Comment implémenter une énumération basée sur l’accès Windows Server 2003 dans un environnement DFS


INTRODUCTION


Cet article décrit comment implémenter une énumération basée sur l’accès à Microsoft Windows Server 2003 dans un environnement DFS. Lorsque l’énumération basée sur l’accès est activée, Windows n’affiche pas les fichiers ou les dossiers pour lesquels un utilisateur ne dispose pas des droits d’accès.

Informations supplémentaires


Prenons l’exemple du scénario suivant :
  • Vous déployez une racine de système de fichiers DFS nommée \\dfs-share\users. Il existe plusieurs liens DFS situés à la racine.
  • Ces liens DFS représentent les répertoires de base de plusieurs utilisateurs.
  • Vous voulez activer l’énumération basée sur l’accès à la racine \\dfs-share\users pour que les utilisateurs puissent voir uniquement leurs répertoires de départ lorsque les utilisateurs énumèrent la racine.
Pour implémenter une énumération basée sur les accès dans ce scénario, procédez comme suit :
  1. Utilisez les informations d’identification d’administration pour vous connecter à Windows Server 2003.
  2. Utilisez l’utilitaire cacls pour définir les listes de contrôle d’accès (ACL) appropriées sur les liens DFS. (L’utilitaire cacls est inclus dans Windows Server 2003.) Par exemple, définissez la liste de contrôle d’accès (ACL) sur le lien comme la liste de contrôle d’accès (ACL) sur la cible du lien. Par conséquent, si \\dfs-share\users\johndoe est lié à une cible nommée \\server1\share1\johndoe, faites en sorte que la liste de contrôle d’accès \\dfs-share\users\johndoe la même que la liste de contrôle d’accès d' \\server1\share1\johndoe. Si la cible se trouve sur un ordinateur exécutant Windows, tapez cacls à l’invite de commandes pour vérifier la liste de contrôle d’accès. Pour plus d’informations sur l’utilitaire cacls, tapez cacls/ ? à l’invite de commandes.
  3. Appliquez la propriété d’énumération basée sur Access à chaque partage racine à l’aide de l’utilitaire ABEUI. Remarque Définissez la propriété d’énumération basée sur Access sur chaque partage racine répliqué.
  4. Dès que la racine de domaine et les liaisons sont répliquées, utilisez l’utilitaire cacls pour définir manuellement les ACL sur les liens répliqués. Répétez cette étape pour tous les réplicas. Toutefois, assurez-vous d’abord que la racine et les liens ont été entièrement répliqués sur la cible.
  5. Dans un environnement de cluster, quand un nœud bascule sur un autre nœud, le système de fichiers DFS supprime tous les liens DFS et les recrée à chaque basculement. Lorsque le basculement se produit, des ACL doivent être réappliquées sur les liens. Pour réappliquer automatiquement des liens après un basculement, procédez comme suit :
    1. À partir de la console de l’administrateur de cluster, créez une ressource de script. Assurez-vous que cette nouvelle ressource fait partie du même groupe que le système de fichiers DFS et en tant que ressources de partage.
    2. Ajoutez la ressource de script à la ressource de script qui définit les listes de Contrã’le d’accès pour chaque lien DFS.
    3. Définissez la nouvelle ressource de script en fonction de la ressource DFS. Cette étape permet de s’assurer que la nouvelle ressource de script ne s’exécute qu’après la création des liens DFS sur le nouveau nœud ayant échoué.
    4. Prenez le groupe en mode hors connexion, puis replacez le groupe en ligne pour vous assurer que la nouvelle ressource de script fonctionne.
  6. Redémarrez le service de système de fichiers DFS. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
    2. Tapez net stop DFS, puis appuyez sur entrée.
    3. Tapez net start DFS, puis appuyez sur entrée.
Après avoir suivi ces étapes, seuls les liens DFS pour lesquels un utilisateur dispose des droits d’accès apparaissent lorsque la racine est énumérée.Parfois, les listes de Contrã’le d’accès aux liens sont réinitialisées et doivent être réappliquées. Les ACL sont réinitialisées dans les scénarios suivants :
  • Une racine DFS est restaurée à l’aide de l’utilitaire DFS (Dfsutil. exe). Les ACL sur les liens DFS ne sont pas conservées et sont réinitialisés.
  • Les racines DFS sont exportées puis importées vers un autre emplacement. Les ACL sur les liens DFS ne sont pas conservées et sont réinitialisés.
  • Si vous ajoutez une nouvelle cible racine DFS, les liens ne reçoivent pas les ACL appropriés, car ils sont créés pour la première fois.
  • Si vous renommez un lien DFS, le service DFS le supprime et le recrée. La liste de contrôle d’accès (ACL) sur le lien est réinitialisée.
  • Si vous supprimez des liens multiples composants, le système de fichiers DFS supprime tous les répertoires intermédiaires vides. Toute liste de contrôle d’accès définie sur un annuaire est perdue lors de la suppression d’un répertoire. Lorsque vous créez un lien à composants multiples en utilisant le même chemin d’accès, vous devez réappliquer toutes les ACL dans les répertoires intermédiaires.
Remarque Lorsque l’énumération basée sur l’accès ne fonctionne pas comme prévu avec les liens DFS, examinez d’abord les ACL sur les liens DFS à l’aide de l’utilitaire cacls.Si la liste de contrôle d’accès (ACL) sur le lien DFS n’est pas définie pour correspondre à la liste de contrôle d’accès de la cible, les conditions suivantes sont susceptibles d’être vraies :
  • Si la liste de contrôle d’accès (ACL) sur le lien est plus restrictive que celle de la cible, le lien ne sera pas affiché. Toutefois, si l’utilisateur connaît le nom du lien, il peut trouver le chemin d’accès approprié et afficher le contenu de la cible.
  • Si la liste de contrôle d’accès (ACL) sur le lien est moins restrictive que celle de la cible, le lien est affiché. En revanche, lorsque l’utilisateur trouve le lien, l’utilisateur voit un message « accès refusé ».