====== Cours: Gestion des partages et des autorisations NTFS ======
===== La gestion des ressources partagées =====
**Définition** : le **partage** permet d'accéder à des ressources (dossiers, imprimantes) d'un serveur **par le réseau**.

C'est le service Serveur qui permet le partage des ressources. Il utilise le protocole appelé  **SMB** (Server Message Block) qui permet le partage des ressources (fichiers et imprimantes). Dans les dernières versions de Windows, il est appelé **CIFS**(Common Internet File System).

Le contrôle des accès se fait en attribuant des autorisations de partage à des comptes ou des groupes d'utilisateurs sur des dossiers partagés (et non aux fichiers).
<WRAP center round info>
Le contrôle des accès par les autorisation de partage n’est effectif que si les utilisateurs accèdent à la ressource par le réseau.
</WRAP>


Il est possible de limiter le nombre d’utilisateurs connectés simultanément au dossier. Ce nombre est limité  avec les stations de travail.

Il existe des **partages administratifs cachés** avec l'autorisation **Controle total** (CT) pour les **administrateurs** : C$, D$, ADMIN$ (dossier système Windows), $IPC (communication interprocesseur). Ces autorisations sont non modifiables.
{{ :si2:partage-ntfs_02.png |}}
==== Les autres solutions d'accès à des dossiers réseaux ====
**Samba** est une mise en œuvre de SMB pour UNIX/LINUX Afin de permettre aux clients Windows d’accéder aux répertoires et fichiers UNIX en utilisant le protocole SMB. Les clients Windows ont l’impression qu’ils accèdent à un serveur Windows. 

Le système **DFS** (Distributed File System) est une solution Microsoft qui facilite l’accès des ressources réseaux dispersées sur le réseau.

Le protocole **NFS** (Networked File System) permet de donner accès aux systèmes de fichiers présents sur le réseau comme s’ils étaient locaux.

===== La création de dossiers  partagés =====
les partages sont enregistrés dans la ****base de registre (HKLM, System, CurrentControlSet, Services, LanmanServer, Shares). 

La création de partage est donc possible sur des partitions FAT et NTFS mais il faut avoir les droits nécessaires pour modifier la base de registre.  

Pour pouvoir créer un partage :  
  * Il faut être membre d’un groupe ayant le droit de partager un dossier : **Administrateurs** et **Utilisateurs avec pouvoir**.
  * donner un nom de partage **unique** sur le même serveur

<WRAP center round info>
Attention : l'autorisation par défaut définie lors d'un partage est Lecture pour le groupe Tout le monde.
</WRAP>


Il y a plusieurs manières de créer un partage de dossier :
  * utilisez l’**explorateur Windows**, accédez aux **propriétés** du dossier et définir le partage depuis l'**onglet Partage** ; utilisez le bouton **Partage avancé** pour définir précisément les autorisations  d'accès.
{{ :si2:partage-ntfs_01.png |}}
  * utilisez la console **Gestion de l’ordinateur** (limitation sur les clients Windows)
  * les outils en **ligne de commande** en tant qu'administrateur (**cmd** - autorisation lecture par défaut ou **Powershell** en précisant les autorisations) : 
<code shell>
net share nompartage=unité:\dossier
</code>  
<code powershell>
New-SmbShare -Name nompartage -Path unité:\dossier -FullAccess Userougroupe
</code>

<WRAP center round info>
Dans un réseau, la liste des ressources partagées est centralisée sur un ordinateur **Explorateur maître** du segment de réseau (après un processus d'élection).

</WRAP>

<WRAP center round info>
Les partages peuvent être publiés dans **Active directory** (fonctionnement dans un domaine).

</WRAP>

===== Les autorisations de partage =====
  * Lecture 
  * Modifier 
  * Contrôle total 
  * Refuser
Les autorisations sont **cumulatives** sauf  l'**autorisation Refuser**.

S’il existe des autorisations NTFS, il y a combinaison des autorisations NTFS et de partage. La plus **restrictive** est effective.

<WRAP center round tip>
Définissez les autorisations en utilisant de préférence les **groupes d'utilisateurs**.
</WRAP>

===== Connexion à des dossiers partagés =====
  * par l'icône **Réseau**,
  * **Connecter un lecteur réseau** avec l’explorateur ou clic droit sur **Réseau**, en lui attribuant une **lettre de lecteur**. Le nombre de connexions est limité par les lettres de l’alphabet.
  * Commande **Exécuter** du menu démarrer  sans définir de lettre de lecteur (nombre illimité de connexions possibles) en indiquant un nom UNC (Universal Naming Convention ). Exemple :  \\serveur\nomdepartage
  * En ligne de commande avec cmd ou Powershell
<code>
net use lettre_lecteur: \\nom_serveur\nom_partage
</code>

<code powershell>
New-PSDrive -Name P -Root \\serveur\partage -PSProvider FileSystem -Persist -Credential nomdecompte
</code>
L’option « Se reconnecter à l’ouverture de session » crée une clé (base de registre)  dans HKCU, Network
  * par des scripts associés à des **GPO** au niveau du domaine

===== Les autorisations NTFS =====
**NTFS** (New Technology File System ) est un système de fichiers supporté par les SE Windows et permet de :
  * mettre des **autorisations d'accès** très spécifiques (**ACL**) sur les fichiers et les dossiers,
  * **chiffrer** des fichiers avec EFS (Encrypting File System),
  * **compresser** des fichiers,
  * d'établir des **quotas** disque.

Une **ACL** (Access Control List) est une liste d'**Access Control Entry** (**ACE**) donnant ou supprimant des autorisations  d'accès à un utilisateur ou un groupe.

Les autorisations sont  vérifiées en **local** et par le **réseau**. L'autorisation par **défaut** est **Lecture** au groupe **Utilisateurs**.

Il y a 6 autorisations standard : 
  * Lecture, 
  * Ecriture, 
  * Afficher le contenu du dossier; 
  * Lecture et exécution; 
  * Modifier; 
  * Contrôle total.

**Contrôle total** c'est : 
  * Modifier les autorisations 
  * et  prendre possession d’un dossier en plus des autorisations précédentes. 
Ce sont des autorisation spéciales

{{ :si2:partage-ntfs_0.png |}}
==== Application des autorisations NTFS ====
  * **héritage** des autorisations du parent,
  * **cumul** des autorisations : la plus large l’emporte (combinaison),
  * l'autorisation **Refuser** est **prioritaire** sur les autres. C'est à **éviter** car il suffit de ne rien mettre pour le groupe ou l’utilisateur.
  * les autorisations sur les fichiers sont prioritaires par rapport aux autorisations sur les dossiers,
  * **refuser** est prioritaire ( à éviter) ou bien ne rien mettre pour le groupe ou l’utilisateur

<WRAP center round important>
Il est nécessaire de **supprimez l'héritage** pour attribuer des autorisations différentes du dossier parent.
</WRAP>

  * Lors d’une **copie** de fichiers ou de dossiers, les autorisations sont celles du dossier de destination.
  * Lors d’un **déplacement** dans la **même partition** il y **conservation** des autorisations.
  * Lors d’un **déplacement** dans une **partition différente** il y a **perte** des autorisations.

==== Attribution des autorisations ====

Pour définir les autorisations, il faut être :
  * administrateur,
  * ou simple utilisateur disposant de l'autorisation **contrôle total**,
  * ou **propriétaire** de la ressource.

===== Quelques conseils sur l'utilisation des autorisation de partage et des autorisation NTFS =====
Regroupez les ressources dans des dossiers spécifiques :
  * un dossier pour regrouper les dossiers personnels des utilisateurs (dossier de base),
  * un dossier pour les applications,
  * un dossier pour l'ensemble des dossiers communs à plusieurs utilisateurs (dossiers partagés)

Créez des partages uniquement sur ces dossiers spécifiques  pour ne pas multiplier le nombre de partage.

Les autorisations NTFS permettent de gérer plus finement que les autorisations de partage l'accès aux ressources. Utilisez la démarche suivante :
  * définissez un partage avec comme autorisation Contrôle total pour le groupe Tout le monde.	Définissez ensuite très précisément les autorisations NTFS.
  * Utilisez l'autorisation NTFS Lire et exécuter pour les dossiers d’application (évite les suppressions et les dégâts de certains virus).
  * Utilisez l'autorisation NTFS Modifier pour des dossiers communs.
  * Utilisez l'autorisation NTFS CT à chaque utilisateur pour son dossier personnel.
  * Utilisez l'autorisation NTFS CT pour l'administrateur sur l'ensemble des dossiers (sauf les dossiers personnels).

Et bien sûr utilisez les groupes d'utilisateurs pour attribuer collectivement des autorisations.

Voici la démarche préconisée par Microsoft (dans un contexte de domaine unique, sans forêt) :
**AGDLP**, qui signifie : Account, Global group, Domain Local group, Permission.
On ne met pas d'autorisations d'accès directement sur les utilisateurs sauf si l'utilisateur est vraiment unique (dossier personnel / répertoire de base).


==== Retour Bloc 2 ====
  * [[bloc2:accueil|Cours Bloc 2]]