La gestion des autorisations NTFS

NTFS est un système de fichiers supporté par les SE Windows et permet de :

• mettre des autorisations d'accès très spécifiques (ACL) sur les fichiers et les dossiers,
• chiffrer des fichiers avec EFS (Encrypting File System),
• compresser des fichiers,
• d'établir des quotas disque.

Une ACL (Access Control List) est une liste d'Access Control Entry (ACE) donnant ou supprimant des autorisations d'accès à un utilisateur ou un groupe.

Les autorisations sont vérifiées en local et par le réseau. L'autorisation par défaut est Lecture au groupe Utilisateurs.

Il y a 6 autorisations standard : Lecture, Ecriture, Afficher le contenu du dossier; Lecture et exécution; Modifier; Contrôle total.

Contrôle total c'est :

• Modifier les autorisations
• et prendre possession d’un dossier en plus des autorisations précédentes. Ce sont des autorisation spéciales

• héritage des autorisations du parent,
• cumul des autorisations : la plus large l’emporte (combinaison),
• l'autorisation Refuser est prioritaire sur les autres,
• les autorisations sur les fichiers sont prioritaires par rapport aux autorisations sur les dossiers,
• refuser est prioritaire (à éviter) ou bien ne rien mettre pour le groupe ou l’utilisateur

Supprimez l'héritage pour attribuer des autorisations différentes du dossier parent (cf Lecture pour le groupe Utilisateurs).

Lors d’une copie de fichiers ou de dossiers, les autorisations sont celles du dossier de destination.

Lors d’un déplacement dans la même partition il y conservation des autorisations.

Lors d’un déplacement dans une partition différente il y a perte des autorisations.

Pour définir les autorisations, il faut être :

• administrateur,
• ou simple utilisateur disposant de l'autorisation contrôle total,
• ou propriétaire de la ressource.

Regroupez les ressources dans des dossiers spécifiques :

• un dossier pour regrouper les dossiers personnels des utilisateurs (dossier de base),
• un dossier pour les applications,
• un dossier pour l'ensemble des dossiers communs à plusieurs utilisateurs (dossiers partagés)

Créez des partages uniquement sur ces dossiers spécifiques pour ne pas multiplier le nombre de partage.

Les autorisations NTFS permettent de gérer plus finement que les autorisations de partage l'accès aux ressources. Utilisez la démarche suivante :

• définissez un partage avec comme autorisation Contrôle total pour le groupe Tout le monde,
• Définissez ensuite très précisément les autorisations NTFS,
• Utilisez l'autorisation NTFS Lire et exécuter pour les dossiers d’application (évite les suppressions et les dégâts de certains virus),
• Utilisez l'autorisation NTFS Modifier pour des dossiers communs,
• Utilisez l'autorisation NTFS CT à chaque utilisateur pour son dossier personnel (cela est fait automatiquement si le dossier personnel est créé lors de la création du compte en configurant son profil),
• Utilisez l'autorisation NTFS CT pour l'administrateur sur l'ensemble des dossiers (sauf les dossiers personnels).

Et bien sûr utilisez les groupes d'utilisateurs pour attribuer collectivement des autorisations.

Démarche préconisée par Microsoft (dans un contexte de domaine unique, sans forêt) : AGDLP, qui signifie : Account, Global group, Domain Local group, Permission.

On ne met pas d'autorisations d'accès directement sur les utilisateurs sauf si l'utilisateur est vraiment unique (dossier personnel / répertoire de base).

sisr1.c_.eleve_-_gestion_des_utilisateurs_et_des_partages.odt