Beruflich Dokumente
Kultur Dokumente
Laccs au disque dur dun ordinateur peut tre scuris de diffrentes manires. La plus simple mais la moins sre est
dutiliser les autorisations de partage
Pour partager un dossier, il faut AVOIR les droits.
Quand on partage un dossier, on peut :
Contrler laccs au dossier et son
contenu en accordant des autorisations
certains utilisateurs et groupes.
Limiter le nombre dutilisateurs qui
peuvent se connecter simultanment au
dossier partag.
Aprs avoir cr un dossier partag, on peut
tre modifier ses proprits pour dsactiver
son partage, modifier son nom ou
changer les autorisations des utilisateurs
et des groupes.
Vous pouvez masquer un dossier partag en plaant le symbole du dollar ($) la suite du nom du dossier. Lutilisateur
ne peut alors pas voir le dossier partag dans linterface graphique, mais il peut y accder en tapant le nom UNC
(Universal Naming Convention), tel que \\server\secrets$.
Pour crer un dossier partag, dans lExplorateur Windows. cliquez avec le bouton droit sur le dossier, puis cliquez sur
Partage. Dans longlet Partage, configurez les options dcrites dans le tableau suivant
ALSI (S2) 1
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Cases autoriser
Si elle est coche lautorisation quelle concerne est
affecte la ressource.
Si elle nest pas coche lautorisation nest pas accorde sauf par hritage dautorisations et laccs dpend de
ltat de la case refuser.
Case refuser
Si elle est coche lautorisation ne sera jamais accorde quelque soient les autorisations lies au dossier
parents ou lappartenance un groupe.
Si elle nest pas coche lautorisation nest pas refuse et laccs dpend de la case autoriser
Important Si vous souhaitez naccorder lautorisation sur un dossier partag qu certains utilisateurs, supprimez le
groupe Tout le monde ; sinon, tous les utilisateurs disposent de lautorisation Contrle total sur le dossier. Si vous
dfinissez lautorisation du groupe Tout le monde sur Refuser, tous les utilisateurs se verront refuser laccs au dossier
partag, y compris ceux pour lesquels vous souhaitiez autoriser laccs.
Astuce Prfrez le groupe Utilisateurs authentifis au groupe Tout le monde pour accorder la plupart des droits et des
autorisations. Vous minimisez ainsi le risque daccs non autoris car Windows 2003 ne valide les comptes dutilisateur
sur lordinateur ou dans Active Directory que sils sont membres du groupe systme Utilisateurs authentifis.
ALSI (S2) 2
Module 5 Gestion de donnes laide du systme de fichiers NTFS
1. Cliquez avec le bouton droit sur Favoris rseau, puis cliquez sur Connecter un lecteur rseau.
2. Dans lAssistant Connecter un lecteur rseau, slectionnez la lettre du lecteur que vous voulez utiliser.
3. Entrez le nom du dossier partag auquel vous voulez vous connecter et cliquez sur Parcourir pour le trouver.
Pour accder un dossier partag utilis rgulirement, slectionnez Se reconnecter louverture de session pour
une connexion automatique chaque ouverture de session.
Par dfaut, les membres du groupe Administrateurs bnficient de lautorisation Contrle total sur les dossiers
dadministration partags. Vous ne pouvez pas modifier les autorisations de ces dossiers. Le tableau suivant rpertorie
la fonction des dossiers dadministration partags que Windows Server 2003 fournit automatiquement.
ALSI (S2) 3
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Le systme NTFS optimise par ailleurs lespace disque en permettant la compression de donnes et la
configuration de quotas de disque
Les autorisations standard sont les autorisations les plus utilises et correspondent un ensemble dautorisations
spciales. Les autorisations spciales fournissent un niveau de contrle plus lev sur les types daccs accorder sur
les objets. Les autorisations standard sont les suivantes :
Contrle total
criture
Lecture
Cration de tous les objets enfants
Suppression de tous les objets enfants
ALSI (S2) 4
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Windows Server 2003 stocke la liste des autorisations daccs des utilisateurs, appele liste de contrle daccs
discrtionnaires DACL (Discretionary Access Control List), pour chaque objet Active Directory. Cette liste dfinit les
personnes autorises accder lobjet ainsi que les actions quelles peuvent excuter sur lobjet.
On peut accorder ou refuser des autorisations. Les autorisations refuses sont prioritaires par rapport aux autorisations
accordes aux comptes dutilisateurs et aux groupes. Refusez des autorisations uniquement lorsquil est ncessaire de
les supprimer car lutilisateur en dispose en tant membre dun groupe.
