Gestion des autorisations
Chaque conteneur et chaque objet du réseau sont liés à un ensemble d’informations de contrôle d’accès. Regroupées sous le nom de descripteur de sécurité, ces informations contrôlent le type d’accès autorisé aux utilisateurs et aux groupes. Les autorisations sont définies dans le descripteur de sécurité d’un objet. Les autorisations sont associées, ou affectées, à des utilisateurs et des groupes spécifiques.
Lorsque vous êtes membre d’un groupe de sécurité associé à un objet, vous bénéficiez d’une certaine latitude pour gérer les autorisations sur cet objet. Dans le cas des objets que vous possédez, vous disposez d’un contrôle total. Vous pouvez utiliser différentes méthodes, telles que les services de domaine Active Directory (AD DS, Active Directory Domain Services), la stratégie de groupe ou les listes de contrôle d’accès, pour gérer différents types d’objets.
Cette section aborde les sujets suivants :
Que sont les autorisations ?
Autorisations de fichier et de dossier
Partage et autorisations NTFS sur un serveur de fichier
Autorisations héritées
Détermination des autorisations effectives
Déterminer le champ d’application des autorisations
Définir, afficher, modifier ou supprimer des autorisations sur un objet
Références supplémentaires
Pour plus d’informations sur la gestion des autorisations à l’aide des services AD DS, voir l’article relatif à l’affectation, la modification ou la suppression des autorisations sur des objets ou des attributs Active Directory (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=63970).
Pour plus d’informations sur la gestion des autorisations à l’aide de la stratégie de groupe, voir la page, éventuellement en anglais, consacrée à l’application ou la modification des entrées d’autorisation pour les objets au moyen de la stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=64928).
Que sont les autorisations ?
Autorisations et descripteurs de sécurité
Chaque conteneur et chaque objet du réseau sont liés à un ensemble d’informations de contrôle d’accès. Regroupées sous le nom de descripteur de sécurité, ces informations contrôlent le type d’accès autorisé aux utilisateurs et aux groupes. Le descripteur de sécurité est automatiquement créé avec le conteneur ou l’objet créé. Un fichier est un bon exemple d’objet avec descripteur de sécurité.
Les autorisations sont définies dans le descripteur de sécurité d’un objet. Les autorisations sont associées, ou affectées, à des utilisateurs et des groupes spécifiques. Par exemple, dans le cas du fichier Temp.dat, des autorisations Lecture, Écriture et Suppression peuvent être affectées au groupe Administrateurs intégrés tandis que seules des autorisations Lecture et Écriture sont affectées au groupe Opérateurs de sauvegarde.
Chaque affectation d’autorisations à un utilisateur ou groupe est représentée dans le système sous la forme d’une entrée de contrôle d’accès (ACE). L’ensemble des entrées d’autorisations d’un descripteur de sécurité constitue un ensemble d’autorisations ou liste de contrôle d’accès (ACL). Ainsi, dans le cadre d’un fichier Temp.dat, l’ensemble d’autorisations inclut deux entrées d’autorisations, l’une pour le groupe Administrateurs intégrés, l’autre pour le groupe Opérateurs de sauvegarde.
Autorisations explicites et autorisations héritées
Il existe deux types d’autorisations : les autorisations explicites et les autorisations héritées.
Les autorisations explicites sont celles définies soit par défaut sur les objets non-enfants au moment de la création de l’objet, soit par une action de l’utilisateur sur des objets non-enfants, parents ou enfants.
Les autorisations héritées sont celles qui sont communiquées à un objet par son parent. Les autorisations héritées sont plus faciles à gérer et restent cohérentes sur tous les objets d’un conteneur donné.
Par défaut, les objets d’un conteneur héritent à leur création des autorisations attribuées au conteneur. Par exemple, lorsque vous créez un dossier appelé MonDossier, tous les sous-dossiers et tous les fichiers créés dans ce dossier héritent automatiquement des autorisations qui lui ont été attribuées. Par conséquent, les autorisations du dossier MonDossier sont explicites et celles de ses sous-dossiers et fichiers sont héritées.
