====== La gestion des autorisations NTFS ====== ===== Présentation ===== **NTFS** est un système de fichiers supporté par les SE Windows et permet de : * mettre des autorisations d'accès très spécifiques (**ACL**) sur les fichiers et les dossiers, * **chiffrer** des fichiers avec EFS (Encrypting File System), * **compresser** des fichiers, * d'établir des **quotas disque**. Une **ACL** (Access Control List) est une liste d'Access Control Entry (**ACE**) donnant ou supprimant des autorisations d'accès à un utilisateur ou un groupe. Les autorisations sont vérifiées en local et par le réseau. L'autorisation par défaut est **Lecture** au groupe **Utilisateurs**. Il y a 6 autorisations standard : **Lecture, Ecriture, Afficher le contenu du dossier; Lecture et exécution; Modifier; Contrôle total**. **Contrôle total** c'est : * Modifier les autorisations * et prendre possession d’un dossier en plus des autorisations précédentes. Ce sont des autorisation spéciales ===== Application des autorisations NTFS ===== * **héritage** des autorisations du parent, * **cumul** des autorisations : la plus large l’emporte (**combinaison**), * l'autorisation **Refuser est prioritaire** sur les autres, * les autorisations sur les fichiers sont **prioritaires** par rapport aux autorisations sur les dossiers, * **refuser** est prioritaire (à éviter) ou bien ne rien mettre pour le groupe ou l’utilisateur **Supprimez l'héritage** pour attribuer des autorisations différentes du dossier parent (cf Lecture pour le groupe Utilisateurs). Lors d’une **copie** de fichiers ou de dossiers, les autorisations sont celles du dossier de destination. Lors d’un **déplacement dans la même partition** il y conservation des autorisations. Lors d’un **déplacement dans une partition différente** il y a perte des autorisations. ===== Attribution des autorisations ===== Pour définir les autorisations, il faut être : * administrateur, * ou simple utilisateur disposant de l'autorisation contrôle total, * ou propriétaire de la ressource. ===== Quelques conseils ===== Regroupez les ressources dans des dossiers spécifiques : * un dossier pour regrouper les dossiers personnels des utilisateurs (dossier de base), * un dossier pour les applications, * un dossier pour l'ensemble des dossiers communs à plusieurs utilisateurs (dossiers partagés) Créez des partages **uniquement sur ces dossiers spécifiques** pour ne pas multiplier le nombre de partage. Les autorisations NTFS permettent de gérer plus finement que les autorisations de partage l'accès aux ressources. Utilisez la démarche suivante : * définissez un partage avec comme autorisation **Contrôle total** pour le groupe **Tout le monde**, * Définissez ensuite très précisément les autorisations NTFS, * Utilisez l'autorisation NTFS **Lire et exécuter** pour les dossiers d’application (évite les suppressions et les dégâts de certains virus), * Utilisez l'autorisation NTFS **Modifier** pour des **dossiers communs**, * Utilisez l'autorisation NTFS **CT** à chaque utilisateur pour son dossier personnel (cela est fait automatiquement si le dossier personnel est créé lors de la création du compte en configurant son profil), * Utilisez l'autorisation NTFS **CT** pour l'administrateur sur l'ensemble des dossiers (sauf les dossiers personnels). **Et bien sûr utilisez les groupes d'utilisateurs pour attribuer collectivement des autorisations.** ===== Rappel ===== Démarche préconisée par Microsoft (dans un contexte de domaine unique, sans forêt) : {{ :reseau:ad:gestionressources:agdlp.png |}} **AGDLP**, qui signifie : **A**ccount, **G**lobal group, **D**omain **L**ocal group, **P**ermission. On ne met pas d'autorisations d'accès directement sur les utilisateurs sauf si l'utilisateur est vraiment unique (dossier personnel / répertoire de base). {{:reseau:ad:gestionressources:sisr1.c_.eleve_-_gestion_des_utilisateurs_et_des_partages.odt|}}