La plupart des tches associes aux autorisations sur les objets Active Directory peuvent tre dfinies laide des
autorisations standard. Ces autorisations sont les plus utilises, mais si vous devez accorder un niveau dautorisation
plus prcis, utilisez les autorisations spciales.
Lorsque des autorisations sont dfinies sur un objet parent, les nouveaux objets hritent des autorisations sur lobjet
parent. On peut supprimer les autorisations hrites et les ractiver si ncessaire.
Un objet parent est un objet qui est associ un autre objet appel objet enfant.
Un objet enfant hrite des autorisations de lobjet parent. Lhritage des autorisations dans Active Directory permet de
rduire le nombre doprations doctroi des autorisations sur les objets.
Lhritage des autorisations dans Windows Server 2003 simplifie ladministration des autorisations des manires
suivantes :
Il est inutile dappliquer les autorisations manuellement aux objets enfants lors de leur cration.
Les autorisations appliques un objet parent sont appliques de manire cohrente tous les objets enfants.
Pour modifier les autorisations sur tous les objets dun conteneur, il suffit de modifier les autorisations sur lobjet
parent. Les objets enfants hritent automatiquement des modifications.
Lorsque vous transfrez des objets entre les units dorganisation, les conditions suivantes sappliquent :
Les autorisations dfinies implicitement ne changent pas.
Un objet hrite des autorisations de lunit dorganisation de destination.
Un objet transfr dune unit dorganisation perd les autorisations hrites de lunit dorganisation.
ALSI (S2) 5
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Remarque : Lorsque vous modifiez des objets Active Directory, on peut transfrer plusieurs objets simultanment.
On peut bloquer lhritage des autorisations pour empcher un objet enfant dhriter des autorisations de son objet
parent. Lorsque vous procdez ainsi, seules les autorisations que vous dfinissez sappliquent.
Lorsque vous bloquez lhritage des autorisations, la famille Windows Server 2003 permet de :
Copier les autorisations hrites vers lobjet ; les nouvelles autorisations de lobjet sont des autorisations
explicites. Il sagit de copies des autorisations dont lobjet a hrit auparavant de son objet parent. Aprs avoir
copi des autorisations hrites, on peut les modifier en fonction des besoins.
Supprimer les autorisations hrites dun objet. La suppression de ces autorisations supprime toutes les
autorisations sur lobjet. On peut ensuite accorder de nouvelles autorisations sur lobjet.
On peut utiliser loutil Autorisations effectives pour identifier les autorisations sur un objet Active Directory. Loutil
dtermine les autorisations accordes un utilisateur ou un groupe et tient compte des autorisations en vigueur par
rapport lappartenance un groupe ainsi que des autorisations hrites de lobjet parent.
a. Caractristiques
Les autorisations effectives sur les objets Active Directory ont les caractristiques suivantes :
Les autorisations cumulatives sont une combinaison des autorisations Active Directory accordes aux comptes
dutilisateurs et aux comptes de groupes.
Les autorisations refuses sont prioritaires par rapport aux autorisations hrites. Les autorisations explicites
sont prioritaires.
Chaque objet a un propritaire dans un volume NTFS ou Active Directory.
Le propritaire contrle la faon dont les autorisations sont dfinies sur lobjet et qui les autorisations sont
accordes.
Dans Windows Server 2003, le groupe Administrateurs est le propritaire des objets par dfaut de Active
Directory. Le propritaire peut toujours changer les autorisations sur un objet, mme sil ne dispose pas de tous
les accs lobjet.
Le propritaire en cours peut accorder lautorisation Prendre possession un autre utilisateur pour lui permettre
de devenir propritaire de lobjet tout moment. Lutilisateur doit prendre possession de lobjet pour raliser le
transfert de proprit.
Pour extraire des informations sur les autorisations effectives dans Active Directory, vous devez tre autoris lire les
informations dappartenance. Si lutilisateur ou le groupe dfini est un objet Domaine, vous devez tre autoris lire les
informations dappartenance de lobjet dans le domaine. Les utilisateurs suivants disposent des autorisations de
domaine par dfaut appropries :
Les administrateurs de domaines peuvent lire les informations dappartenance de tous les objets.
Les administrateurs locaux sur un poste de travail ou un serveur autonome ne peuvent pas lire les informations
dappartenance dun utilisateur dun domaine.
Les utilisateurs authentifis dun domaine peuvent lire les informations dappartenance uniquement si le
domaine fonctionne en mode daccs compatible pr-Windows 2000.
c. Procdure didentification des autorisations effectives sur les objets Active Directory
Pour afficher le journal des autorisations effectives sur les objets Active Directory, procdez comme suit.
Pour afficher le journal des autorisations effectives :
1. Dans larborescence de la console Utilisateurs et ordinateurs Active Directory, accdez lunit dorganisation ou
lobjet dont vous voulez afficher les autorisations effectives.
2. Faites un clic-droit sur lunit dorganisation ou lobjet, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits, cliquez sur Paramtres avancs dans longlet Scurit.
4. Dans la bote de dialogue Paramtres de scurit avanc, cliquez sur Slectionner dans longlet Autorisations
effectives.
5. Dans la zone Entrez le nom de lobjet slectionner de la bote de dialogue Slectionnez Utilisateur, Ordinateur
ou Groupe, entrez le nom de lutilisateur ou du groupe, puis cliquez sur OK.
Les cases cocher actives indiquent les autorisations effectives de lutilisateur ou du groupe sur lobjet.
ALSI (S2) 6
Module 5 Gestion de donnes laide du systme de fichiers NTFS
6. Autorisations NTFS
On y accde par lOnglet scurit
Les autorisations sur des dossiers pour contrler laccs ces dossiers ainsi quaux fichiers et sous-dossiers
quils contiennent. Le tableau suivant numre les autorisations NTFS standards que vous pouvez accorder sur les
dossiers et le type daccs offert par chaque autorisation
Lecture Afficher les fichiers et les sous-dossiers contenus dans le dossier ainsi que les attributs,
lappropriation et les autorisations associs au dossier. Le droit Lecture emporte implicitement
le droit dafficher le contenu des dossiers
Ecriture Crer des fichiers et des sous-dossiers dans le dossier, modifier les attributs du dossier et afficher
lappropriation et les autorisations associes au dossier. Problme : pour pouvoir enregistrer
un document cr avec une application il faut accorder galement le droit modifier
Afficher le contenu du Afficher le nom des fichiers et des sous-dossiers contenus dans le dossier.
dossier
Lecture et excution Parcourir les dossiers et effectuer les oprations permises par les autorisations Lecture et
Afficher le contenu du dossier.
Modifier Supprimer le dossier et effectuer les oprations permises par les autorisations Ecriture, et
Lecture et excution. Les droits lecture, excution, afficher le contenu des dossiers et
criture sont accords explicitement
Contrle total Modifier les autorisations, prendre possession dun dossier, supprimer des sous-dossiers et des
fichiers et effectuer les oprations permises par toutes les autres autorisations NTFS sur les
dossiers.
Autorisations spciales Permet de savoir quil y a dautres autorisations qui ont t affectes. Pour les visualiser bouton
Paramtres avancs.
Lecture Lire le fichier et afficher les attributs, lappropriation et les autorisations associs au fichier.
criture Remplacer le fichier, modifier les attributs du fichier et afficher lappropriation et les
autorisations associes au fichier.
Lecture et excution Excuter des applications et effectuer les oprations permises par lautorisation Lecture.
Modification Modifier et supprimer le fichier et effectuer les oprations permises par les autorisations
Ecriture, et Lecture et excution.
Contrle total Modification + modifier les autorisations + appropriation du fichier
Par dfaut, lorsque vous accordez des autorisations sur un dossier des utilisateurs et des groupes, ils peuvent
accder aux sous-dossiers et aux fichiers quil contient. Il est important de comprendre comment les sous-dossiers et
les fichiers hritent des autorisations NTFS de leur dossier parent afin dutiliser cet hritage pour propager les
autorisations aux fichiers et aux dossiers.
Si vous accordez des autorisations sur un fichier ou dossier un compte dutilisateur individuel et un groupe dont
lutilisateur est membre, lutilisateur dispose de plusieurs autorisations sur la mme ressource. Certaines rgles et
priorits rgissent la faon dont le systme NTFS peut combiner plusieurs autorisations. De plus, vous pouvez affecter
des autorisations lorsque vous copiez ou dplacez des fichiers et des dossiers.
ALSI (S2) 7
Module 5 Gestion de donnes laide du systme de fichiers NTFS
e. Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les dossiers
Les autorisations NTFS sur les fichiers sont prioritaires sur les autorisations NTFS sur les dossiers. Par exemple, un
utilisateur qui dispose de lautorisation Modifier sur un fichier peut apporter des modifications au fichier mme sil ne
dispose que de lautorisation Lecture sur le dossier contenant le fichier.
ALSI (S2) 8
Module 5 Gestion de donnes laide du systme de fichiers NTFS
loption permettre aux autorisations :permet de bloquer des autorisations provenant des rpertoires parents.
