|
Gestion
de partage et permission NTFS.
|
Sommaire
1. Partage de dossiers
L’objectif principal d’un réseau est bien évidemment de
pouvoir utilisé les fichiers ou dossiers situés sur un autre micro (station ou
serveur). Pour cela l’Administrateur ou son équivalent devra mettre en place le
partage des Ressources afin de les rendre accessibles via le réseau aux
utilisateurs. Il mettra ces ressources disponibles avec des droits différents
(lecture, lecture, Control total …) en fonction des profils des utilisateurs.
Deux grandes familles de sécurité existent dans le monde des
réseaux et particulièrement dans le monde Microsoft/Windows.
Sécurité au niveau Ressource.
C’est le type de sécurité des premiers systèmes
d’exploitation Windows comme Windows pour Workgroups, Win 9X … Dans cette
« topologie » la sécurité d’accès à une ressource est
conditionnée par un mot de passe. Ce mot de passe est attribué par type d’accès
et par ressource de façon totalement indépendante des utilisateurs
(c'est-à-dire indépendant de qui accède à la ressource). L’administrateur ou vous-même pouvez décider
qu’un répertoire ne sera accessible en accès complet en entrant un mot de passe
défini par vous-m^me et par contre qu’un autre dossier sera accessible en
lecture sans aucun mot de passe.
Avec des Système d’exploitation comme Windows For Workgroups
ou Win 9x la sécurité d’accès à une ressource repose à la saisie d’un mot de
passe qui sont stockés dans un fichier PWL (Password List).
Avec SMB un client Windows 2003 pour ce protocole sera nommé
Client pour les réseaux Microsoft
Le composant serveur sera nommé Partage de fichiers et d’imprimantes
pour les réseaux Microsoft
Propriétés connexion locale
Sécurité au niveau utilisateur.
Sur les systèmes d’exploitation de type NT, W2000 seule la
sécurité au niveau utilisateur est possible.
Par contre sous Win95/98 les deux
sont possibles.
Dans une sécurité utilisateur de type NT ou W2000/2003 vous
devez vous authentifier avant de pouvoir prétendre accéder à une ressource
partagée. Avec ce mode l’utilisateur va pouvoir être désigné comme utilisateur
autorisé à accéder à une ressource avec un type d’accès particulier. En plus
les utilisateurs pourront être regroupés en « groupe » avec pour
chacun des types d’accès particuliers.
1.1. Partager un dossier
Rappels : Comme avec W2K et XP les fichiers
ne sont par partagés sous Windows 2003, c’est uniquement
que les dossiers
Par défaut certaines ressources sont partagées. Ils sont
appelés partages administratifs prédéfinis et sont réservés aux administrateurs pour la gestion,
et la réalisation de tâches administratives (en particulier pour
les stations distantes)
Ils sont cachés aux utilisateurs sans droits administratifs
et uniquement accessibles par l’Administrateur ou son équivalent.
Le caractère $ rend
les partages invisibles avec Favoris
Réseau
Par défaut, les administrateurs disposent de l'autorisation Contrôle
total
Partages administratifs
|
Partage
|
Objet
|
|
C$, D$, E$
|
La racine de chaque volume est automatiquement partagée.
Ceci permet aux administrateurs d'accéder à distance aux volumes des
ordinateurs du réseau. L'autorisation Contrôle Total, est accordée aux
membres du groupe Administrateurs. Ce partage administratif n'existe pas pour
les supports amovibles (CRROM, DVD, …).
|
|
Admin$
|
Ce partage correspond au dossier qui contient les fichiers
système, en principe C:\Winnt. L'autorisation Contrôle Total, est accordée
aux membres du groupe Administrateurs.
|
|
IPC$
|
Sert pour la communication entre les processus
|
|
Print$
|
Le dossier C:\winnnt\System32\Spool\Drivers est partagé à
l'installation de la première imprimante sous le nom de partage Print$. Il
contient les pilotes d'imprimantes pour Windows
|
|
Netlogon
|
Ce partage contient les scripts utilisateurs et stratégies
pour la compatibilité des clients antérieurs a Windows 2000.
|
|
Sysvol
|
Partage utilisé pour synchroniser des scripts et
stratégies du domaine entre les contrôleurs de domaine. Attention car ce
n’est pas le premier répertoire Sysvol qui est partagé mais
%systemroot%\sysvol\sysvol
|
Tableau des dossiers
administratifs partagés.
Pour partager un dossier sous W2003 vous devez posséder
certains privilèges. Sur un contrôleur de domaine vous devez faire partie soit
du groupe administrateurs, soit du groupe opérateurs de serveurs. Par contre
sur un serveur ou une station travail
vous devez être membre du groupe administrateurs ou utilisateurs avec pouvoirs.
1.1.1. Partage à partir de l’Explorateur
Sélectionnez le dossier à partager, puis menu Fichier
– partage et sécurité ou à partir du menu contextuel
Clic droit dossier à partager è option Partager.
Cochez Partager ce dossier.
Possibilité de changer le nom du partage (visible sur le
réseau).
Commentaire éventuel.
Possibilité de restreindre ou non le nombre de connexions
simultanées sur ce partage. Par défaut la limite est égale à 10 connexions
simultanées ce qui correspond au Maximum autorisé pour Windows XP ou
jusqu’à concurrence des licences pour un serveur W2003.
Possibilité de plusieurs noms partage différents pour un
même dossier.
Si vous avez (encore) des clients DOS et Windows for
Workgroups vous devez utiliser des noms de partages sous la forme 8.3 caractères.
Partage de ressources
Pour Modifier les Autorisations d’accès à travers le
réseau cliquez sur le bouton Autorisations.
Par défaut Lecture
pour le groupe Tout le Monde est appliqué
Permissions de dossier partagé:
x Lecture: utilisateur peut lire les
fichiers, exécuter des programmes et parcourir les sous-dossiers
x Modifier: Lecture + créer, modifier ou
supprimer des dossiers et fichiers
x Contrôle total: Modifier + droit changer
les permissions
Possibilité d’Autoriser ou Refuser une permission
Si appartenance à plusieurs groupes combinaison des
permissions, la permission finale pour l’utilisateur sera une combinaison de
ces permissions (en résumé la plus
élevée). Avec pour exception le cas ou une permission est positionnée sur la colonne Refuser. Dans
ce cas Refuser est prioritaire.
