L’héritage

est créée dans le domaine, l’UO héritera des permissions
qui ont été définies au niveau du domaine. L’héritage est puissant, parce qu’il
permet de contrôler qui peut faire quoi dans une infrastructure AD, au fur et
à  mesure de son extension. Lorsqu’on travaille dans l’éditeur d’ACL, on peut identifier
sans difficulté les ACE qui sont héritées d’un objet parent. Elles apparaissent
en gris et ne peuvent pas être modifiées, tant que l’héritage n’est pas activé.

L’héritage peut être désactivé à  partir de l’objet enfant ou du parent. Il suffit
d’ouvrir l’éditeur d’ACL ou un objet AD, puis de désactiver la case Permettre
aux permissions d’héritage du parent de se propager à  cet objet. Après avoir cliqué
sur OK, une boîte de dialogue de sécurité apparaît. Si l’on souhaite que tel objet
particulier n’hérite pas des permissions du domaine parent, on peut soit copier,
soit supprimer les permissions héritées. Avec Copier, toutes les ACE héritées
existantes de l’objet sont copiées dans l’objet et peuvent alors être modifiées,
puisqu’elles ne sont plus héritées. Avec Supprimer, toutes les ACE héritées sont
supprimées de l’objet et seules demeurent celles qui sont spécifiquement définies
sur l’objet.

Pour contrôler les permissions passant des objets parents aux objets enfants,
ouvrez Propriétés sur l’ACE d’un objet parent. Cette boîte de dialogue contient
la case Appliquer ces permissions aux objets et/ou aux conteneurs se trouvant
dans le conteneur. Si cette case est cochée, l’ACE se propagera uniquement aux
objets et aux conteneurs se trouvant dans le conteneur courant et ne se dupliquera
pas de manière descendante dans les conteneurs.

Ainsi, supposons que l’UO Finance d’une entreprise contient une sous-UO baptisée
Comptabilité. Il s’agit, par exemple, de déléguer à  un groupe administratif, Administrateurs
Finance, les droits de créer et supprimer les objets ordinateurs dans l’UO Finance,
mais sans qu’Administrateurs Finance ait le même droit dans l’UO Comptabilité.
L’héritage habituel aurait pour effet que l’ACE définie pour l’UO Finance se propage
en descendant dans l’UO Comptabilité. Pour empêcher ce type d’héritage, créez
l’ACE appropriée pour l’UO Finance, sélectionnez l’option Objets ordinateurs dans
la liste déroulante Appliquer à  et sélectionnez Appliquer ces permissions aux
objets et/ou aux conteneurs seulement dans ce conteneur. Ainsi donc, le groupe
Administrateurs Finance aura uniquement le contrôle sur les objets ordinateurs
de l’UO Finance.