Remarques
Les autorisations Refuser héritées n’empêchent pas l’accès à un objet si celui-ci dispose d’une entrée d’autorisation Autoriser explicite. Les autorisations explicites sont prioritaires sur les autorisations héritées, y compris sur les autorisations Refuser héritées.
Références supplémentaires
Autorisations de fichier et de dossier
Définir, afficher, modifier ou supprimer des autorisations sur un objet
Autorisations de fichier et de dossier
Le tableau suivant répertorie les limites d’accès pour chaque ensemble d’autorisations NTFS spéciales.
Autorisations spéciales Contrôle total Modifier Lecture et exécution Afficher le contenu du dossier (dossiers uniquement) Lecture Écriture
Parcours du dossier/exécuter le fichier x x x x
Liste du dossier/lecture de données x x x x x
Attributs de lecture x x x x x
Lire les attributs étendus x x x x x
Création de fichier/écriture de données x x x
Création de dossier/ajout de données x x x
Attributs d’écriture x x x
Écriture d’attributs étendus x x x
Suppression de sous-dossiers et de fichiers x
Supprimer x x
Autorisations de lecture x x x x x x
Modifier les autorisations x
Appropriation x
Synchroniser x x x x x x
Important
Les groupes et utilisateurs titulaires de l’autorisation Contrôle total ont la possibilité de supprimer tous les fichiers du dossier, quelles que soient les autorisations qui les protègent.
Considérations supplémentaires
Les autorisations spéciales correspondant aux autorisations Afficher le contenu du dossier et Lecture & exécution semblent identiques ; elles sont cependant héritées de façon différente. L’autorisation Afficher le contenu du dossier est héritée par les dossiers mais pas par les fichiers et ne s’affiche normalement que lors de l’affichage des autorisations de dossier. L’autorisation Lecture & exécution est héritée à la fois par les fichiers et les dossiers ; elle est donc toujours présente lors de l’affichage des autorisations de fichier ou de dossier.
Dans cette version de Windows, par défaut le groupe Tout le monde ne comprend pas le groupe Ouverture de session anonyme, si bien que les autorisations appliquées au groupe Tout le monde n’affectent pas le groupe Ouverture de session anonyme.
Références supplémentaires
Gestion des autorisations
Partage et autorisations NTFS sur un serveur de fichier
L’accès à un dossier sur un serveur de fichiers peut être défini via deux ensembles d’entrées d’autorisations : les autorisations de partage définies sur un dossier et les autorisations NTFS définies sur le dossier (également définissables sur les fichiers). Les autorisations de partage sont souvent employées pour la gestion d’ordinateurs à l’aide de systèmes de fichiers FAT32 ou d’autres ordinateurs non dotés du système de fichiers NTFS.
Les autorisations de partage et les autorisations NTFS sont indépendantes ; toute modification de l’une n’a aucun impact sur l’autre et inversement. La définition des autorisations finales d’accès à un dossier partagé tient compte à la fois des entrées d’autorisations de partage et des entrées d’autorisations NTFS. Les autorisations les plus restrictives sont ensuite appliquées.
Le tableau suivant évoque les autorisations équivalentes qu’un administrateur peut accorder au groupe Utilisateurs pour certains types de dossiers partagés. Une autre approche consiste à définir les autorisations de partage sur Contrôle total pour le groupe Tout le monde et à se fier entièrement aux autorisations NTFS pour restreindre l’accès.
Type de dossier Autorisations de partage Autorisations NTFS
Dossier public. Dossier auquel tout le monde peut accéder. Accorder une autorisation Modifier au groupe Utilisateurs. Accorder une autorisation Modifier au groupe Utilisateurs.
Dossier de dépôt. Dossier dans lequel des utilisateurs peuvent déposer des rapports confidentiels ou des travaux réalisés à domicile que seul le gestionnaire de groupe ou l’instructeur peuvent lire. Accorder une autorisation Modifier au groupe Utilisateurs.
