Editeur ACL et héritage des autorisations

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Server

·             Microsoft Windows 2000 Professionnel

Ancien nº de publication de cet article : F178170

Résumé

Windows 2000 Active Directory fournit une interface utilisateur permettant de modifier les autorisations de contrôle d'accès pour les objets appartenant au répertoire. Cette interface est intitulée " Éditeur de liste de contrôle d'accès " (ACL, Access Control List). Cet article aborde le concept d'héritage utilisé par l'éditeur ACL, que les administrateurs se doivent de connaître. Pour plus de détails sur l'éditeur ACL, consultez la documentation du produit.

Plus d'informations

Lorsque des autorisations sont accordées à un utilisateur ou à un groupe dans la boîte de dialogue de l'éditeur ACL, ces autorisations sont, par défaut, restreintes à l'objet conteneur lui-même ; les objets enfants ne sont pas affectés par le changement d'autorisation. Ces objets enfants possèdent cependant des autorisations explicites par défaut qui leur sont propres. L'administrateur peut créer, par exemple, une unité organisationnelle (OU, organizational Unit) à l'intérieur du domaine intitulé " OU1 ". Le domaine OU1 contient plusieurs objets utilisateur. L'administrateur ajoute un utilisateur à la liste des autorisations de OU1 et accorde à cet utilisateur le contrôle total. Lorsque ce dernier ouvre une session pour tenter de modifier l'un des objets utilisateur appartenant à OU1, il reçoit un message d'erreur lui indiquant que l'accès a été refusé. En effet, l'utilisateur ne dispose que des autorisations se rapportant à l'objet conteneur et non aux objets enfants de ce conteneur.

Pour y remédier, l'administrateur peut :

·             Modifier l'étendue des autorisations de l'utilisateur se rapportant à l'objet conteneur et autoriser les objets enfants à hériter des autorisations se rapportant au conteneur parent ;
- ou -

·             Ajouter l'utilisateur à la liste des autorisations de chaque objet inclus dans le conteneur.

Par défaut, les objets enfants d'un conteneur permettent l'héritage des autorisations du conteneur parent. Lors de l'ajout ou de la modification d'une autorisation se rapportant au conteneur parent, procédez comme suit pour autoriser la transmission de ces autorisations aux objets enfants.

1.                   Ouvrez les Propriétés de l'objet conteneur dans le Répertoire et sélectionnez l'onglet Sécurité.

2.                   Cliquez sur Avancée. La boîte de dialogue Paramètres du contrôle d'accès s'affiche.

3.                   Sélectionnez l'utilisateur ou le groupe pour lequel vous voulez modifier les autorisations, puis cliquez sur Afficher/Modifier. Si l'utilisateur n'est pas déjà présent, cliquez sur Ajouter pour l'ajouter avant de continuer.

4.                   Dans le menu déroulant de " Appliquer à ", sélectionnez " cet objet et tous les sous-objets " et personnalisez les autorisations comme nécessaire.

5.                   Vérifiez l'état de la case à cocher Appliquer ces autorisations à toute l'arborescence. Si cette case à cocher est désactivée, les autorisations ne seront propagées qu'aux objets enfants immédiats de ce conteneur. À l'inverse, si elle est activée, l'héritage des autorisations peut se propager au-delà des enfants immédiats, jusqu'aux autres conteneurs appartenant au parent.

6.                   Cliquez sur OK, puis fermez les boîtes de dialogue restantes.

Comme indiqué plus haut, les objets enfants d'un conteneur permettent, par défaut, l'héritage des autorisations du conteneur parent. L'administrateur peut le vérifier en ouvrant les propriétés d'un objet donné, en sélectionnant l'onglet Sécurité et en notant l'état de la case à cocher Hériter des autorisations du parent, au bas de la page des propriétés. Pour visualiser les autorisations héritées, cliquez sur Avancé, et notez que l'utilisateur auquel des autorisations ont été accordées au niveau du conteneur est listé dans la liste des autorisations, mais avec une icône grisée.

Pour désactiver l'héritage des permissions du conteneur parent pour un objet donné, désactivez la case à cocher Hériter des autorisations du parent. Les utilisateurs et les groupes auxquels il avait été accordé des autorisations au niveau du conteneur parent sont désormais affichés comme entrées actives dans la liste des autorisations. L'administrateur peut supprimer ces entrées avant de fermer la boîte de dialogue.

 

Dernière modification le : 19/04/2001

Mot(s) clé(s) : NTSrvWkst KB178170******