Mise à jour : 26/11/2006
Bonjour,
Sur ce forum et sur d'autre, beaucoup de personne on du mal avec les permissions NTFS et toute leur subtilités. Je vais essayer d'expliquer ça le plus clairement possible. Je vais traiter des permissions pour un système d'exploitation client. Le principe reste le même pour les serveur mais des notions se rajoute dessus, notament quand une machine est en domaine.
Le système de fichier NTFS est apparu avec la version NT4 de Windows au cours des années 1990, version 4. Elle est de nouveau apparu sur les systèmes dexploitation 2000 (toute version confondue) XP et 2003, version 5. Pour résumer, ce système de fichier permet de gérer des autorisations, déconomiser de lespace disque, de par sa « technologie », d'inclure une notion de propriété aux donnée, ect... Le WINFs dans les prochaines versions de Windows st prévu.
Chapitres :
- Permissions NTFS
- "Accés refusé" sur un dossier ? pourquoi ?
- Mariage des permissions
- Quelques mots sur les onglets
- Mariage entre système d'exploitation
- Mise en cache des documents
- Heritage des sécurités
Permissions NTFS :
Avantage par rapport au FAT16/32 :
- Economie de place sur le disque
- Fragmentation du disque moins importante
- Indexation des fichiers
- Recherche de fichier plus rapide
- Avoir un propre espace privé.
- Notion de propriété
- Autorisations spéciales
- Accès en lecture/écriture/modification/suppression
- Restriction daccès à certaines partie du disque (un peu comme un badge. Vous avez ou non le droit de passer)
- chiffrement des données
- Compression des données
- Gestion de laccès aux partages facilement
- Notion propriétaire
- Ect
Avec le système de fichier en NTFS vous diposez d'autorisations bien particulière qui vous permettent, de rendre ou non accessible à une personne, ou un groupe de personne.
- Sous Windows 2000 : L'onglet "securité" apparaît par défaut.
- Pour simplifier l'utilisation de Windows XP Pro, l'onglet sécurité des propriétés des fichiers et répertoires est masqué par défaut : Dans le menu Outils de l'explorateur, Options des dossiers, onglet Affichage, décochez la case "Utiliser le partage de fichiers simple (recommandé)"
Dans tous les cas, les permissions doivent être en NTFS et le certificat de crypthage doit être présent sur le système d'exploitation. (cf. "Quelques mots sur les onglets" )
- Control Total (CT) : Vous avez tous les droits sur le fichier ou le dossier. Vous pouvez, lire, exécuter, effacer si vous le désirez. Attention, des cas particulier existents (cf. cas particulier)
- Modification : Même chose que CT. Vous avez tous les droits sur le fichier ou le dossier. Vous pouvez, lire, exécuter, effacer si vous le désirez. Attention, des cas particulier existents (cf. cas particulier)
- Lecture et exécution : Vous pouvez lire les données. Par contre vous ne pouvez pas créer ou modifier des données.
- Affichage du contenu du dossier : Vous pouvez visionner le contenu du dossier. Vous ne pouvez ni lire, ni écrire.
- Lecture : Vous pouvez lire le contenu, mais en aucun écrire des données.
- Ecriture : Comme ça l'indique, vous pouvez écrire des données.
- Autorisations spéciales : paramètres avancés > Autorisations effectives. Choisissez un groupe ou un membre et accordez lui les droits que vous désirez. Ils sont un peu plus pointus que ce par défaut.
"Accés refusé" sur un dossier ? pourquoi ?
Ce que nous voyons très souvent sur les forums, cest « accès refusé, sur un dossier pourquoi ? » Cest très simple, vous navez pas les droits dy accéder. Les raisons sont multiples : Vous navez pas les droits dy accéder. Demander à votre administrateur de faire le nécessaire. Il saura mettre les permissions quil faut. Onglet sécurité, dans les propriétés du fichier ou dossier.
Vous êtes administrateur et vous ne pouvez y accéder. Mettez vous les autorisations nécessaires. Il se peut que vous ne puissiez pas. Dans ce cas, rendez-vous propriétaire du dossier. Noubliez pas de propager les droits aux objets enfants. Ce cas arrive quand vous reformatez le disque et que les données sont celle de lancien disque dur. Chaque compte crée sur les machines possède un identifiant unique (SID). Sil ne trouve pas ce SID, vous naccéder pas au dossier. Le seul moyen dy remédier cest de se rendre propriétaire du dossier ou de se donner les autorisations.