Accorder l’autorisation Contrôle total au gestionnaire de groupe. Accorder l’autorisation d’accès en écriture au groupe Utilisateurs appliquée à Ce dossier seulement (option disponible à partir de la page Paramètres de sécurité avancés).
Si chaque utilisateur doit disposer de certaines autorisations pour les fichiers qu’il a déposés, vous pouvez créer une entrée d’autorisation pour l’identificateur de sécurité (SID) reconnu Propriétaires créateurs et l’appliquer en sélectionnant l’option Les sous-dossiers et les fichiers seulement. Par exemple, vous pouvez accorder une autorisation d’accès en lecture et en écriture au SID Créateurs propriétaires placé dans le dossier de dépôt et l’appliquer à l’ensemble des sous-dossiers et des fichiers. L’utilisateur qui a déposé ou créé le fichier (le propriétaire créateur) peut ainsi lire et modifier le fichier. Le propriétaire créateur peut ensuite accéder au fichier à partir de la commande Exécuter en tapant \\Nom_Serveur\Dossier_Dépôt\Nom_Fichier.
Accorder l’autorisation Contrôle total au gestionnaire de groupe.
Dossier d’applications. Dossier contenant des applications qu’il est possible d’exécuter sur le réseau. Accorder une autorisation Lecture au groupe Utilisateurs. Accorder des autorisations Lecture, Lecture et exécution et Afficher le contenu du dossier au groupe Utilisateurs.
Dossier de base. Dossier personnel à chaque utilisateur. Seul l’utilisateur a accès au dossier. Accorder à chaque utilisateur une autorisation Contrôle total sur son dossier. Accorder à chaque utilisateur une autorisation Contrôle total sur son dossier.
Considérations supplémentaires
Lorsque vous accordez à un utilisateur une autorisation NTFS de Contrôle total sur un dossier précis, l’utilisateur peut librement s’approprier le dossier sauf si quelques restrictions lui sont imposées. L’octroi de l’autorisation Contrôle total doit s’effectuer avec prudence.
Si vous souhaitez gérer l’accès à un dossier exclusivement avec des autorisations NTFS, définissez des autorisations de partage Contrôle total pour le groupe Tout le monde.
Les autorisations NTFS ont un impact local et distant sur le mode d’accès. Elles s’appliquent, quel que soit le protocole adopté. Par contraste, les autorisations de partage s’appliquent uniquement aux partages réseau. Elles ne limitent pas l’accès à un utilisateur local (ou un utilisateur Terminal Server) de l’ordinateur pour lequel vous avez défini des autorisations de partage. Elles n’offrent donc aucun niveau de confidentialité entre chaque utilisateur, qu’il s’agisse d’un ordinateur utilisé par plusieurs utilisateurs ou d’un serveur Terminal Server accessible à plusieurs utilisateurs.
Par défaut, le groupe Tout le monde ne comprend pas le groupe Anonyme, si bien que les autorisations appliquées au groupe Tout le monde n’affectent pas le groupe Anonyme.
Références supplémentaires
Gestion des autorisations
Autorisations héritées
Les autorisations héritées sont celles qui sont communiquées à un objet par son parent. Les autorisations héritées sont plus faciles à gérer et restent cohérentes sur tous les objets d’un conteneur donné.
Héritage de tous les objets
Si les cases à cocher des autorisations Autoriser et Refuser dans les différentes parties de l’interface utilisateur du contrôle d’accès sont grisées lorsque vous affichez les autorisations d’un objet, cela signifie que cet objet a hérité des autorisations d’un objet parent. Vous pouvez définir ces autorisations héritées par le biais de l’onglet Autorisations de la page de propriétés des Paramètres de sécurité avancés.
Les modifications des autorisations héritées peuvent s’effectuer de trois manières recommandées :
Apportez les modifications à l’objet parent là où les autorisations sont explicitement définie ; l’objet enfant hérite alors de ces autorisations. Pour plus d’informations, voir c-b--bdfDéfinir, afficher, modifier ou supprimer des autorisations sur un objet.
