Interface utilisateur : contrôle d’accès
Page de propriétés Paramètres de sécurité
Pour assurer la sécurité d’un ordinateur et de ses ressources, vous devez tenir compte des droits dont disposent les utilisateurs. Vous pouvez sécuriser un ou plusieurs ordinateurs en accordant des droits d’utilisateur à des utilisateurs ou des groupes spécifiques. Vous pouvez aider à sécuriser un objet, tel qu’un fichier ou un dossier, par le biais d’autorisations qui permettront à des utilisateurs ou à des groupes d’effectuer des opérations spécifiques sur cet objet.
Élément Description
Nom de l’objet Désigne l’objet actuellement sélectionné.
Noms d’utilisateurs ou de groupes Affiche la liste des groupes ou utilisateurs habilités à accéder à cet ordinateur.
Modifier Autorise la modification des paramètres de sécurité sur cet objet.
Remarques
Si ce bouton n’est pas disponible, il se peut que vous ne soyez pas autorisé à modifier les paramètres de sécurité. Vous pouvez toutefois les afficher en cliquant sur Avancé.
Autorisations pour Affiche la liste des autorisations accordées et refusées en vigueur pour chaque groupe ou utilisateur sélectionné.
Remarques
Les types d’autorisations répertoriés varient en fonction du type d’objet sélectionné. Pour plus d’informations, voir -f-00eefGestion des autorisations et l’article relatif à la définition des autorisations pour les serveurs d’impression (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=141450).
Références supplémentaires
Vue d’ensemble du contrôle d’accès
Boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes
Élément Détails
Types d’objet Cliquez pour choisir les types d’objet que vous souhaitez sélectionner. Pour plus d’informations sur les types d’objets, voir 10fcf3Boîte de dialogue Types d’objet.
Emplacements Cliquez pour définir l’emplacement racine auquel vous souhaiter commencer votre recherche.
Vérifier les noms Identifie tous les noms d’objets identiques ou similaires indiqués dans la zone Entrez les noms des objets à sélectionner en se référant aux types d’objets et à l’emplacement de répertoire sélectionnés.
Entrez les noms des objets à sélectionner (exemples) Offre un espace vous permettant de taper les noms des objets à rechercher. Vous pouvez rechercher plusieurs objets en séparant leur nom par un point-virgule. Utilisez l’une des syntaxes fournies en exemple ci-après :
NomAffichage (exemple : Prénom Nom)
NomObjet (exemple : Ordinateur1)
NomUtilisateur (exemple : Utilisateur1)
NomObjet@NomDomaine (exemple : Utilisateur1@Domaine1)
NomDomaine\NomObjet (exemple : Domaine1\Utilisateur1)
Paramètres avancés Cliquez pour sélectionner les options avancées. Pour plus d’informations sur les options de recherche avancées, voir 9-449-fbBoîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes - Page Paramètres avancés.
Boîte de dialogue Types d’objet
Vous pouvez accéder à la boîte de dialogue Types d’objet en cliquant sur Types d’objet dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes. La boîte de dialogue Types d’objet répertorie les types d’objet disponibles que vous pouvez rechercher. Cette liste peut inclure un ou plusieurs des types d’objet suivants.
Type d’objet Détails
Entités de sécurité intégrées Objets qui représentent des groupes intégrés et des entités de sécurité. Notamment : Administrateurs, Opérateurs système, Utilisateurs, Utilisateurs avec pouvoir, Tout le monde, Utilisateurs authentifiés, Anonymous Logon, Invités et Système.
Ordinateurs Objets utilisés pour représenter l’accès aux ressources réseau d’un ordinateur.
Groupes Objets acceptant des utilisateurs, des ordinateurs et d’autres groupes en tant que membres.
Utilisateurs Objets utilisés pour autoriser les personnes à accéder aux ressources réseau.
Contacts Objets utilisés pour repérer des informations relatives aux personnes. Les objets contact ne peuvent pas recevoir des autorisations, et par conséquent n’ont pas accès aux ressources réseau.
Autre Objets qui peuvent être créés par des applications.