Bouton droit > propriété > sécurité > options avancés > propriétaire.
Vous êtes administrateur et vous navez toujours pas accès aux fichiers, malgré que vous soyez devenu propriétaire,etc
Il se peut que ce dernier soit chiffré. Seul les agents de récupération (groupes) ou ladministrateur (à condition davoir le certificat de cryptage) pourra parvenir à lire le contenu. Dans le cas contraire, le fichier est irrémédiablement perdu. Sous Windows XP la possibilité est donnée, de permettre à plusieurs utilisateurs daccéder au fichier crypté par le propriétaire lui-même. Ca nenlève en rien le fait davoir le certificat de cryptage).
Bouton droit sur le fichier > propriété > avancé
Mariage des permissions :
Ce quil faut savoir cest que les droits les plus restrictifs prennent le dessus. (bouton droit > propriété > sécurité). Prenons un exemple. Monsieur Dupont. Il fait parti de groupe « informatique » et « responsable ».
Exemple 1 :
Sur le dossier « London » les permissions sont les suivantes.
- CT total pour lutilisateur Dupont
- Lire pour le groupe informatique
- Aucun accès pour le groupe « responsable »
La permission au final ne sera aucun accès. La plus restrictive (Aucun accès) prend le pas sur les deux autres.
Exemple 2 :
Sur le dossier « London » les permissions sont les suivantes.
- Ecrire pour lutilisateur Dupont
- Lire pour le groupe informatique
La permission au final sera CT
Cest la somme des droits qui prime dans ce cas là : Ecrire + lire = CT (c'est pas tout à fait vrai, on peut lire et écrire sans avoir le CT totale sur le fichier ou le dossier)
Ces deux exemples montrent bien la souplesse et à la fois la complexité des permissions NTFS. Cest la même chose pour les permissions sur partages. Laccés ce fait sur les deux conditions :
- Droits sur les partages (bouton droit > propriété > partages > autorisations)
- Droits sur le dossier (onglet sécurité)
Quelques mots sur les onglets :
Pour que longlet de sécurité apparaisse :
- partition format NTFS
- Certificat de cryptage présent sur la machine
- Que lutilisateur soit membre du groupe administrateur local ou utilisateur avec pouvoir.
Pour que longlet partage apparaissent :
- partition au format NTFS
- Que lutilisateur soit membre du groupe administrateur local ou utilisateur avec pouvoir.
Décryptage du dossier ou fichier si :
- Etre membre de groupe administrateur
- Etre membre de groupe agent de récupération
- Certificat de cryptage présent sur les machines en question (Indispensable)
Comme pour une maison, la notion de propriétaire existe. Une personne qui crée un dossier, dans un espace ou lautorisation lui ai donné, en devient immédiatement propriétaire. Seul cette personne aura le droits de le supprimer (exctepté ladministrateur, toujours sous certaines condition).
Compatibilité entre système d'exploitation
- Vous avez une machine avec deux système d'exploitation (Dual Boot), 98/XP. On pars du principe que vous avez formaté 98 en FAT32 et XP en NTFS, sous Windows98, vous ne verrez pas la partition ou le disque sur lequel se trouve Windows XP. Du moins en natif. Dex logiciels tiers existe. Explications : Le NTFS n'existe pas sous 95/98/ME.
- Vous désirez "marier", NT4 avec du 98 et du 2000. Le seul point commun entre ces trois OS c'est le FAT16. Formaté donc les disques de ces trois systèmes en FAT16. Explication : Le FAT32 n'existe pas sous NT4 et le NTFS n'existe pas sous 98.
- Vous désirez "marier", NT4 et 2000. Le seul point commun entre ces trois OS c'est le NTFS ou le FAT16. Formaté donc les disques de ces deux systèmes en FAT16 ou NTFS (pas FAT32). Explication : Le FAT32 n'existe pas sous NT4.
- NT4 Workstation / Server : NTFS Version 4 en natif + FAT16
- NT4 Workstation / Server : (Mise à jour SP4 et au-delà) : NTFS version 5 + FAT16
- Windows 2000 Station/ Server : FAT16 / FAT32 / NTFS Version 5
- Windows 2003 Server : NTFS Version 5.x
- Windows XP : FAT32 / NTFS Version 5
- Windows 95 : FAT16 / FAT32
- Windows 98 : FAT16 / FAT32
Nuance : Une machine en NT42000/WindowsXP, formaté en NTFS peut accéder aux partages d'une machine en 98, même si celle-ci est formaté en FAT. Les partages ne tiennent pas compte des systèmes de fichier
Mise en cache des documents :
Puisque nous avons efleuré les partages, les autorisations, une fonction bien pratiques apparu depuis Windows2000, c'est la mise en cache des documents. Imaginons, et c'est bien réel, un commercial qui utilise des fichiers sur des ressources partagé qu'as besoin d'y accéder y compris quand il est en déplacement. Quel solution s'offre à lui ? la mise en cache des documents.
Explication : Pour résumer, quand la mise en cache est activé (nous verrons les options) les documents de la ressources partagés sont copiés sur son portable (pour prendre cet exemple). Une fois deconnecté du réseau de l'entreprise, il seront toujours "présent". A la prochaine reconnection sur le réseau, il seront synchronisé avec la ressources partagés pour les mettres à jours. Le commercial as pu travailler sans soucis.
Comment procéde t-on ? Cela fonctionne uniquement sur les dossiers, pas sur les fichiers.
Bouton droit > propriété > partage > mise en cache
Comment vous pouvez vous en aperçevoir vous avez différents paramètres :
- Mise en cache automatique des documents : Recommandé pour les dossiers qui contiennent des documents utilisateurs. Pendant le travail hors connexion, les fichiers ouverts sont automatiquement transférés et rendu disponibles. Les copies anciennes sont automatiquement effacées pour laisser la place à des fichiers plus récents. Pour assurer un partage correct de fichier, la version du fichier qui se trouve sur le serveur est toujours ouverte.
- Mise en cache automatique des programmes et des documents : Recommandé pour des dossiers qui contiennent des données en lecture seule ou des applications lancés depuis le réseau. Le partage des fichiers n'est pas assuré. Pendant le travail hors connexion, les fichiers ouverts sont automatiquement transférés et rendu disponibles. Les copies anciennes sont automatiquement effacées pour laisser la place à des fichiers plus récents.
- Mise en cache des documents : Recommandé pour les dossiers qui contiennent des documents d'utilisateurs. Les utilisateurs doivent indiquer manuellement les fichiers qui doivent être disponibles quand ils travaillent hors connexion. Pour assurer un partage correct de fichier, la version du fichier qui se trouve sur le serveur est toujours présente.
Heritage des sécurités
Toutes modifications erronées concernant l'héritage des autorisations NTFS peut causer la perte (non définitive) d'accès aux données. A n'utiliser qu'après une compréhension globale !
Conseil : entrainez-vous sur des dossiers bidons...
Remarque : il faut être administrateur pour modifier des sécurités (ou faire parti du groupe Administrateur local)
Héritage des autorisations NTFS (par défaut) :
Les autorisations accordées à un dossier sont propagées par héritage aux sous-dossiers et aux fichiers. Autrement dit, tout dossier ou fichier créé dans un dossier parent hérite de la sécurité de ce dernier.
Comment distinguer des autorisations héritées ou non ?
1/ Affichez les propriétés du dossier (clic-droit/propriété sur le dossier)
2/ Sélectionnez l'onglet Sécurité
- Les autorisations héritées apparaissent sous forme de cases à cocher sur fond grisé
- Les autorisations non héritées apparaissent sous forme de cases à cocher sur fond blanc
Peut-on modifier des autorisations ?
- on ne peut pas modifier des autorisations héritées, sauf en débloquant l'héritage
- on peut ajouter des autorisations en plus de celles héritées
Réinitialiser les authorisations depuis un dossier donné :
Cette procédure permet de réinitialiser les permissions sur tous les objets enfants d'un dossier dont la sécurité est héritée
1/ Affichez les propriétés du dossier (clic-droit/propriété sur le dossier)
2/ Sélectionnez l'onglet Sécurité
3/ Cliquez sur le bouton [Paramêtres avancés], la boîte de dialogue "Paramêtres de sécurités avancés pour
MonDossier" apparaît
4/ Cochez la case "Remplacer les autorisations de tous les objets enfants..."