Sélectionnez l’autorisation Autoriser pour substituer l’autorisation héritée Refuser.
Désactivez la case à cocher Inclure les autorisations héritables à partir du parent de cet objet. Vous pouvez à présent modifier les autorisations ou supprimer des utilisateurs ou des groupes de la liste Autorisations. Toutefois, l’objet n’hérite plus des autorisations de l’objet parent.
Remarques
Les autorisations Refuser héritées n’empêchent pas l’accès à un objet si celui-ci dispose d’une entrée d’autorisation Autoriser explicite.
Remarques
Les autorisations explicites sont prioritaires sur les autorisations héritées, y compris sur les autorisations Refuser héritées.
Si l’entrée Autorisations spéciales dans Autorisations pour <utilisateur ou groupe> est grisée, cela ne signifie pas forcément que cette autorisation a été héritée. Cela signifie simplement qu’une autorisation spéciale a été sélectionnée.
Dans l’onglet Autorisations de la page Paramètres de sécurité avancé pour <Dossier>, dans Liste des autorisations, la colonne Appliquer à répertorie les dossiers ou sous-dossiers auxquels une autorisation est appliquée. La colonne Héritée de indique de qui les autorisations ont été héritées.
À partir du champ Appliquer à de la page Entrée d’autorisation pour <Dossier>, sélectionnez les dossiers ou sous-dossiers auxquels vous souhaitez appliquer ces autorisations.
Pour plus d’informations sur la façon d’effectuer ces tâches, voir c-b--bdfDéfinir, afficher, modifier ou supprimer des autorisations sur un objet et 68294-d-d0Déterminer le champ d’application des autorisations.
Héritage des objets Active Directory
Si vous utilisez une option Appliquer à pour contrôler l’héritage pour des objets Active Directory, souvenez-vous que non seulement les objets spécifiés dans le champ Appliquer à héritent de cette entrée de contrôle d’accès, mais que tous les objets enfants recevront également une copie de cette entrée. Les objets enfants non spécifiés dans la zone Appliquer à reçoivent des copies de cette entrée mais ne la mettent pas en application. Si suffisamment d’objets obtiennent des copies de cette entrée ACE, ce surplus de données peut entraîner des problèmes sérieux au niveau des performances de votre réseau.
Si vous attribuez des autorisations à un objet parent et voulez que les objets enfants héritent de ces entrées d’autorisations, vous pouvez maintenir des performances optimales en veillant à ce que les objets enfants disposent de listes de contrôle d’accès (ACL) identiques. La fonctionnalité de stockage d’instance unique intégrée à Windows permet aux services de domaines Active Directory de stocker uniquement une copie de toutes les listes de contrôle d’accès identiques. En créant des listes ACL que nombre d’objets peuvent utiliser, vous protégez les performances de votre réseau.
Références supplémentaires
Pour plus d’informations sur les autorisations, voir 6e12-a3Que sont les autorisations ?
Pour plus d’informations sur les autorisations pour les objets Active Directory, voir la page, éventuellement en anglais, consacrée au contrôle d’accès dans Active Directory (http://go.microsoft.com/fwlink/?LinkId=63972).
Détermination des autorisations effectives
À chaque objet est associé un ensemble d’autorisations effectives. L’onglet Autorisations effectives de la page de propriétés Paramètres de sécurité avancés répertorie les autorisations qui seraient accordées au groupe ou à l’utilisateur sélectionné uniquement sur la base des autorisations directement accordées par le biais de l’appartenance à un groupe. Vous pouvez faire appel à l’1outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet.