Références supplémentaires
Interface utilisateur : contrôle d’accès
Boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes - Page Paramètres avancés
Élément Détails
Types d’objet Cliquez pour choisir les types d’objet que vous souhaitez sélectionner. Pour plus d’informations sur les types d’objet, voir 10fcf3Boîte de dialogue Types d’objet.
Emplacements Cliquez pour définir l’emplacement racine auquel vous souhaiter commencer votre recherche.
Colonnes Cliquez pour modifier les colonnes affichées dans la liste Résultats de la recherche pour cette vue.
Rechercher Cliquez pour démarrer votre recherche. Si vous souhaitez rechercher tous les objets indiqués dans Types d’objet et Emplacements, n’entrez pas de valeurs de recherche, puis cliquez sur Rechercher. Notez que ce type de recherche peut nécessiter des ressources réseau importantes suivant l’étendue de la recherche. Pour réduire les incidences sur les ressources réseau, indiquez des valeurs de recherche.
Arrêter Cliquez pour interrompre votre recherche. Les objets trouvés avant l’interruption de la recherche vont être affichés.
Nom Répertorie les variables de recherche utilisées pour rechercher les noms d’utilisateur, d’ordinateur ou de groupe et offre un espace dans lequel vous pouvez taper le nom de la requête.
Description Répertorie les variables de recherche utilisées pour rechercher les descriptions d’utilisateur, d’ordinateur ou de groupe et offre un espace dans lequel vous pouvez taper la description de la requête.
Comptes désactivés Indique si la recherche doit inclure les comptes désactivés.
Mot de passe sans date d’expiration Indique si la recherche doit inclure les comptes d’utilisateur avec des mots de passe sans date d’expiration.
Nombre de jours depuis la dernière session Indique le nombre de jours que les utilisateurs à l’intérieur de la requête de racine spécifiée se sont connectés pour la dernière fois au domaine.
Résultats de la recherche Répertorie les résultats de la recherche des noms d’utilisateur, d’ordinateur ou de groupe en fonction des colonnes de votre choix.
Colonnes Permet d’ajouter ou de supprimer des types d’informations à afficher pour vos résultats de recherche.
Boîte de dialogue Entrée d’autorisation
Les autorisations de dossier comprennent Contrôle total, Modification, Lecture & exécution, Affichage du contenu du dossier, Lecture et Écriture. Pour plus d’informations sur ces autorisations, voir 5d-9cAutorisations de fichier et de dossier. Chacune de ces autorisations est constituée d’un groupe logique d’autorisations spéciales, qui sont mentionnées et définies ci-dessous. Toutes les autorisations spéciales ne s’appliquent pas à tous les objets.
Autorisation Description
Parcourir le dossier/exécuter le fichier L’autorisation Parcours du dossier permet ou refuse à l’utilisateur de se déplacer dans les dossiers pour atteindre d’autres dossiers ou fichiers, même s’il n’est pas muni des autorisations correspondant aux dossiers ainsi parcourus Elle s’applique uniquement lorsque le groupe ou utilisateur ne dispose pas du droit utilisateur Contourner la vérification de parcours dans la console de gestion des stratégies de groupe. Par défaut, le groupe Tout le monde dispose du droit utilisateur Contourner la vérification de parcours. (cette autorisation s’applique uniquement aux dossiers.)
l’autorisation Exécuter le fichier permet ou interdit l’exécution de fichiers programmes (cette autorisation s’applique uniquement aux fichiers.)
L’établissement de l’autorisation Parcours du dossier sur un dossier n’entraîne pas automatiquement l’établissement de l’autorisation Exécuter le fichier sur tous les fichiers contenus dans le dossier.
Liste du dossier/lecture de données L’autorisation Liste du dossier permet ou interdit l’affichage des noms des fichiers et des sous-dossiers contenus dans le dossier. Cette autorisation affecte uniquement le contenu de ce dossier et n’a aucune influence sur l’affichage ou non du dossier pour lequel vous définissez l’autorisation (cette autorisation s’applique uniquement aux dossiers.)