5/ Cliquez sur le bouton [OK]
6/ A la boite de dialogue d'avertissement, "... Voulez vous continuez ?", cliquez sur le bouton [Oui]
7/ Quittez la boite de dialogue en cliquant sur [OK]
Bloquer/Débloquer un héritage :
Débloquer l'héritage des autorisations, c'est pouvoir modifier les autorisations d'un dossier (et éventuellement tous les objets enfants, c'est à dire toute l'arborescence à partir de ce dossier)
Bloquer l'héritage des autorisations d'un dossier, c'est rétablir les autorisations selon celles définies pour le dossier parent.
1/ Affichez les propriétés du dossier (clic-droit/propriété sur le dossier)
2/ Sélectionnez l'onglet Sécurité
3/ Cliquez sur le bouton [Paramêtres avancés], la boîte de dialogue "Paramêtres de sécurités avancés pour
MonDossier" apparaît
4-a/ Cochez la case "Hérite de l'objet parent les entrées d'autorisations" pour bloquer l'héritage
ou
4-b/ Décochez la case "Hérite de l'objet parent les entrées d'autorisations" pour débloquer l'héritage
b1/ A ce moment là, on peut décider de rompre l'héritage en copiant les autorisations qui étaient héritées
(cela permet de partir de celles-ci pour les adapter...)
en cliquant sur le bouton [Copier]
ou
b2/ on peut décider de rompre l'héritage en partant d'une sécurité vierge pour en constituer une nouvelle
en cliquant sur le bouton [Supprimer] (solution moins conseillée...)
Conseil : ne supprimez pas les autorisations administrateur, créateur propriétaine ou system
Si on souhaite que cette nouvelle sécurité (qui n'est plus héritée du dossier parent) soit malgré tout propagée
par héritage à tous les sous-dossiers et fichiers,
Cochez la case "Remplacer les autorisations de tous les objets enfants..."
5/ Quittez la boite de dialogue en cliquant sur [OK]
Cas pratique (simplifié) :
1/ Prenons le cas d'une famille de 2 enfants, on crée l'arborescence ci-dessous :
Document___Parents____Papa
| |
| |_ Maman
|
|_Enfants____Enfant1
|
|_ Enfant2
2/ Gestion des comptes : utilisateurs et groupes
Pour accèder à la gestion des comptes : clic-droit/gérer sur le poste de travail.
- création de 4 utilisateurs : papa, maman, enfant1, enfant2 (plus les mots de passe qui vont bien )
- création de 3 groupes utilisateur :
- Famille : contient les utilisateurs papa, maman, enfant1, enfant2
- Parents : contient les utilisateurs papa, maman
- Enfants : contient les utilisateurs enfant1, enfant2
- une des 2 parents (ou les 2 ) doit appartenir au groupe administrateur
3/ Affectation des sécurités :
Pour chaque dossier situés ci-dessous
- débloquez l'héritage en copiant la sécurité
- supprimez les 2 accès "Tout le monde" et "Utilisateurs"
- ajoutez les sécurités suivantes selon chaque dossier :
- Le dossier document => Groupe Famille en accès lecture
- Le dossier Parents => Groupe Parents en accès Modification
- Le dossier Enfants => Groupe Famille en accès lModification (les parents ont envis de contrôler les fichiers
des enfants )
- Le dossier Papa => Utilisateur Papa en accès Modification
- Le dossier Maman => Utilisateur Maman en accès Modification
- Le dossier Enfant1 => Utilisateur Parents et Enfant1 en accès Modification
- Le dossier Enfant2 => Utilisateur Parents et Enfant2 en accès Modification
=> n'oubliez pas de cochez la case "Remplacer les autorisations de tous les objets enfants..." dans les paramètres
avancés, ceci afin de propager les nouvelles autorisations définies.
Utilitaire pour afficher ou modifier des permissions
Vous pouvez utiliser Xcacls.exe pour définir toutes les options de sécurité du système de fichiers qui sont accessibles dans l'Explorateur Windows à partir de la ligne de commande. Pour ce faire, Xcacls.exe affiche et modifie les listes de contrôle d'accès (ACL, Access Control List) des fichiers.
En espérant avoir répondu à vos attentes
@+
cvb 
H E R I T A G E D E S S E C U R I T E S 
Copie le fichier dans le répertoire c:\Windows, puis en commande dos, il reconnaîtra xcalcs...![[:cage]](https://forum-images.hardware.fr/images/perso/cage.gif "[:cage]")