Facteurs utilisés pour déterminer les autorisations effectives
Les facteurs suivants sont utilisés pour déterminer les autorisations effectives :
Appartenance au groupe global
Appartenance au groupe local
Autorisations locales
Privilèges locaux
Appartenance à un groupe universel
Facteurs non utilisés pour déterminer les autorisations effectives
Les identificateurs de sécurité (SID) reconnus suivants ne sont pas utilisés pour déterminer des autorisations effectives :
Ouverture de session anonyme
Tâche, Groupe créateur
Ligne
Enterprise Domain Controllers
Interactif
Réseau
Proxy
Restreint
Distant
Service
Système
Utilisateur Terminal Server
Une autre organisation
Cette organisation
De même, les autorisations de partage n’entrent pas dans le calcul des autorisations effectives. L’accès aux partages peut être refusé via les autorisations de partage même s’il est possible via les autorisations NTFS.
Facteurs non utilisés pour les objets accessibles à distance
Les facteurs suivants ne sont pas utilisés pour déterminer les autorisations effectives des objets accessibles à distance :
Appartenance au groupe local
Privilèges locaux
Autorisations de partage
Les autorisations effectives sont basées sur une évaluation locale de l’appartenance au groupe de l’utilisateur, des privilèges utilisateur et des autorisations. Si la ressource interrogée se trouve sur un ordinateur distant, les autorisations effectives affichées ne comprendront pas les autorisations accordées ou refusées à l’utilisateur par le biais d’un groupe local sur cet ordinateur.
Récupération des autorisations effectives
Toute récupération fidèle des informations présentées ci-dessus signifie obligatoirement que vous êtes autorisé à lire les informations d’appartenance à un groupe. Si l’utilisateur ou le groupe spécifié est un objet domaine, vous devez être autorisé à lire les informations de groupe de l’objet disponibles au sujet de ce domaine.
Important
Lorsque vous utilisez l’onglet Autorisations effectives pour déterminer les autorisations que possèdent un utilisateur pour certaines ressources d’un domaine, les résultats affichés dans l’interface utilisateur peuvent être incohérents par rapport aux autorisations réelles de l’utilisateur pour ces ressources. Ce problème se produit lorsque l’une des conditions suivantes est remplie :
Vous exécutez les outils d’administration à distance depuis le serveur de ressources.
Le compte d’utilisateur que vous utilisez pour exécuter les outils d’administration ne se trouve pas dans le même domaine que la ressource.
Pour éviter ce problème, vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource et assurez-vous que le compte d’utilisateur administratif utilisé pour exécuter l’outil se trouve dans le même domaine que la ressource.
Les autorisations de domaine applicables par défaut incluent notamment les points suivants :
Les administrateurs de domaine sont autorisés à lire les informations d’appartenance au sujet de tous les objets.
Les administrateurs locaux d’une station de travail ou d’un serveur autonome ne peuvent pas lire les informations d’appartenance d’un utilisateur du domaine.
Outil Autorisations effectives
Vous pouvez faire appel à l’outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet. Cet outil permet de calculer les autorisations octroyées à l’utilisateur ou au groupe spécifié. Le calcul tient compte des autorisations résultant de l’appartenance à un groupe, ainsi que des autorisations héritées de l’objet parent. Il examine également tous les groupes de domaine et les groupes locaux dont l’utilisateur ou le groupe est membre.
Le groupe Tout le monde reste inclus tant que l’utilisateur ou le groupe sélectionné n’est pas membre du groupe Ouverture de session anonyme.
Important
L’outil Autorisations effectives fournit uniquement une évaluation approximative des autorisations accordées à un utilisateur. Les autorisations réelles dont ce dernier dispose peuvent être différentes dans la mesure où l’octroi ou le refus d’octroi d’autorisations peut dépendre du mode de connexion de l’utilisateur. L’outil Autorisations effectives ne permet pas de déterminer les informations inhérentes à l’ouverture de session si l’utilisateur n’est pas connecté. C’est pourquoi les autorisations effectives qu’il permet d’afficher reflètent uniquement les autorisations spécifiées par l’utilisateur ou le groupe, et non celles spécifiées par l’ouverture de session.
Par exemple, si un utilisateur est connecté à cet ordinateur par le biais d’un dossier partagé, la session ouverte pour cet utilisateur est consignée en tant que session réseau. Vous pouvez accorder ou refuser des autorisations aux ID de sécurité (SID) réseau connus que l’utilisateur connecté reçoit, afin que ce dernier dispose de différentes autorisations selon le mode de connexion utilisé (localement ou par le biais du réseau).
Pour plus d’informations sur l’accord de l’accès pour les autorisations effectives, voir l’article 331951 de la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkId=63270) (éventuellement en anglais).
Pour plus d’informations sur l’utilisation de l’outil Autorisations effectives, voir f-1aAfficher les autorisations effectives pour des fichiers et des dossiers.
Références supplémentaires
Gestion des autorisations
Déterminer le champ d’application des autorisations
Lorsque vous définissez des autorisations avancées sur des fichiers et des dossiers, vous pouvez utiliser la boîte de dialogue Entrée d’autorisation pour <Nom_Objet> afin d’indiquer quels sont les objets descendants qui doivent hériter des autorisations.
Pour rechercher cette boîte de dialogue, cliquez sur Paramètres avancés dans l’interface utilisateur du contrôle d’accès. Sous l’onglet Autorisations, cliquez deux fois sur Modifier.
Dans la boîte de dialogue Entrée d’autorisation pour <Nom_Objet>, la zone Appliquer à de l’onglet Objet répertorie les emplacements où vous pouvez appliquer les autorisations. La façon dont les autorisations sont appliquées dépend de l’état de la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur.
Important
Dans le cadre des objets Active Directory, les objets spécifiés dans la zone Appliquer à ne sont pas les seuls à hériter des entrées de contrôle d’accès. Tous les objets enfants reçoivent également une copie de ces entrées. Les objets enfants non spécifiés dans la zone Appliquer à n’utilisent pas les entrées de contrôle d’accès dont ils reçoivent une copie. En revanche, si suffisamment d’objets obtiennent des copies de ces entrées, ce surplus de données peut entraîner des problèmes sérieux au niveau des performances de votre réseau.
Par défaut, cette case à cocher est désactivée. Les tableaux suivants fournissent des informations détaillées sur l’application des autorisations héritées :
Lorsque la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur est désactivée
Lorsque la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur est activée
Lorsque la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur est désactivée
Appliquer à Applique les autorisations au dossier en cours Applique les autorisations aux sous-dossiers du dossier en cours Applique les autorisations aux fichiers du dossier en cours Applique les autorisations à tous les sous-dossiers suivants Applique les autorisations aux fichiers dans tous les sous-dossiers suivants
Ce dossier seulement x
Ce dossier, les sous-dossiers et les fichiers x x x x x
Ce dossier et les sous-dossiers x x x
Ce dossier et les fichiers x x x
Les sous-dossiers et les fichiers seulement x x x x
Les sous-dossiers seulement x x
Les fichiers seulement x x
Lorsque la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur est activée
Appliquer à Applique les autorisations au dossier en cours Applique les autorisations aux sous-dossiers du dossier en cours Applique les autorisations aux fichiers du dossier en cours Applique les autorisations à tous les sous-dossiers suivants Applique les autorisations aux fichiers dans tous les sous-dossiers suivants
Ce dossier seulement x
Ce dossier, les sous-dossiers et les fichiers x x x
Ce dossier et les sous-dossiers x x
Ce dossier et les fichiers x x
Les sous-dossiers et les fichiers seulement x x
Les sous-dossiers seulement x
Les fichiers seulement x
Références supplémentaires
Pour plus d’informations sur les emplacements où vous pouvez affecter des autorisations sur les objets Active Directory, voir les conseils pratiques en matière d’affectation d’autorisations sur les objets Active Directory (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=63971).
Pour plus d’informations sur la définition des autorisations, voir les rubriques suivantes :
Autorisations de fichier et de dossier
Définir, afficher, modifier ou supprimer des autorisations sur un objet
تعليقات
إرسال تعليق
تعليقكم يعكس شخصيتكم ، دعونا نتمتع باللباقة في الكلام.