L’autorisation Lecture de données permet ou interdit l’affichage des données des fichiers (cette autorisation s’applique uniquement aux fichiers.)
Attributs de lecture Permet ou interdit l’affichage des attributs d’un fichier ou d’un dossier, tels que les attributs Lecture seule ou Masqué. Les attributs sont définis par le système de fichiers NTFS.
Lire les attributs étendus Permet ou interdit l’affichage des attributs étendus d’un fichier ou d’un dossier. Les attributs étendus sont définis par des programmes et peuvent varier selon le programme utilisé.
Création de fichier/écriture de données L’autorisation Création de fichier permet ou interdit de créer des fichiers au sein du dossier (cette autorisation s’applique uniquement aux dossiers.)
L’autorisation Écriture de données permet ou interdit de modifier le fichier et d’en remplacer le contenu actuel (cette autorisation s’applique uniquement aux fichiers.)
Création de dossier/ajout de données L’autorisation Création de dossier permet ou interdit de créer des dossiers au sein du dossier (cette autorisation s’applique uniquement aux dossiers.)
L’autorisation Ajout de données permet ou interdit de modifier la fin du fichier mais pas de modifier, de supprimer ou de remplacer les données existantes (cette autorisation s’applique uniquement aux fichiers.)
Attributs d’écriture Permet ou interdit de modifier les attributs d’un fichier ou d’un dossier tels que les attributs Lecture seule ou Masqué. Les attributs sont définis par le système de fichiers NTFS.
L’autorisation Attributs d’écriture n’implique pas la création ou la suppression de fichiers ou de dossiers ; elle inclut uniquement l’autorisation de modifier les attributs d’un fichier ou d’un dossier. Pour autoriser (ou refuser) les opérations de création ou de suppression, voir Création de fichier/écriture de données, Création de dossier/ajout de données, Suppression de sous-dossier et fichier et Supprimer.
Écriture d’attributs étendus Permet ou interdit la modification des attributs étendus d’un fichier ou d’un dossier. Les attributs étendus sont définis par des programmes et peuvent varier selon le programme utilisé.
L’autorisation Écriture d’attributs étendus n’implique pas la création ou la suppression de fichiers ou de dossiers ; elle inclut uniquement l’autorisation de modifier les attributs d’un fichier ou d’un dossier. Pour autoriser (ou refuser) les opérations de création ou de suppression, voir Création de fichier/écriture de données, Création de dossier/ajout de données, Suppression de sous-dossier et fichier et Supprimer.
Suppression de sous-dossiers et de fichiers Permet ou interdit de supprimer des sous-dossiers et des fichiers même si l’autorisation Supprimer n’a pas été octroyée pour le sous-dossier ou le fichier concerné
Supprimer Permet ou interdit de supprimer le fichier ou le dossier. Vous pouvez supprimer un fichier ou un dossier pour lequel vous ne possédez pas l’autorisation Supprimer si vous disposez de l’autorisation Suppression de sous-dossiers et de fichiers relative au dossier parent.
Autorisations de lecture Permet ou interdit les autorisations de lecture du fichier ou du dossier, telles que Contrôle total, Lecture et Écriture.
Modifier les autorisations Permet ou interdit de modifier les autorisations du fichier ou du dossier, telles que Contrôle total, Lecture et Écriture.
Appropriation Permet ou interdit de prendre possession du fichier ou du dossier. Le propriétaire d’un fichier ou d’un dossier peut en modifier les autorisations à tout moment, indépendamment des autorisations existantes.
Synchroniser Permet ou interdit que des threads différents attendent le handle du fichier ou du dossier et se synchronisent à un autre thread qui l’a signalé. Cette autorisation s’applique uniquement aux programmes multithread et multitraitement.
Remarques
Vous ne pouvez pas accéder à un fichier chiffré sans la clé du Système de fichiers EFS, même si vous disposez des autorisations nécessaires.
Références supplémentaires
Que sont les autorisations ?
