comment gere les droit de Sécurité NTFS et partage

Cette Article  a  pour  but  de  définir  le  système  de  gestion  de  fichiers  NTFS, les  permissions d’accès  aux  fichiers  et  de  manière  plus  général  les  droits  qu’il  est  possible  de  gérer  sur  lesfichiers et dossiers d’une partition NTFS.

Gérer les permissions NTFS

Les  permissions  NTFS  sont  des  règles  liées  à  des  objets  qui  définissent  quels  utilisateurs peuvent  accéder  a  quels  objets  et  avec  quels  permissions.  Les  permissions  NTFS  sont uniquement  disponibles  sur  des  volumes  NTFS,  et  ne  sont  pas  disponible  sur  des  volumes formatés en FAT ou en FAT32. Les permissions en place sur les dossiers sont différentes des permissions en place sur les fichiers.

Droits NTFS sur les dossiers

Lorsque  l’on  met  en  place  des  droits  NTFS  sur  un  dossier,  ces  permissions  s’appliquent  à  ce dossier,  aux  sous-dossiers  ainsi  qu’aux  fichiers  présent  dans  ce  dossier.  Ci-dessous  la description des droits sur les dossiers.

Permissions NTFS sur les dossiers	Permet de
Contrôle Total	Changer les permissions, prendre la propriété, supprimer des sousdossiers et fichiers, faire ce que permettent les autres droits NTFS
Modification	Supprimer le dossier, faire ce que permet la permission en écriture et celle de « lecture et exécution »
Lecture et exécution	Parcourir les dossiers, même si l'utilisateur n'a pas de droits sur ce dossier, faire ce que permet le droit en lecture et l'affichage du contenu du dossier.
Affichage du contenu du dossier	Voir le nom des fichiers et des sous-dossiers
Lecture	Visualiser les fichiers et sous-dossiers, identifier le propriétaire, les permissions et les attributs (lecture seule, caché)
Ecriture	Créer des nouveaux fichiers et sous-dossiers, modifier les attributs du dossier, voir le propriétaire du dossier et les permissions.

Droits NTFS sur les fichiers

Lorsque l’on met en place des droits NTFS sur un fichier, ces droits ne s’appliquent que sur le fichier en question. Ci-dessous la description des droits sur un fichier.

Permissions NTFS sur les dossiers	Permet de
Contrôle Total	Changer les permissions, prendre la propriété, faire ce que permet les autres droits NTFS
Modification	Modifier et supprimer le fichier, faire ce que permet la permission en écriture et celle de lecture et exécution
Lecture et exécution	Lancer des applications et faire ce que permet le droit en lecture
Lecture	Visualiser les fichiers, voir le propriétaire, les permissions et les attributs (lecture seule, caché)
Ecriture	Créer et écraser un fichier, modifier les attributs voir le propriétaire du dossier et les permissions.

Les ACLs

Le  système  NTFS  enregistre  un  ACL pour  chaque  fichier  ou  dossier  d’un  volume  NTFS.
L’ACL  contient  une  liste  des  comptes  utilisateurs  et  des  groupes  avec  l’autorisation  d’accès pour le fichier ou le dossier.  Lorsqu’un utilisateur tente d’accéder à une ressource, l’ACL doit contenir  une  entrée  (un  ACE)  pour  le  compte  d’utilisateur  ou  le  groupe  dans  lequel l’utilisateur fait  parti.  L’entrée  en  question  doit  contenir  le  type  d’accès  demandé  pour autoriser  la  requête.  S’il  n’existe  pas  d’ACE  spécifique  pour  l’utilisateur  en  question,  l’accès
est refusé.

Les permissions sont cumulatives

Il  est  possible  de  définir  de  multiples  permissions  d’accès  à  un  utilisateur.  En  effet, l’affectation des droits ne se fait pas seulement avec les comptes d’utilisateurs mais aussi avec les  groupes d’utilisateurs.  Au  final,  un  utilisateur  qui  se  trouve  dans  plusieurs  groupes  se  voit affectés  la somme  des  droits  des  groupes  auquel  il  appartient.  Par  exemple,  si  un  utilisateur  à un accès en lecture pour  un dossier et qu’il est membre d’un groupe qui a un accès en  écriture sur ce dossier, alors l’utilisateur aura les droits en lecture et en écriture sur ce dossier.

Les permissions sur les fichiers supplantent les permissions sur les dossiers

Dans le système de gestion NTFS, les droits NTFS sur les fichiers sont prioritaires par rapport aux  droits  NTFS  sur  les  dossiers.  Un  utilisateur  qui  a  un  droit  sur  un  fichier  conservera  ce droit  même  si  le  fichier  est  dans  un  dossier  pour  lequel  l’utilisateur  n’a  pas  de  droit.  Dans  ce cas,  l’utilisateur  devra  accéder  au  fichier  en  utilisant  l’UNCcomplet  de  ce  fichier.  En d’autres  termes,  si  vous  n’avez  pas  accès  au  contenu  d’un  dossier  mais  accès  à  un  fichier  qui se  trouve  à  l’intérieur  de  ce  dossier,  alors  vous  devrez  connaître  le  chemin  complet  du  fichier pour pouvoir y accéder.Pour  palier  à  ce  problème,  il  est  possible  de  simplement  attribuer  les  droits  de  « Affichage  du contenu du dossier », ce qui permet à l’utilisateur de naviguer à travers les différents dossiers.