Dcocher cette case pour rompre lhritage.
Loption remplacer les entres: permet de rinitialiser les autorisations et de forcer lhritage.
Remarque : Le sous-dossier priv de lhritage des autorisations de son dossier parent devient le nouveau dossier
parent. Les sous-dossiers et les fichiers contenus dans le nouveau dossier parent hritent des autorisations accordes
sur ce dernier.
Aprs avoir dcoch la case, vous pouvez choisir entre copier ou supprimer les autorisations hrites du parent. Faire
son choix.
Pour copier des fichiers et des dossiers dans une mme partition NTFS ou dune partition NTFS vers une autre, vous
devez disposer de lautorisation Lecture sur le dossier source et de lautorisation Ecriture sur le dossier de destination.
Quand on dplace un dossier ou un fichier dans une mme partition NTFS, le dossier ou le fichier conserve ses
autorisations dorigine.
Quand on dplace un dossier ou un fichier dune partition NTFS vers une autre, le dossier ou le fichier hrite des
autorisations du dossier de destination. Le dplacement dun dossier ou dun fichier dune partition vers une autre
consiste en ralit copier le dossier ou le fichier dans son nouvel emplacement, puis le supprimer de son
emplacement source.
Quand on dplace des fichiers ou des dossiers vers des partitions non NTFS, les dossiers et les fichiers perdent
leurs autorisations NTFS, car les partitions non NTFS ne prennent pas en charge les autorisations NTFS.
ALSI (S2) 9
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Pour dplacer des fichiers et des dossiers dans une mme partition NTFS ou dune partition NTFS vers une autre, vous
devez disposer de lautorisation Ecriture sur le dossier de destination et de lautorisation Modifier sur le fichier ou le
dossier source. Lautorisation Modifier est requise pour dplacer un dossier ou un fichier, car Windows 2003 supprime
le dossier ou le fichier du dossier source aprs lavoir copi dans le dossier de destination.
Aprs avoir validez vos choix vous remarquerez que loption Autorisations spciales est coche.
Cas N2 : Appropriation :
ALSI (S2) 10
Module 5 Gestion de donnes laide du systme de fichiers NTFS
Le propritaire actuel, ou tout utilisateur disposant de lautorisation Contrle total, peut accorder un autre
utilisateur ou un groupe dutilisateurs lautorisation standard Contrle total ou lautorisation daccs spciale
Appropriation.
Un membre du groupe Administrateurs peut prendre possession dun dossier ou dun fichier, quelles que soient
les autorisations accordes sur ce dossier ou fichier. Si un administrateur prend possession dun fichier ou dun
dossier, le groupe Administrateurs en devient le propritaire, et tout membre de ce groupe peut alors modifier les
autorisations sur ce fichier ou dossier..
Pour accorder des autorisations dappropriation des utilisateurs et des groupes, il faut :
1. Clic droit sur le dossier ou le fichier concern
2. Proprits / Scurit/Paramtres Avancs.
3. Onglet propritaires
Vous pouvez ajouter un nouveau propritaires (bouton Autres utilisateurs ou groupes)
Et/ou de remplacez le propritaire en cochant la case cette effet.
10. Les autorisations effectives sur les fichiers et les dossiers NTFS
Si vous accordez des autorisations NTFS un compte dutilisateur et un groupe dont lutilisateur est membre, vous
accordez plusieurs autorisations lutilisateur. NTFS combine ces autorisations pour gnrer les autorisations effectives
de lutilisateur selon des rgles prcises.
Description
Windows Server 2003 fournit un outil qui affiche les autorisations effectives qui sont des autorisations cumulatives
bases sur lappartenance un groupe. Les informations sont calcules partir des entres dautorisation existantes et
sont accessibles en lecture seule.
Les autorisations effectives ont les caractristiques suivantes :
Les autorisations cumulatives rsultent de la combinaison des plus hautes autorisations NTFS accordes
lutilisateur et de tous les groupes dont lutilisateur est membre.
Les autorisations sur les fichiers NTFS sont prioritaires par rapport aux autorisations sur les dossiers.
Les refus dautorisations remplacent toutes les autorisations.
Chaque objet est la proprit dun volume NTFS ou Active Directory. Le propritaire contrle la faon dont les
autorisations sont dfinies sur lobjet et qui les autorisations sont accordes.
Important : Un administrateur qui doit rparer ou changer les autorisations sur un fichier doit sapproprier ce fichier.
Appartenance
Dans la famille Windows Server 2003, le propritaire par dfaut est le groupe Administrateurs. Le propritaire peut
toujours changer les autorisations sur un objet, mme sil ne dispose daucun accs lobjet.