Autorisations de fichier et de dossier
Déterminer le champ d’application des autorisations
Prendre possession d’un fichier ou d’un dossier
Page de propriétés Paramètres de sécurité avancés - Onglet Audit
Exigences pour l’audit de l’accès aux objets
La mise en place d’une stratégie d’audit est un élément important de la sécurité. Suivre la création ou la modification d’objets vous donne le moyen de dépister des problèmes potentiels de sécurité, vous aide à gérer les comptes des utilisateurs et apporte des preuves en cas de violation de la sécurité.
Les types d’événements les plus couramment audités sont :
L’accès à des objets, tels que des fichiers et des dossiers
La gestion de comptes d’utilisateurs et de groupes
La connexion et la déconnexion d’utilisateurs du système
Lorsque vous mettez en place une stratégie d’audit, vous devez :
Si vous souhaitez auditer l’accès aux services d’annuaires ou aux objets, définir les objets dont vous voulez suivre l’accès, ainsi que le type d’accès que vous voulez contrôler. Si vous voulez par exemple auditer toute tentative de la part d’un utilisateur d’ouvrir un fichier particulier, vous pouvez configurer les paramètres de stratégie d’audit de la catégorie d’événement d’accès aux objets de manière à ce que les tentatives abouties et échouées de lecture d’un fichier soient consignées.
Préciser les catégories d’événements que vous voulez auditer. L’ouverture et la fermeture de sessions, ou la gestion d’un compte d’utilisateur en sont des exemples. Les catégories d’événements que vous sélectionnez constituent votre stratégie d’audit. Pour plus d’informations sur les catégories d’événements, voir b-eStratégies d’audit.
Définir la taille et le comportement du journal de sécurité. Vous pouvez afficher le journal de sécurité au moyen de l’Observateur d’événements.
Plusieurs entrées d’audit peuvent exister pour un même utilisateur ou groupe en fonction du type de l’audit, de l’héritage, du type d’accès et de l’objet auquel est appliqué l’audit.
Élément Description
Nom de l’objet Désigne l’objet actuellement sélectionné.
Entrées d’audit Affiche chaque entrée d’audit pour cet objet :
Type. Résultat auquel appliquer la stratégie d’audit. Il peut s’agir de Réussite, Échec ou Tout. La définition de Type dépend de l’accès à l’autorisation.
Nom. Nom de l’objet auquel appliquer les stratégies d’audit.
Accès. Types d’autorisations, tels que Contrôle total, Parcours du dossier/exécuter le fichier, Lecture des attributs, Supprimer. Comprend les autorisations de fichier et de dossier, les autorisations d’objet Active Directory et les autorisations de serveur de fichiers.
Héritée de. Objet dont les autorisations sont héritées. Vous pouvez inclure les entrées d’audit héritables issues du parent éventuel de l’objet en activant la case à cocher dans cette boîte de dialogue.
Appliquer à. Objets enfants auxquels les autorisations sont également appliquées.
Inclure les entrées d’audit héritables à partir du parent de cet objet Lorsque cette option est sélectionnée, les entrées d’audit héritables issues du parent de l’objet sont écrites dans le journal de sécurité.
Remplacer toutes les entrées d’audit héritables existantes sur tous les descendants par des entrées d’audit héritables issues de cet objet Lorsque cette option est sélectionnée, les paramètres d’audit sur cet objet parent remplacent ceux appliqués à ses objets descendants.
Si elle est désélectionnée, les paramètres d’audit sur chaque objet, qu’il s’agisse du parent ou de son descendant, peuvent être uniques.
Références supplémentaires
Gestion des autorisations
Appliquer ou modifier les paramètres de la stratégie d’audit pour un fichier ou un dossier local
Page de propriétés Paramètres de sécurité avancés - Onglet Propriétaire
Pour plus d’informations sur la possession d’objet, voir --25Gestion de l’appropriation d’objet.
Élément Description
Nom de l’objet Objet actuellement sélectionné.
Propriétaire actuel Utilisateur ou groupe qui possède l’objet.
Sélectionner un nouveau propriétaire Utilisateurs ou groupes qui peuvent être affectés comme propriétaires. Cliquez sur Autres utilisateurs ou groupes pour sélectionner d’autres éléments de l’ordinateur ou du réseau.