Les refus d’accès supplantent les autorisations d’accès.

Il est possible de définir des refus d’accès à un compte d’utilisateur ou à un groupe, cependant
cette  méthode  n’est  pas  la  méthode  recommandée  pour  contrôler  les  accès  aux  ressources.
Lorsque  l’on  définit  des  refus  d’accès,  ces  refus  d’accès  sont  prioritaires  par  rapport  aux
possibles autorisations d’accès, qui pourraient concourir pour l’accès à une ressource.

Au final, il faut retenir les 3 règles suivantes :

• Les permissions NTFS sont cumulatives
• Les permissions sur les fichiers sont prioritaires sur les permissions sur les dossiers
• Un refus d’accès est prioritaire sur une autorisation d’accès

Héritage des permissions NTFS

Par  défaut,  les  permissions  définies  sur  un  répertoire  se  propagent  sur  l’ensemble  des sousdossiers  et  fichiers  contenu  dans  ce  dossier.  Quelque  soit  les  permissions  que  vous définissez sur un dossier, ces permissions se retrouveront héritées sur les sous-dossiers existants ou créer par  la  suite,  ainsi  que  sur  les  fichiers.  Cependant,  il  est  possible  de  casser  l’héritage,  de  sorte que la propagation des droits NTFS n’ait plus lieu.

 Si  vous  décidez  de  casser  l’héritage  dans  votre  arborescence  de  dossiers,  alors  le  lien  sera perdu  entre  les  permissions  des  dossiers  parents  et  le  dossier  sur  lequel  vous  avez  défini l’héritage.  Le  dossier  sur  lequel  vous  avez  cassé  l’héritage  devient  alors  « top  parent  folder ». Ainsi,  tous  les  sous  dossiers  et  fichiers  du  dossier  « top  parent  folder »  vont  se  retrouver  à hériter leurs permissions de ce « top parent folder », et non plus de la racine des dossiers..

 Si  vous  décidez  de  casser  l’héritage,  le  système  vous  propose  deux  options :  Les  droits  NTFS sont dupliqués sur la base de droits hérités. Dans  ce cas l’on repart depuis  les droits hérités, et l’on  peut  ensuite  les modifier  comme  on  l’entend.  La  seconde  option  consiste  à  repartir  de  0,, avec des permissions vierge, sans aucune permission.

Conseil de Gestion

• Pour  simplifier  l’administration,  regrouper  les  données  entre  données  applicatives, données  de  travail  et  répertoires  personnels.  Cela  permettra  de  définir  les  permissions sur  des  dossiers  et  non  pas  sur  des  fichiers.  La  sauvegarde  n’a  pas  besoin  de  s’attarder sur les données applicatives, sauvegardés par ailleurs.

• Il  ne  faut  permettre  aux  utilisateurs  l’accès  aux  données  que  lorsqu’ils  doivent  y accéder.  Si  un  utilisateur  n’a  qu’un  besoin  en  lecture  sur  un  fichier,  il  ne  faut  lui permettre  que  l’accès  en  lecture.  Cela  réduit  le  risque  de  modifications  ou  de suppressions accidentelles.

• Il  est  préférable  de  travailler  avec  des  groupes  d’utilisateurs  qu’avec  des  utilisateurs, pour  l’affectation  des  permissions.  Cela  permet  de  ne  pas  modifier  les  ACL  et  de  ne modifier  que  l’appartenance  à  un  groupe.  Ainsi,  on  ne  donne  d’accès  directement  à  un utilisateur que si la gestion par groupe est trop problématique

• Il  est  recommandé  de  ne  permettre  que  l’accès  en  « Lecture  et  exécution »  au  groupe des « Utilisateurs » et au group des « Administrateurs ».

• Il est recommandé de  casser l’héritage dès le premier répertoire à l’intérieur du lecteur (ex : F:\Local\)

• N’inscrire  des  refus  d’accès  qu’en  cas  de  nécessité,  c’est  méthode  porte  très fréquemment à confusion.

 Avec  Windows  2000,  un  utilisateur  qui  ne  dispose  pas  d’un  compte  valide  se  retrouve  avec les  droits  d’invité.  De  ce  fait,  il  a  les  droits  du  groupe  « Everyone »,  qu’il  faut  également éviter  d’utiliser  (pour  cette  raison  même).  (Le  groupe  « Everyone »  comprend  le  compte « guest », si ce dernier est autorisé sur le serveur qui héberge la ressource NTFS)

Copier et Déplacer des dossiers/fichiers

Lorsque  l’on  copie  ou  déplace  des  fichiers  ou  des  dossiers,  les  permissions  en  place  sur  ces
données peuvent changer.

Copie de données

Lorsque l’on copie des données entre des dossiers ou des volumes :

• Windows  considère  qu’il  s’agit  de  nouveaux  fichiers,  les  droits  reprennent  donc  ceux du répertoire de destination.

• Vous devez avoir des droits d’écriture dans le dossier destination

• Vous devenez le « Creator Owner »

 Déplacement de données

Lorsque l’on déplace des données au sein du même volume NTFS :

• Les données conservent les droits originaux

• Vous  devez  avoir  le  droit  en  écriture dans le dossier destination

• Vous  devez  avoir  les  droits  de modification sur les données sources.

• Vous devenez le « Creator Owner »