Lappartenance peut tre prise par :
Un administrateur. Par dfaut, le groupe Administrateurs dispose du droit dutilisateur Prendre possession des
fichiers ou dautres objets.
Tout utilisateur ou groupe qui dispose de lautorisation Appropriation sur lobjet.
Un utilisateur bnficiant du privilge Restaurer les fichiers et rpertoires.
Lappartenance peut tre transfre de diffrentes manires :
Le propritaire actuel peut attribuer lautorisation Appropriation un autre utilisateur. Lutilisateur doit prendre
effectivement possession de lobjet pour terminer le transfert.
Un administrateur peut prendre possession de lobjet.
Un utilisateur qui dtient le privilge Restaurer les fichiers et rpertoires peut double-cliquer sur Autres
utilisateurs ou groupes et peut affecter la proprit nimporte quel utilisateur ou groupe.
Important : Les autorisations sur un dossier partag ne sont pas prises en compte dans le calcul des autorisations
effectives. Laccs aux dossiers partags peut tre refus par les autorisations partages, mme si laccs est accord
par des autorisations NTFS.
ALSI (S2) 11
Module 5 Gestion de donnes laide du systme de fichiers NTFS
11. Impact de la combinaison des autorisations de dossier partag et des autorisations NTFS
Lorsque vous autorisez laccs aux ressources du rseau sur un volume NTFS, il est recommand dutiliser les
autorisations NTFS les plus restrictives pour contrler les accs aux dossiers et aux fichiers, combines avec les
autorisations de dossier partag les plus restrictives qui contrlent laccs au rseau.
Lorsque vous crez un dossier partag dans une partition NTFS, les autorisations de dossier partag et NTFS sont
combines pour protger les fichiers. Les autorisations NTFS sappliquent lorsque laccs la ressource seffectue
localement ou via un rseau.
Lorsque vous accordez des autorisations de dossier partag sur un volume NTFS, les rgles suivantes sappliquent :
Des autorisations NTFS sont ncessaires sur les volumes NTFS. Par dfaut, le groupe Tout le monde dispose
de lautorisation de lecture.
Les utilisateurs doivent disposer dautorisations NTFS sur chaque fichier et sous-dossier dun dossier partag,
en plus des autorisations de dossier partag, pour pouvoir accder ces ressources.
Lorsque vous combinez les autorisations NTFS et les autorisations de dossier partag, lautorisation rsultante
correspond lautorisation la plus restrictive des autorisations de dossier partag et des autorisations NTFS
combines.
12. Procdure didentification des autorisations effectives rsultant de la combinaison des autorisations de
dossier partag et des autorisations NTFS
Utilisez lExplorateur Windows pour afficher les autorisations effectives sur les dossiers partags. Pour dterminer les
autorisations effectives, vous devez en premier lieu dterminer les autorisations NTFS maximales et les autorisations de
dossier partag, puis comparer les autorisations.
Pour dterminer les autorisations NTFS maximales dun utilisateur sur un fichier dun volume NTFS, procdez comme
suit :
1. Dans lExplorateur de Windows, recherchez le fichier ou le dossier dont vous voulez afficher les autorisations.
2. Cliquez avec le bouton droit sur le fichier ou le dossier, puis sur Proprits.
3. Dans la bote de dialogue Proprits, cliquez sur Paramtres avancs dans longlet Scurit.
4. Dans la bote de dialogue Paramtres de scurit avancs, cliquez sur Slectionner dans longlet Autorisations
effectives.
5. Dans le champ Entrez le nom de lobjet slectionner de la bote de dialogue Slectionnez Utilisateur,
Ordinateur ou Groupe, entrez le nom dun utilisateur ou dun groupe, puis cliquez sur OK.
Les cases cocher actives indiquent les autorisations NTFS maximales dun utilisateur ou dun groupe sur un fichier ou
un dossier.
Pour dterminer les autorisations maximales dun utilisateur sur un dossier partag, procdez comme suit :
1. Ouvrez la bote de dialogue Proprits du dossier partag.
2. Recherchez les autorisations maximales dont dispose lutilisateur sur le dossier partag en dterminant quel groupe
lutilisateur appartient.
Pour dterminer les autorisations effectives sur un dossier partag, procdez comme suit :
1. Comparez les autorisations NTFS maximales avec les autorisations maximales de dossier partag.
2. Lautorisation la plus restrictive de lutilisateur entre lautorisation NTFS maximales et les autorisations de dossier
partag est lautorisation effective.
ALSI (S2) 12