Vous avez pour un même dossier le droit de créer plusieurs
noms de partage différents. Il vous suffit de cliquer sur le bouton Nouveau
Partage.
Possibilité d’Ajouter
de nouveaux Utilisateurs ou groupe d’utilisateurs
Autorisations de partage
1.1.2. A partir de la console Gestion de
l’ordinateur
Allez dans la fenêtre Gestion de l’ordinateur,
puis dans la
rubrique Dossiers partagés, sélectionnez Partages.
Allez dans le menu Action – Nouveau partages de fichiers pour
démarrer l’assistant de création d’un partage.
Dossiers partagés – Partages – Assistant
Dans l’écran suivant vous devez saisir le chemin local à partager ou via le bouton
Parcourir afin d’entrer un dossier existant ou en créer un nouveau.
Dossiers partagés – Assistant Partages1 –
Ensuite vous devez entrer ou modifier les autorisations à
apporter au dossier. Vous pouvez choisir l’un des trois réglages prédéfinis ou personnaliser (Modifier) selon
vos souhaits. En final une fenêtre récapitule l’opération de création du partage.
Dossiers partagés – Assistant Partages2 –
1.1.3. Cesser ou supprimer un partage
Cette opération est équivalente à en supprimer l’accès à travers le réseau ainsi que toutes les permissions associées.
Vous pouvez réaliser cette cessation de partage soit à partir de l’Explorateur
ou via la console précédente de Gestion de l’ordinateur.
A partir de l’explorateur sélectionnez le dossier partagé.
Puis à partir du menu contextuel sélectionnez Propriétés. Sélectionnez
le partage puis cliquez sur le bouton Supprimer le partage.
Vous pouvez aussi réaliser cette opération à partir de ka
fenêtre Gestion de l’ordinateur. Dans la rubrique Outils
système – Dossiers partagés – Partage – sélectionnez le nom
du partage à supprimer puis à partir du menu contextuel validez Arrêter le
partage.
1.1.4. Se connecter à une ressource partagée
Plusieurs possibilités s’offrent à vous pour vous connecter
à une ressource partagée sur le réseau
Vous pouvez par exemple utiliser à partir de l’Explorateur la navigation directe avec les noms UNC. Sélectionnez Favoris réseaux – Tout
le réseau – Réseau Microsoft Windows- puis l’endroit ou se situe la
ressource partagée (domaine ou groupe de travail, puis le nom de machine).
Connecter un lecteur réseau
Les ressources mémorisés et déjà partagés apparaissent.
Sélectionnez la ressource apparaissant comme déjà partagée. Puis clic droit
afin de faire apparaître le menu contextuel. Validez Connecter un lecteur
réseau.
Connecter un lecteur réseau 2
Ensuite vous devez
Choisir une lettre de lecteur
Choisir le Chemin de
la ressource partagée de type UNC (\\serveur\partage)
Cocher Se
reconnecter à l’ouverture de session
La Possibilité de se connecter sur un Nom
d’utilisateur différent.
Le répertoire que vous venez de partager est maintenant
accessible par un double clic sur l’icône Favoris
réseau. L’ajout de favoris réseau peut se réaliser directement à partir de
l’icône Ajout d’un Favori réseau.
1.1.5. Contrôler les partages
Vous pouvez contrôler les partages à partir de la console Gestion
de l’ordinateur. Ce contrôle des partages permet à l’utilisateur ou à l’administrateur
d’afficher les utilisateurs du réseau accédant à une ressource partagée et
permet aussi de contrôler l’accès à cette ressource.
Le dossier Fichiers ouverts donne la liste de tous
les fichiers ouverts sur le serveur. Vous pouvez directement à partir de cette
fenêtre fermer certains fichiers. Avec
cette action si le fichier était ouvert en lecture/écriture toutes les
modifications seront perdues. Par contre cette connexion ne peut être que
temporaire car s’il veut,
l’utilisateur peut réutiliser la ressource dès qu’il le veut.
Contrôle des partages – Fichiers ouverts –
Contrôle des partages – Partages –
Envoi de messages administratifs
Avec la
console Gestion de l’ordinateur vous pouvez
envoyer un message pour prévenir les utilisateurs. Vous pouvez les inviter au
café … ou si vous êtes technicien de maintenance vous pouvez prévenir les
utilisateurs que vous allez couper le serveur et qu’ils doivent sauvegarder
leurs données.
A partir de la rubrique Dossiers partagés – (menu
contextuel) – Action – Toutes les tâches – Envoyer un message
de console – puis saisissez votre message. Dans la fenêtre inférieure (Destinataires)
apparaît toutes les stations connectées. Avec les boutons Ajouter ou Supprimer
pour modifier la liste.
envoi de messages administratifs
Nota : le service Affichage de message
doit être démarré sur les postes destinataires.
1.2. Système de fichiers NTFS
Ce système de fichiers existait déjà sous NT4, mais on le
trouve dans sa version 5 sous Windows 2003. Le formatage NTFS 5 est recommandé
par Microsoft, car il permet des fonctions supplémentaires par rapport aux
systèmes FAT en ce qui concerne les fonctions :
de récupération des données
de compression dossiers par dossiers en temps réel
de limitation de capacité par utilisateur (quotas de disque)
d’individualisation des répertoires du disque (sécurité
individuelle)
de sécurité. Les autorisations NTFS sur les dossiers et les
fichiers garantissent leur accès aussi bien par rapport aux utilisateurs
travaillant sur l’ordinateur qu’à ceux qui y accèdent par le réseau.
d’encryptage. NTFS 5 permet d’encrypter les données
inscrites sur les partitions
1.2.1. Structure du système de fichiers NTFS 5
Structure de volume ou de partition
NTFS 5 utilise des clusters (ou unités d’allocation)
constitués de un ou plusieurs secteurs. La taille des clusters varie en
fonction de la taille de la partition NTFS. Par exemple, pour une partition
de 512 Mo, il n’y qu’un secteur par cluster et la taille de ce cluster est de
512 octets. Pour une partition (stockage de base) ou un volume (stockage
dynamique) de 32 Go, il y a 128 secteurs par cluster et la taille des clusters
est donc de 64 Ko.
Secteur d’amorçage
Le secteur d’amorçage contient le code qui permet de
localiser et charger les fichiers de démarrage de Windows 2003 tel que le
fichier Ntdlr.
MFT (Master File Table)
Cette table contient
pour chaque volume les informations concernant chaque fichier : son nom,
sa taille, sa date de création et celle de mise à jour, les autorisations, les
attributs et autres.
Pour chaque répertoire et chaque fichier, il y a un
enregistrement dans la
table MFT.
Conversion d’un volume au format NTFS
Lorsque vous convertissez un volume avec cet outil, la
structure des fichiers et des répertoires est préservée et aucune donnée ne
sera perdue.
Syntaxe complète de la Commande :
CONVERT Volume /FS:NTFS [/V] [/X]
[/CvtArea :nomfichier] [NoSecurity]
Volume: spécifie
la lettre de lecteur (C:, D: …) ou le nom de volume
/FS:NTS spécifie que le volume va
être converti en NTFS
/V indique
que CONVERT va s’exécuter en mode « bavard ». (commentaires).
/X force
le démontage du volume avant la conversion (si nécessaire)
/CvtArea : nomfichier définit
le nom d’un fichier à secteurs contigus dans le répertoire racine qui recevra les
fichiers systéme NTFS.
/NoSecurity supprime
tous les attributs de sécurité et rend les fichiers et les répertoires accessibles au
groupe Tout le monde
Par contre le passage de NTFS vers FAT n’est pas possible
Solution: Sauvegarde complète de vos données, formater une nouvelle partition
en FAT, Restaurer vos données sur cette partition.
Exécution de Check Disk depuis la ligne de commande
Cet utilitaire peut être exécuté à partir de l’invite de
commande ou depuis d’autres utilitaires. A partir de l’invite de commande
tapez :
CHKDSK pour
vérifier le lecteur courant.
Cette commande possède de nombreuses options :
Volume: indique
le volume à manipuler
Nom de fichier : FAT/FAT
32 uniquement : indique les fichiers à contrôler du point de vue de la
fragmentation
/F Répare les erreurs du disque
/V sur FAT/FAT 32 : affiche le chemin d’accès complet et le nom de chaque
fichier du disque. Sur NTFS :
affiche mes éventuels messages de nettoyage.
/R Localise les secteurs défectueux et récupère
les informations lisibles (implique
l’utilisation du commutateur /F).
/L : taille NTFS seulement : modifie la taille du
fichier journal
/X Entraîne le démontage
préalable du disque si nécessaire (implique l’utilisation du commutateur /F).
/I NTFS
seulement : effectue une vérification minimale des entrées d’index.
/C NTFS
seulement : saute la vérification des cycles au sein de la structure
de dossiers.
Exécution de CHKDSK en mode commande
Exécution de Check Disk de manière interactive
Vous pouvez exécuter Check Disk de manière interactive à
l’aide de l’explorateur de Windows ou de l’outil Gestion des disques.
A partir du lecteur à
tester, cliquez droit dessus puis sélectionnez Propriétés, puis cliquez sur
Vérifier maintenant.
Dans la fenêtre inter active Check Disk vous pouvez
cocher :
Rechercher et tenter une réparation des secteurs défectueux
Réparer automatiquement les erreurs du système de fichiers
Check Disk en inter actif
Windows 2003 prend en charge les CD-ROM et les DVD.
1.2.2. CDFS
Windows 2003 permet la lecture des CD-ROM conformes aux
normes ISO 9660 et ISO 9660 niveau 2 avec noms de fichiers longs. Les noms des
fichiers et répertoires doivent être en majuscules.
1.2.3. UDF
Le format UDF (Universal Disk Format) permet la lecture de
certains CD-ROM, mais surtout des DVD[1]. Il
permet aussi l’écriture sur des supports réinscriptibles CD-RW ou à écriture
unique CD-R ou WORM[2].
Le système Windows 2003 seul, permet la lecture directe de ce type de support.
Pour l’écriture, il faut lui adjoindre une application spécifique (type NERO).
La prise en charge des DVD en lecture seule permet de
disposer de supports à grande capacité. Ainsi, le support technique Microsoft
TechNet est fourni sur ce support.
2. Sécurité des systèmes de fichiers
Les permissions vues précédemment s’appliquent aux
utilisateurs accédant aux ressources via le réseau. Par contre aucune limite de
partage n’est mise en œuvre pour les utilisateurs accédant localement à
l’ordinateur. Nous allons voir comment sécurisé les données contre un accès non
autorisé et cela localement. Cela n’est possible qu’avec le système de fichier
NTFS car il permet la mise en œuvre des attributs de sécurité et d’audit
NTFS permet de maintenir à jour par fichier ou dossier une
liste de contrôles d’accès ou ACL contenant au niveau système de fichiers les
numéros d’utilisateurs (SID) ainsi que leurs permissions sur la ressource.
Les systèmes de fichiers utilisés sur Windows 2003
permettent le partage des dossiers et de leur contenu. Ceci permet aux
utilisateurs en réseau de travailler sur les fichiers du serveur Windows 2003.
L’accès aux répertoires partagés ou non, d’un serveur
Windows 2003 est régit par des autorisations. On distingue les autorisations
simples, utilisées pour les partitions FAT et les autorisations de sécurité
utilisables uniquement avec les partitions NTFS.
2.1. Rappel : Autorisations simples pour les dossiers partagés
2.1.1. Autorisations simples et autorisations de Sécurité
Les autorisations simples s’appliquent aux dossiers, en
aucun cas aux fichiers
Les autorisations simples s’appliquent aux utilisateurs
utilisant le partage à partir du réseau, mais pas aux utilisateurs ayant ouvert
une connexion sur la station du serveur.
L’autorisation appliquée par défaut est "Contrôle
total" et elle est donnée au groupe "Tout le monde".
L'icône d'un dossier partagé est la suivante 
dans
l'explorateur Windows.
dans
l'explorateur Windows.
Un dossier peut être partagé avec des autorisations et des
noms différents pour des utilisateurs ou des groupes distincts.
Il est possible de limiter l'accès à un partage à un nombre
donné d'utilisateurs (bouton "nombre d'utilisateurs" du panneau
partage).
Il existe 3 types d'autorisations simples :
|
Lecture
|
Les utilisateurs peuvent afficher les noms des dossiers et
des fichiers, lire ou exécuter les fichiers
|
|
Modifier
|
Donne l'autorisation de lecture, plus la possibilité de
modifier le nom des dossiers et des fichiers, ainsi que leur contenu.
|
|
Contrôle total
|
Donne l'autorisation de modifier, plus l'autorisation de
modifier les autorisations sur le partage.
|
Ces autorisations peuvent être accordées soit à des groupes,
soit à des utilisateurs particuliers.
|
|
|
Liste des groupes et utilisateurs autorisés.
|
Liste des groupes et utilisateurs autorisés.
2.2. Autorisations NTFS
Comme les autorisations sur les partages, les listes de
contrôles d’accès (ACL) reposent sur
deux éléments :
Les entrées de contrôle d’accès (ACE) qui correspondent à
des comptes d’utilisateurs, d’ordinateurs ou des groupes.
Les autorisations NTFS standards ou spéciales qui sont
données ou refusées par chacune des entrées ACE.
Ces listes de contrôles d’accès sont établies à chaque
niveau du volume NTFS, en partant de la racine du disque dur pour aller
jusqu’au niveau le plus profond c'est-à-dire le fichier.
En standard sous W2000/2003
les listes de contrôle d’accès de chaque niveau se cumulent avec l’ACE
du dossier parent. Cette notion déjà en vigueur sous NT4 se nomme l’héritage
auquel il faudra ajouter ou prendre en compte les autorisations explicites.
Celles-ci étant définies au niveau d’un dossier ou d’un fichier tandis que
celles héritées proviennent des parents (ou grands-parents ..). Le cumul de
tous ces droits explicites et hérités donne les autorisations effectives.
Autorisations NTFS
Lorsqu’un utilisateur veut accéder à une ressource, un
calcul de ses autorisations va être effectué par le système afin de déterminer
les autorisations effectives qu’il va avoir sur cette ressource. Ce calcul est
fait en prenant en compte ses appartenances aux déférents groupes et les refus
qui sont prioritaires sur les attributions.
Les autorisations NTFS assurent la sécurité d'accès des
dossiers partagés et des fichiers.
On distingue :
les autorisations de dossiers NTFS. Elles sont
accordées soit dans le panneau "Partage", onglet "Sécurité,
soit dans le panneau "Propriétés" du dossier, onglet "Sécurité".
Pour affecter des permissions NTFS sur un fichier ou un dossier, il faut soit
en être le propriétaire, soit être l’administrateur ou avoir les autorisations
requises. Ces autorisations sont Contrôle total, Modifier les
autorisations ou Appropriation (autorisation permettant de devenir
le propriétaire d’un document).
les autorisations de fichiers NTFS. Elles sont
accordées dans le panneau "Propriétés" du fichier, onglet
"Sécurité".
Les autorisations de base sont des autorisations pratiques à
utiliser qui regroupent des autorisations avancées (ou individuelles). Les
autorisations de base sont légèrement différentes sur les dossiers et les
fichiers.
Autorisation sur un Dossier
Autorisations NTFS de base sur les dossiers
Ecriture: créer des fichiers et des dossiers et
modifier les attributs.
Lecture: lire le contenu du dossier et les fichiers
du dossier ainsi que les attributs.
Affichage du contenu du dossier: lecture + droit de
parcourir le dossier
Lecture et exécution: lecture + Affichage
du contenu du dossier + droit de se déplacer à travers les dossiers pour
atteindre d’autres fichiers et dossiers.
Modification: Lecture + exécution +
droit supprimer le dossier
Contrôle Total: Toutes les permissions précédentes
+ changer les permissions + prendre possession + supprimer.
Autorisation Spéciale : ce n’est pas une
autorisation standard. Cela correspond à une combinaison spéciale d’attributs
NTFS
Chacune de ces autorisations résulte de la combinaison
standard d’attributs NTFS. Si vous voulez connaître la liste des attributs
utilisés pour une autorisation, affectez une autorisation à l’utilisateur (et
seulement une) puis cliquez sur le bouton Paramètres avancés
Autorisations avancées (ou individuelles) pour les
dossiers et les fichiers
Certaines autorisations (octroi ou refus) peuvent être
grisées et ne peuvent être modifiées. Cela vient du fait que ces autorisations
proviennent du dossier parent et ne peuvent modifiées que si l’héritage est
rompu.
Autorisations sur un fichier
Ecriture:permet d’écrire dans le fichier, de changer
les attributs, visualiser les autorisations et le propriétaire du fichier.
Lecture: permet de lire le fichier, ses attributs
ainsi que les autorisations associées et le propriétaire.
Lecture et exécution: c’est l’autorisation Lecture
avec en plus l’autorisation d’exécuter les programmes.
Modification: Permet en plus des autorisations Ecriture
et Lecture + exécution de supprimer les fichiers.
Contrôle Total: Toutes les permissions précédentes
+ changer les autorisations + prendre
possession du fichier.
Autorisations Spéciales : ce n’est pas une
autorisation standard. Cela correspond à une combinaison spéciale d’attributs
NTFS
Autorisations NTFS de
base sur les fichiers
Autorisations avancées
Au cas ou les autorisations standards ne vous conviennent
pas vous pouvez toujours établir vos propres autorisations en combinat les attributs NTFS. Bien
évidemment ne créez pas d’incohérence du
style avec humour « Viens ici …. Fou le camp … !!! ».
Pour cela ouvrez la fenêtre Propriétés
de la ressource sur laquelle vous souhaitez appliquer les autorisations NTFS.
Activez l’onglet Sécurité puis ajoutez l’utilisateur ou le groupe
d’utilisateurs concerné par l’autorisation. Sélectionnez cet utilisateur ou ce
groupe puis cliquez sur le bouton Paramètres Avancés.
La fenêtre ci-dessous s’ouvre. Vous retrouvez dans les colonnes
Type, Nom et Autorisation les autorisations et
utilisateurs affichés dans la fenêtre précédente mais avec plus de détail.
Lorsque le libellé <non héritée> est
mentionné cela indique que l’autorisation est explicite donc au niveau
de la ressource en cours de consultation.
La case à cocher Permettre aux autorisations héritées du
parent de se propager à cet objet et aux objets enfants .. force la
fonction d’héritage (est cochée par défaut). Cela a pour effet que les
autorisations mentionnes sur les niveaux supérieurs (parents) sont cumulés avec
les autorisations explicites sur l’objet courant.
Si vous souhaitez modifier une autorisation héritée vous ne
pouvez pas le faire sans avoir auparavant rompu l’héritage en « décochant »
l’option Permettre aux autorisations héritées du parent de se propager à cet
objet et aux objets enfants. Aussitôt vous verrez une fenêtre s’ouvrir afin
de dire au système comment vous souhaitez traiter les autorisations qui ne
seront plus héritées.
Autorisations
avancées
Autorisations
avancées
Copier : si vous validez ce bouton l’intégralité des autorisations qui
provenaient de l’héritage sera conservé mais vous pouvez ensuite les modifier
ou les supprimer. Les autorisations deviennent de fait explicites à l’objet.
Supprimer : si vous validez ce bouton vous allez
détruire l’intégralité des autorisations provenance de l’héritage. Vous devrez
manuellement ajouter les nouvelles autorisations explicites car sans cela il
n’y a plus personne qui peut accéder à cet objet.
2.2.1. Règles concernant les autorisations NTFS
Contrôle total
Cette autorisation accorde toutes les autorisations d'accès à
un dossier ou à un fichier. Par défaut, elle est attribuée de la manière
suivante :
Lorsqu'un utilisateur crée un dossier ou un fichier. Il en
est le propriétaire créateur.
Lorsqu'un volume est formaté NTFS, l'autorisation
NTFS est accordée à "Tout le monde" sur le répertoire racine
Autorisations multiples
Des autorisations sur un dossier ou un fichier peuvent être
accordées à un groupe ou à un utilisateur. L'autorisation qui en résulte est la
combinaison des différentes autorisations.
Si un utilisateur fait partie d'un groupe qui a
l'autorisation de lecture sur un dossier, et qu'il a lui-même l'autorisation
d'écriture, il a en fait les autorisations de lecture et d'écriture. Les
autorisations d'utilisateur et de groupe se cumulent.
Une autorisation accordée à un utilisateur sur un fichier
est prioritaire à une autorisation accordée sur un dossier qui contient ce
fichier. Les autorisations de fichiers sont prioritaires sur les
autorisations de dossier.
Les sous-dossiers héritent par défaut des autorisations
accordées au dossier parent. Il est possible de supprimer cet héritage.
Héritage
Héritage des autorisations.
Le propriétaire d'un dossier (ou d'un fichier) ou un administrateur
ou un utilisateur ayant l'autorisation "Contrôle total"
peuvent accorder, supprimer ou modifier des autorisations sur ce dossier ou ce
fichier.
Si un utilisateur est le propriétaire d'un dossier (ou d'un
fichier), il peut accorder des autorisations à d'autres utilisateurs. Un administrateur
n'a pas forcément des autorisations sur un dossier ou fichier dont il n'est pas
propriétaire. Pour changer les autorisations sur ce dossier ou fichier, il doit
d'abord en devenir propriétaire en utilisant l'onglet "Propriétaire"
de la fenêtre "Propriétés" d'un dossier ou d'un fichier.
Depuis Windows XP la fenêtre de sécurité d’un fichier ou
d’un dossier Paramètres Avancés comporte un onglet supplémentaire
Autorisations effectives. Cet onglet vous permet de calculer les
autorités dont dispose un utilisateur ou un groupe sur un dossier ou un fichier
en tenant compte de toutes les sources d’autorisation possibles.
autorisations effectives
2.3. Partage et publication des dossiers
Vous avez la Possibilité d’accèder aux dossiers Partagés par l’icône Favoris Réseau
ou Voisinage Réseau. Vous pouvez de cette façon la possibilité afficher toutes les ressources partagées des serveurs
du réseau.
C’est le service Explorateur qui est exécuté grâce au
protocole NetBios disponible pour tous les protocoles (NetBeui, Nwlink
compatible IPX/SPX et TCP/IP).
Depuis W2000 il est
possible de désactiver NetBios sur TCP/IP. Cela
invalide le service explorateur.
Active Directory permet de faire des recherches sur les
dossiers partagés dans tout le domaine
et uniquement sur les dossiers dont l’utilisateur a un minimum de droit de lecture.
Cette technique ou outil de Recherche porte le nom de PUBLICATION de
RESSOURCES. Ces ressources peuvent être des dossiers partagés ou bien
des imprimantes.
Création Publication d’un dossier partagé
Recherche dans Active Directory de dossier partagé
La recherche de dossiers Partagés peut se faire dans toute
la forêt, le domine ou dans une UO. Cette recherche peut être réalisée sur le
nom du dossier publié et/ou sur des critères de mots-clés.
Le résultat de la recherche affichera les objets existants
par rapport à la sélection mais sera
fonction des droits sur ces objets de l’utilisateur.
Résultat de la recherche de Dossiers Partagés
2.4. Les Clichés Instantanés
Ils vous permettent de réaliser de façon automatique des sauvegardes
régulières des documents. Cela permet d’obtenir
une sorte de gestion ou de maintenir à jour les versions des documents.
Les clichés instantanés sont activés uniquement sur un volume formaté en NTFS.
Par contre le client doit être un poste Windows XP Pro (SP1)
ou bien Windows Server 2003.
Le logiciel client
doit être installé dans le dossier: %systemroot%\system32\clients\twclient\x86\twcli32.msi
Installation du logiciel Client
Les copies de sauvegardes peuvent être planifiées à l’aide
d’un calendrier paramétrable par vos
vous-mêmes. Vous pouvez aussi forcer cette sauvegarde en cliquant sur le bouton
Activer.
Activation des Clichés Instantanés
Planification des
Clichés Instantanés
Planification de la périodicité de la sauvegarde
Si vous avez un problème avec une version antérieure d’un
document et que vous avez activé les Clichés Instantanés, vous pouvez
visualiser leur contenu, les copier et les restaurer.
Vous avez aussi la possibilité de réaliser cette opération
en mode commande. Pour cela vous devez exécuter la commande Vssadmin.
Maintenance des Clichés Instantanés avec la commande Vssadmin.
2.5. Les fichiers Hors connexion
Cette fonctionnalité est très utile pour les ordinateurs
portables
Cela permet à un
utilisateur de se connecter au réseau, et les documents sur lesquels il
travaille sont copiés localement. Ensuite il peut travailler en autonome (Hors
connexion) sur ses documents de façon transparente à partir des copies locales
qui auront étés auparavant copiées. Puis lorsqu’il se reconnectera au réseau, un
une synchronisation automatique démarrera.
Le résultat sera que :
Les fichiers modifiés sur le serveur sont recopiés sur le
portable
Ceux modifiés sur le portable sont recopiés sur le serveur.
Si un fichier est modifié sur les deux micros une fenêtre
demande à l’utilisateur quel fichier il souhaite conserver.
Dans la fenêtre Paramètres
hors connexion vous pouvez définir le mode de fonctionnement des fichiers Hors connexion. Ceux-ci pourront être
disponibles Hors connexion dès ouverture de ceux-ci par l’utilisateur ou bien
celui-ci peut décider lesquels seront disponibles off-line.
Configuration du serveur
Configuration du client pour Synchronisation
Avec le paramétrage du client vous allez pouvoir activer
l’utilisation et la disponibilité des fichiers en mode hors connexion. Vous
pouvez aussi paramétrer le type de synchronisation ( soit à l’ouverture ou à la
fermeture de session).
D’autres paramètres sont disponibles comme la création d’un raccourci sur le bureau pour l’ouverture des fichiers, de crypter les fichiers hors connexion sur le poste client, indiquer un espace disque maximal pour les fichiers hors connexion ….
D’autres paramètres sont disponibles comme la création d’un raccourci sur le bureau pour l’ouverture des fichiers, de crypter les fichiers hors connexion sur le poste client, indiquer un espace disque maximal pour les fichiers hors connexion ….
Correspondances entre autorisations de base NTFS pour les dossiers et les autorisations avancées
|
|
Autorisations de base
|
|||||
|
Autorisations
avancées
|
Contrôle total
|
Modifier
|
Lecture et exécution
|
Afficher le contenu du dossier
|
Lecture
|
Écriture
|
|
Parcourir
le dossier/ Exécuter le fichier
|
x
|
x
|
x
|
x
|
|
|
|
Liste
du dossier /
Lecture
de données
|
x
|
x
|
x
|
x
|
x
|
|
|
Attributs
de lecture
|
x
|
x
|
x
|
x
|
x
|
|
|
Lire
les attributs étendus
|
x
|
x
|
x
|
x
|
x
|
|
|
Création
de fichiers /
Écriture de données
|
x
|
x
|
|
|
|
x
|
|
Création
de dossiers /
Ajout
de données
|
x
|
x
|
|
|
|
x
|
|
Attributs
d'écriture
|
x
|
x
|
|
|
|
x
|
|
Écriture
d'attributs étendus
|
x
|
x
|
|
|
|
x
|
|
Suppression
de sous-dossiers et de fichiers
|
x
|
|
|
|
|
|
|
Supprimer
|
x
|
x
|
|
|
|
|
|
Autorisations
de lecture
|
x
|
x
|
x
|
x
|
x
|
X
|
|
Modifier
les autorisations
|
x
|
|
|
|
|
|
|
Appropriation
|
x
|
|
|
|
|
|
Autorisations de dossiers.
Ce tableau explique pour chaque autorisation NTFS de base,
quelles sont les autorisations avancées qui la composent. Par
exemple, l'autorisation de base Lecture et Exécution est composée des
autorisations avancées suivantes :
Parcourir le dossier/ Exécuter le fichier
Liste du dossier / Lecture de données
Attributs de lecture
Autorisations de lecture
3 autorisations spéciales
L'autorisation Attribut de lecture permet ou interdit
l'affichage des attributs d'un fichier ou d'un dossier, tels que les
attributs Lecture seule ou Masqué. Les attributs sont définis par
le système de fichiers NTFS.
L'autorisation Lire les attributs étendus permet ou
interdit l'affichage des attributs étendus d'un fichier ou d'un
dossier. Les attributs étendus sont définis par des programmes et
peuvent varier selon le programme utilisé.
L'autorisation Attributs d'écriture permet ou
interdit de modifier les attributs d'un fichier ou d'un dossier tels que
les attributs Lecture seule ou Masqué. Les attributs sont définis par le
système de fichiers NTFS.
L'autorisation Ecriture d'attributs étendus permet ou
interdit la modification des attributs étendus d'un fichier ou d'un
dossier. Les attributs étendus sont définis par des programmes et peuvent
varier selon le programme utilisé.
L'autorisation Autorisations de lecture permet ou
interdit les autorisations de lecture du fichier ou du dossier, telles
que Contrôle total, Lecture et Écriture.
L'appropriation est l'autorisation qui permet ou
interdit de prendre possession du fichier ou du dossier. Le propriétaire d'un
fichier ou d'un dossier peut en modifier les autorisations à tout moment,
indépendamment des autorisations existantes.
L'autorisation Synchroniser ne concerne que certains
programmes exécutables.
Vous pouvez donner des autorisations NTFS de base et les
modifier avec des autorisations avancées.
Correspondances entre autorisations de base NTFS pour les fichiers et les autorisations avancées
|
|
Autorisations de base
|
||||
|
Autorisations
avancées
|
Contrôle total
|
Modifier
|
Lecture
et exécution
|
Lecture
|
Écriture
|
|
Parcourir
le dossier / Exécuter le fichier
|
x
|
x
|
x
|
|
|
|
Liste
du dossier / Lecture de données
|
x
|
x
|
x
|
x
|
|
|
Attributs
de lecture
|
x
|
x
|
x
|
x
|
|
|
Lire
les attributs étendus
|
x
|
x
|
x
|
x
|
|
|
Création
de fichiers / Écriture de données
|
x
|
x
|
|
|
x
|
|
Création
de dossiers / Ajout de données
|
x
|
x
|
|
|
x
|
|
Attributs
d'écriture
|
x
|
x
|
|
|
x
|
|
Écriture
d'attributs étendus
|
x
|
x
|
|
|
x
|
|
Suppression
de sous-dossiers et de fichiers
|
x
|
|
|
|
|
|
Supprimer
|
x
|
x
|
|
|
|
|
Autorisations
de lecture
|
x
|
x
|
x
|
x
|
x
|
|
Modifier
les autorisations
|
x
|
|
|
|
|
|
Appropriation
|
x
|
|
|
|
|
Autorisations de fichiers.
2.6. Appropriation de fichier/dossier
Par défaut le Propriétaire d’une ressource est celui qui l’a
créée et fait partie automatiquement du groupe créateur propriétaire. Dés qu’un
utilisateur est propriétaire d’une ressource il peut en modifier les
permissions pour écrire, lire ….
Pour s’approprier une ressource un utilisateur doit posséder
la permission spéciale Prendre possession.
Il ne peut s’approprier
que la ressource mais ne peut pas rendre un autre utilisateur
propriétaire
Clic droit sur
fichier è Propriétés è Sécurité è Paramètres
avancés è Propriétaire
Si utilisateur possède la permission prendre possession son
compte s’affiche dans la
liste. Le sélectionner puis cliquez sur Appliquer
Paramètres de sécurité avancées –Appropriation -
Par défaut les Administrateurs
sont toujours présents à la candidature pour l’appropriation d’un fichier ou
d’u dossier. C’est normal car le compte administrateur possède toujours de
l’autorisation Appropriation et elle ne peut pas lui être retirée. Vous
n’avez plus qu’à cliquer sur le bouton Autres
utilisateurs ou groupes pour
ajouter un nouveau propriétaire ne figurant pas dans la liste.
2.7. Copie et déplacement de fichiers et de Dossiers
Pour réaliser une copie ou un déplacement de fichiers ou
dossier l’utilisateur doit avoir les permissions nécessaires.
Si la copie d’un fichier ou d’un répertoire se fait vers une
partition NTFS différente, le fichier ou répertoire hérite des permissions de
destination.
Pareil si vous le copiez à l’intérieur d’une même partition.
Si déplacement d’un fichier ou d’un dossier vers une
partition NTFS différente, le fichier ou dossier hérite toujours des
permissions de destination.
Par contre c’est différent si vous déplacez un fichier ou
répertoire sur une même partition NTFS, il y a conservation des permissions.
Si vous copiez ou déplacez des fichiers ou dossiers d’une
partition NTFS vers une partition non NTFS toutes les permissions seront
perdues.
Lorsque vous copiez un fichier ou un dossier vous devenez le
propriétaire de cette copie.
En Résumé: Les opérations de copie héritent des
autorisations initiales
Seul le déplacement vers la même
partition permet le maintien des autorisations
|
|
Sur un même volume NTFS
|
Entre volumes NTFS différents
|
|
Copie
|
Héritage des autorisations de la destination
|
Héritage des autorisations de la destination
|
|
Déplacement
|
Conservation des autorisations d’origine
|
Héritage des autorisations de la destination
|
3. Cryptage de documents (EFS)
3.1. Généralités sur le cryptage EFS
Windows 2003 permet de
Crypter les données afin qu’elles soient accessibles aux utilisateurs disposant de la
clé permettant un déchiffrage du document
Dés qu’un document est crypté les utilisateurs autorisés à
les décrypter peuvent accéder à ce
document et de façon transparente. Le cryptage s’applique sur des
permissions NTFS mais reste totalement indépendant des permissions NTFS qui
pourraient être appliquées à ce même document.
Le système de cryptage utilisé est EFS (Encrypting File System).
Les Caractéristiques principales du système EFS sont :
Fonctionne en arrière-plan
Utilise des clés symétriques (clé d’encryptage et décryptage
identique et fait partie du fichier)
Uniquement accessible par un utilisateur autorisé
Intègre la prise en charge de la récupération des données
Nécessite au moins un agent de récupération
EFS permet de
crypter des fichiers ou dossiers sur un micro mais pas les données qui
transitent sur le réseau. Windows Server 2003
propose IPSec ou SSL
3.2. Mise en ouvre du cryptage des fichiers et des dossiers
Cliquez droit sur le fichier ou dossier à crypter (volume ou
partition NTFS). Puis cliquez sur Propriétés
è Avancés èCrypter le
contenu pour sécuriser les données
Vous avez la possibilité de choisir de crypter le dossier seul ou inclure son contenu.
Nota : Vous
ne pouvez pas crypter et compresser un fichier ou dossier. Si le fichier que
vous désirez crypter est compressé, il va automatiquement perdre son attribut
de compression.
Crypter un document 1
Crypter un document 2
Après activation du
cryptage, il est possible d’ajouter des utilisateurs du domaine pouvant accéder
au document EFS.
Il devra auparavant
avoir obtenu un certificat soit auprès d’Active Directory ou d’une autorité de
certification.
Crypter un document 3
Crypter un document 3
3.3. Supprimer un cryptage
Pour supprimer le cryptage d’un fichier ou d’un dossier il
vous suffit à partir de ‘explorateur de le sélectionner puis ouvrez le menu
contextuel et dans le menu Général, cliquez sur Avancé et
décochez l’option Crypter le contenu pour sécuriser les données.
Si vous avez décidé de décrypter un dossier contenant
des fichiers ou sous dossiers vous devez choisir si vous souhaitez décrypter son contenu.
3.4. Copie et déplacement de dossiers et fichiers cryptés
Lorsque vous copiez ou déplacez un document crypté il
restera crypté que la destination le soit ou non.
Nota : si ce déplacement ou cette copie se fait
sur un autre système de fichier différent de NTFS le document ne sera plus
crypté sur la destination.
De même si vous déplacez ou copiez un fichier non crypté
dans un répertoire crypté il le deviendra aussi. Sauf si vous mettez en œuvre
une stratégie qui empêche de le faire.
3.5. Utilitaire en ligne de mode commande. CIPHER.exe
Si vous entrez cipher sans commutateur vous obtenez l’état
de cryptage du répertoire courant
Commande Cipher.exe
4. Compresser des fichiers et des dossiers
4.1. Compression NTFS
Permet l’Allocation d'espace
Compression ou décompression possible d’un fichier, dossier
ou une partition entière
Clic droit sur le fichier ou dossier à compresser è
Avancés è
cocher Compresser le contenu pour minimiser l’espace disque nécessaire.
Fichier ou dossier compressé est accessible de façon
transparente par les clients.
Pour les repérer mettre des couleurs différentes. (Outils è
Affichage è
Option des dossiers è
cocher « Donner une couleur différente aux fichiers et dossiers
compressés »).
Si vous désirez compresser un dossier qui n’est pas vide
W2003 vous voulez appliquer cette compression à l’ensemble des dossiers et
fichiers enfants ou uniquement au dossier courant.
Vous avez le choix de compresser ou crypter un fichier mais
pas les deux. (le choix d’une action exclut l’autre de fait).
Compression NTFS
Win 2003 ne supporte
que la compression des volumes NTFS
Lorsque la compression est activée, les utilisateurs
continueront à employer les fichiers de façon transparente. Seul la couleur
bleue des dossiers et fichiers compressés permettra de les distinguer de la
couleur verte des fichiers cryptés.
4.1.1. Copie et Déplacement de fichiers compressés
Les règles de copie et de déplacement des fichiers
compressés sont identiques à celles des autorisations NTFS.
|
|
Sur
un même volume NTFS
|
Entre
volume NTFS différents
|
|
COPIE
|
Héritage
de l’attribut de la destination
|
Héritage
de l’attribut de la destination
|
|
DEPLACEMENT
|
Conservation
de l’attribut compression
|
Héritage
de l’attribut de la destination
|
4.1.2. Utilitaire de compression Compact.exe
Compression en ligne de commande avec la commande COMPACT.exe
Commande compact.exe
4.2. Compression ZIP
La possibilité de gérer nativement les fichiers au format
ZIP est disponible depuis Windows XP et s’applique à tous les systèmes de fichiers FAT ou NTFS.
A partir de l’explorateur les fichiers ayant l’extension
.ZIP sont considérés comme des dossiers au niveau navigation comme les fichiers CAB de MS-DOS.
Le contenu de ce dossier est affiché et vous pouvez ouvrir,
couper ou extraire un ou plusieurs fichiers compressés. Ce qui très intéressant
c’est lorsque vous exécutez une recherche de fichier, W2003 va scruter
automatiquement le contenu des fichiers .ZIP.
Les fichiers compressés par Windows 2003 sont compatibles
avec les logiciels tels Winzip utilisant ce format de façon native.
L’exécution de certains programmes à partir des dossiers
compressés est possible directement sans avoir besoin de les décompresser.
Lorsque vous ouvrez ou copiez un fichier contenu dans un
fichier compressé il sera automatiquement décompressé dans le répertoire temporaire
de l’utilisateur (Variable TEMP).
Pour créer un nouveau fichier compressé sélectionnez le ou
les fichiers ou dossiers à compresser puis à partir du menu contextuel
sélectionnez Envoyez vers – Dossier compressé.
Le nom du fichier compressé sera le nom du premier fichier
ou dossier sélectionné auquel est ajouté l’extension .ZIP. Si votre sélection
inclus des sous-dossiers il y a conservation de l’arborescence dans le fichier
compressé.
Compression .ZIP
Compression .ZIP
Pour extraire tout le contenu d’un fichier compressé vous
devez le sélectionner puis à partir du menu Fichier valider Extraire
Tout (ou du menu contextuel).
L’assistant démarre … vous pouvez modifier le dossier de
destination pour les fichiers extraits ou utiliser le bouton Parcourir (par
défaut l’extraction se fera dans le répertoire courant).
Si le fichier compressé est protégé par mot de passe vous
devez le saisir.
Compression .ZIP
En final la case à cocher Afficher les fichiers extraits
vous permet d’ouvrir automatiquement l’explorateur vers le dossier cible à la
fin de l’extraction.
Compression .ZIP
5. Sécurisation du trafic réseau: IPSEC
6. Défragmenter les disques
En FAT, FAT32 et NTFS sont stockées sur le disque dans des
unités nommés clusters. Lorsque vous
ajoutez ou supprimez des fichiers sur un disque, les données et l’espace libre
de ce disque peuvent se fragmenter. Si c’est le cas les fichiers de taille
importante ne peuvent pas être écrits dans une zone contiguë de votre disque.
Ils seront écris dans plusieurs zones plus petites ce qui ralentira leur
lecture. Pour réduire cette incidence vous devez défragmenter votre disque et
utiliser le programme de défragmentation.
Si les fichiers sont stockés de façon contiguës l’accès au
fichier sera rapide
Comme les fichiers sont stockés de façon dynamique ils se
fragmentent
Utilisation de l’utilitaire de défragmentation fournit avec
W2003 qui fonctionne sous FAT, FAT32 et NTFS.
Défragmentation d’un
disque 1.
Défragmentation d’un
disque 2.
7. Surveiller et Optimiser les disques – Vérifier et Nettoyer le disque
|
Pour
approfondir le sujet….
|
|
Reporter
vous à
|
|
Sources de
référence
|
|
Documentation
AFPA
|
ليست هناك تعليقات:
إرسال تعليق