les utilisateurs ou les groupes au groupe Administrateurs local de chaque membre.

  • Gérer les paramètres système locaux sans être administrateur local

    En règle générale, l’utilisateur doit être administrateur pour gérer les paramètres de l’ordinateur local. Pour permettre à un utilisateur qui n’est pas administrateur de gérer les paramètres de l’ordinateur local, accordez à l’utilisateur le contrôle direct des objets requis dans Active Directory. Pour cela, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur le nœud de l’ordinateur, puis cliquez sur Propriétés.

      Par défaut, le chemin d’accès du nœud d’ordinateur est l’un des suivants :

      • Serveurs membres
        Domaine\Ordinateur\ComputerName\DFSR-LocalSettings
      • Contrôleurs de domaine
        Domaine\Contrôleurs de domaine\ComputerName\DFSR-LocalSettings

    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.

    4. Accordez aux utilisateurs ou groupes souhaités l’autorisation Contrôle total , puis cliquez pour sélectionner Cet objet et tous les objets enfants dans la zone Appliquer sur .

  • Contrôle de tous les groupes de réplication

    Pour accorder à un utilisateur le contrôle de tous les groupes de réplication existants et futurs dans un domaine, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le nœud Domaine\Système\DFSR-GlobalSettings, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.
    4. Accordez aux utilisateurs ou groupes souhaités l’autorisation Contrôle total , puis cliquez pour sélectionner Cet objet et tous les objets enfants dans la zone Appliquer sur .
    5. Ajoutez les utilisateurs ou les groupes au groupe Administrateurs local de chaque membre. Vous pouvez également accorder l’autorisation Contrôle total pour les objets ordinateur de chaque serveur dans les groupes de réplication.

  • Ajouter/supprimer/modifier des dossiers répliqués

    Pour accorder à un utilisateur uniquement des droits de modification, d’ajout ou de suppression d’un dossier répliqué, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le nœud Domaine\Système\DFSR-GlobalSettings\ReplicationGroup\Content, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.
    4. Accordez l’autorisation Contrôle total aux utilisateurs ou groupes souhaités, puis sélectionnez Cet objet et tous les objets enfants dans la zone Appliquer sur .
    5. Ajoutez les utilisateurs ou les groupes au groupe Administrateurs local de chaque membre. Vous pouvez également accorder l’autorisation Contrôle total pour les objets ordinateur de chaque serveur dans les groupes de réplication.

  • Ajouter/supprimer/modifier des membres et des connexions

    Pour accorder à un utilisateur uniquement des droits de modification, d’ajout ou de suppression de membres et de connexions, procédez comme suit :

    1. Démarrez Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le nœud Domain\System\DFSR-GlobalSettings\ReplicationGroup\Topology, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet Sécurité , puis sur Avancé.
    4. Accordez l’autorisation Contrôle total aux utilisateurs ou groupes souhaités, puis sélectionnez Cet objet et tous les objets enfants dans la zone Appliquer sur .
    5. Ajoutez les utilisateurs ou les groupes au groupe Administrateurs local de chaque membre. Vous pouvez également accorder l’autorisation Contrôle total pour les objets ordinateur de chaque serveur dans les groupes de réplication.

  • Générer un rapport sur un groupe de réplication

    Pour générer un rapport de diagnostic, un utilisateur doit être un administrateur local des serveurs qui font partie du rapport.