Comment faire pour implémenter l’énumération basée sur l’accès de Windows Server 2003 dans un environnement DFS

INTRODUCTION

Cet article explique comment implémenter l’énumération basée sur l’accès de Microsoft Windows Server 2003 dans un environnement DFS. Lors de l’énumération basée sur l’accès est activée, Windows n’affiche pas les fichiers ou dossiers qu’un utilisateur n’a pas les droits d’accès.

Plus d'informations

Considérez le scénario suivant :
  • Vous déployez une racine de système de fichiers distribués (DFS, Distributed File System) nommée \\dfs-share\users. Il existe plusieurs liens DFS sous la racine.
  • Ces liens DFS représentent les répertoires de base de plusieurs utilisateurs.
  • Vous souhaitez activer l’énumération basée sur l’accès à la racine de la \\dfs-share\users, afin que les utilisateurs voient leurs répertoires de base uniquement lorsque les utilisateurs énumérer la racine.
Pour implémenter l’énumération basée sur l’accès dans ce scénario, procédez comme suit :
  1. Utilisez les informations d’identification d’administration pour ouvrir une session sur Windows Server 2003.
  2. Utilisez l’utilitaire Cacls pour définir le contrôle d’accès appropriées listes (ACL) sur les liens DFS. (L’utilitaire Cacls est inclus dans Windows Server 2003).

    Par exemple, rendre l’ACL sur le lien identique à la liste ACL sur la cible du lien. Si \\dfs-share\users\johndoe est liée à une cible nommée \\server1\share1\johndoe, donc la liste ACL sur \\dfs-share\users\johndoe identique à la liste ACL sur \\server1\share1\johndoe. Si la destination est sur un ordinateur fonctionnant sous Windows, tapez cacls à l’invite de commandes pour vérifier la liste ACL. Pour plus d’informations sur l’utilitaire Cacls, tapez cacls / ? à l’invite de commande.
  3. Appliquer la propriété d’énumération basée sur l’accès de chaque partage racine à l’aide de l’utilitaire ABEUI. Pour obtenir cet utilitaire, visitez le site Web de Microsoft à l’adresse suivante :Remarque Définir la propriété d’énumération basée sur l’accès sur chaque partage racine répliquées.
  4. Dès que la racine du domaine et les liens sont répliquées, utilisez l’utilitaire Cacls pour définir manuellement les listes ACL sur les liaisons répliquées. Répétez cette étape pour tous les réplicas. Toutefois, tout d’abord vous assurer que la racine et les liens ont été entièrement répliqués sur la cible.
  5. Dans un environnement de cluster, lorsqu’un nœud bascule vers un autre nœud, DFS supprime tous le DFS lie et les recrée dans chaque basculement. En cas de basculement sur incident, les ACL doit être réappliquées sur les liens. Pour appliquer automatiquement des liens après un basculement, procédez comme suit :
    1. À partir de la console administrateur de cluster, créez une ressource de script. Assurez-vous que cette nouvelle ressource fait partie du même groupe de DFS, ainsi que les ressources de partage.
    2. Ajoutez la ressource de script à la ressource de script qui définit les listes ACL pour chaque liaison DFS.
    3. Subordonner la ressource de script sur la ressource DFS. Cette étape garantit que la ressource de script est exécutée uniquement après que les liaisons DFS sont créés sur le nouvel échec sur un nœud.
    4. Prenez le groupe hors connexion et puis de placer le groupe en ligne pour vous assurer que la ressource de script fonctionne.
  6. Redémarrez le service système de fichiers distribués (DFS, Distributed File System). Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, sur exécuter, tapez cmd, puis cliquez sur OK.
    2. Tapez net stop DFSet appuyez sur ENTRÉE.
    3. Tapez net start DFSet appuyez sur ENTRÉE.
Après avoir suivi ces étapes, que les liens DFS un utilisateur ayant les droits d’accès sont affichées lors de l’énumération de la racine.

Parfois, les ACL sur les liaisons sont réinitialisés et doivent être réappliquées. Pour réinitialiser les listes ACL dans les scénarios suivants :
  • Une racine DFS est restaurée à l’aide de l’utilitaire DFS (Dfsutil.exe). Les ACL sur les liens DFS ne sont pas conservées et sont réinitialisés.
  • Racines DFS sont exportés, puis importés dans un autre emplacement. Les ACL sur les liens DFS ne sont pas conservées et sont réinitialisés.
  • Si vous ajoutez une cible racine DFS, les liens ne reçoivent pas les ACL appropriées parce que les liens sont créés pour la première fois.
  • Si vous renommez un lien DFS, le service DFS supprime et recrée le lien. La liste ACL dans le lien est réinitialisée.
  • Si vous supprimez des liens à composants multiples, DFS supprime les répertoires intermédiaires de vides. Toute ACL qui a été définie sur un répertoire est perdue lorsqu’un répertoire est supprimé. Lorsque vous créez un nouveau lien à composants multiples en utilisant le même chemin d’accès, vous devez réappliquer toutes les ACL sur les répertoires intermédiaires.
Remarque Lors de l’énumération basée sur l’accès n’effectue pas comme prévu avec les liens DFS, examinez d’abord les ACL sur les liens DFS à l’aide de l’utilitaire Cacls.

Si l’ACL sur le lien DFS n’est pas défini pour correspondre à la liste ACL sur la cible, les conditions suivantes peuvent être remplies :
  • Si l’ACL sur le lien est plus restrictif que l’ACL sur la cible, le lien ne s’affichera pas. Toutefois, si l’utilisateur connaît le nom de la liaison, l’utilisateur peut localiser le chemin d’accès approprié et afficher le contenu de la cible.
  • Si l’ACL sur le lien est moins restrictif que celui de la liste ACL sur la cible, le lien s’affiche. Toutefois, lorsque l’utilisateur recherche le lien, l’utilisateur voit un message « Accès refusé ».
Propriétés

ID d'article : 907458 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires