Ceci est une ancienne révision du document !
Définition : le partage permet d'accéder à des ressources (dossiers, imprimantes) d'un serveur par le réseau.
C'est le service Serveur qui permet le partage des ressources. Il utilise le protocole appelé SMB (Server Message Block) qui permet le partage des ressources (fichiers et imprimantes). Dans les dernières versions de Windows, il est appelé CIFS(Common Internet File System).
Le contrôle des accès se fait en attribuant des autorisations de partage à des comptes ou des groupes d'utilisateurs sur des dossiers partagés (et non aux fichiers).
Le contrôle des accès par les autorisation de partage n’est effectif que si les utilisateurs accèdent à la ressource par le réseau.
Il est possible de limiter le nombre d’utilisateurs connectés simultanément au dossier. Ce nombre est limité avec les stations de travail.
Il existe des partages administratifs cachés avec l'autorisation Controle total (CT) pour les administrateurs : C$, D$, ADMIN$ (dossier système Windows), $IPC (communication interprocesseur). Ces autorisations sont non modifiables.
Samba est une mise en œuvre de SMB pour UNIX/LINUX Afin de permettre aux clients Windows d’accéder aux répertoires et fichiers UNIX en utilisant le protocole SMB. Les clients Windows ont l’impression qu’ils accèdent à un serveur Windows.
Le système DFS (Distributed File System) est une solution Microsoft qui facilite l’accès des ressources réseaux dispersées sur le réseau.
Le protocole NFS (Networked File System) permet de donner accès aux systèmes de fichiers présents sur le réseau comme s’ils étaient locaux.
les partages sont enregistrés dans la base de registre (HKLM, System, CurrentControlSet, Services, LanmanServer, Shares).
La création de partage est donc possible sur des partitions FAT et NTFS mais il faut avoir les droits nécessaires pour modifier la base de registre.
Pour pouvoir créer un partage :
Attention : l'autorisation par défaut définie lors d'un partage est Lecture pour le groupe Tout le monde.
Il y a plusieurs manières de créer un partage de dossier :
net share nompartage=unité:\dossier
New-SmbShare -Name nompartage -Path unité:\dossier -FullAccess Userougroupe
Dans un réseau, la liste des ressources partagées est centralisée sur un ordinateur Explorateur maître du segment de réseau (après un processus d'élection).
Les partages peuvent être publiés dans Active directory (fonctionnement dans un domaine).
Les autorisations sont cumulatives sauf l'autorisation Refuser.
S’il existe des autorisations NTFS, il y a combinaison des autorisations NTFS et de partage. La plus restrictive est effective.
Définissez les autorisations en utilisant de préférence les groupes d'utilisateurs.
net use lettre_lecteur: \\nom_serveur\nom_partage
New-PSDrive -Name P -Root \\serveur\partage -PSProvider FileSystem -Persist -Credential nomdecompte
L’option « Se reconnecter à l’ouverture de session » crée une clé (base de registre) dans HKCU, Network
Il est nécessaire de supprimez l'héritage pour attribuer des autorisations différentes du dossier parent.
* Lors d’une
copie de fichiers ou de dossiers, les autorisations sont celles du dossier de destination. * Lors d’un déplacement dans la même partition il y conservation des autorisations. * Lors d’un déplacement dans une partition différente il y a perte des autorisations. ==== Attribution des autorisations ==== Pour définir les autorisations, il faut être : * administrateur, * ou simple utilisateur disposant de l'autorisation contrôle total, * ou propriétaire de la ressource. ===== Quelques conseils sur l'utilisation des autorisation de partage et des autorisation NTFS ===== Regroupez les ressources dans des dossiers spécifiques : * un dossier pour regrouper les dossiers personnels des utilisateurs (dossier de base), * un dossier pour les applications, * un dossier pour l'ensemble des dossiers communs à plusieurs utilisateurs (dossiers partagés) Créez des partages uniquement sur ces dossiers spécifiques pour ne pas multiplier le nombre de partage. Les autorisations NTFS permettent de gérer plus finement que les autorisations de partage l'accès aux ressources. Utilisez la démarche suivante : * définissez un partage avec comme autorisation Contrôle total pour le groupe Tout le monde. Définissez ensuite très précisément les autorisations NTFS. * Utilisez l'autorisation NTFS Lire et exécuter pour les dossiers d’application (évite les suppressions et les dégâts de certains virus). * Utilisez l'autorisation NTFS Modifier pour des dossiers communs. * Utilisez l'autorisation NTFS CT à chaque utilisateur pour son dossier personnel. * Utilisez l'autorisation NTFS CT pour l'administrateur sur l'ensemble des dossiers (sauf les dossiers personnels). Et bien sûr utilisez les groupes d'utilisateurs pour attribuer collectivement des autorisations. Voici la démarche préconisée par Microsoft (dans un contexte de domaine unique, sans forêt) : AGDLP**, qui signifie : Account, Global group, Domain Local group, Permission.On ne met pas d'autorisations d'accès directement sur les utilisateurs sauf si l'utilisateur est vraiment unique (dossier personnel / répertoire de base).