Références supplémentaires
Prendre possession d’un fichier ou d’un dossier
Page de propriétés Paramètres de sécurité avancés - Onglet Autorisations
Vous pouvez élargir l’éventail des ressources, groupes ou utilisateurs habilités à détenir des autorisations NTFS explicites pour accéder à cet objet ou vous pouvez modifier ou supprimer les autorisations NTFS accordées à une ressource, un groupe ou un utilisateur sur l’objet. Pour plus d’informations sur les limites d’accès propres à chaque ensemble d’autorisations NTFS, voir 5d-9cAutorisations de fichier et de dossier.
Les autorisations héritées sont celles qui sont communiquées à un objet par son parent. Les autorisations héritées sont plus faciles à gérer et restent cohérentes sur tous les objets d’un conteneur donné. Pour plus d’informations sur les effets des autorisations héritées, voir e-f-f1Influence de l’héritage sur les autorisations de fichier et de dossier.
Élément Description
Nom de l’objet Désigne l’objet actuellement sélectionné.
Liste des autorisations Affiche chaque entrée d’autorisation pour cet objet :
Type. Accorde ou refuse à ce groupe ou à cet utilisateur cette autorisation pour cet objet.
Nom. Ressource, utilisateur ou groupe.
Autorisation. Restrictions actuellement appliquées à cet objet pour cette ressource, cet utilisateur ou ce groupe.
Héritée de. Identifie l’objet parent.
Appliquer à. Identifie les objets descendants auxquels les autorisations sont également appliquées.
Inclure les autorisations héritables à partir du parent de cet objet Lorsque cette option est sélectionnée, chaque objet enfant hérite les autorisations issues de son objet parent.
Lorsque cette option est désactivée, les autorisations appliquées à l’objet parent ne s’appliquent plus à ses objets enfants.
Remplacer toutes les autorisations héritables existantes sur tous les descendants par des autorisations héritables issues de cet objet Lorsque cette option est sélectionnée, les autorisations sur cet objet parent remplacent celles appliquées à ses objets descendants.
Si elle est désélectionnée, les autorisations sur chaque objet, qu’il s’agisse du parent ou de son descendant, peuvent être uniques.
Boîte de dialogue Audit de l’entrée
À chaque objet est associé un ensemble d’informations relatives à la sécurité, appelé descripteur de sécurité. Une partie de ce descripteur spécifie les groupes ou les utilisateurs autorisés à accéder à un objet, ainsi que les types d’accès (autorisations) qui leur sont accordés. Cette partie du descripteur de sécurité est connue en tant que liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List).
Le descripteur de sécurité d’un objet contient également des informations relatives à l’audit. Ces informations d’audit sont appelées liste de contrôle d’accès système (SACL, System Access Control List). Plus particulièrement, une liste SACL indique les éléments suivants :
Les comptes de groupes ou d’utilisateurs à auditer lors d’un accès à l’objet.
Les opérations à auditer pour chaque groupe ou utilisateur, par exemple la modification d’un fichier.
Un attribut de réussite ou d’échec pour chaque événement d’accès, sur la base des autorisations accordées à chaque groupe et utilisateur dans la DACL de l’objet.
Vous pouvez appliquer l’audit à un objet et tout objet enfant peut hériter de cet audit. Par exemple, l’audit des tentatives infructueuses d’accès à un dossier peut être transmis par héritage à tous les fichiers de ce dossier.
Pour auditer des fichiers et des dossiers, vous devez conduire une session en tant que membre du groupe Administrateurs.
Élément Description
Appliquer à L’objet ou la totalité de ses relations parents et enfants. Vous pouvez également appliquer les entrées d’audit aux objets ou conteneurs à l’intérieur du conteneur.
Accès Type d’accès autorisé par chacune des autorisations.
Réussite S’applique à cet objet en cas d’accès réussi à celui-ci pour chacune des autorisations.
Échec S’applique à cet objet en cas d’accès infructueux à celui-ci pour chacune des autorisations.
Références supplémentaires
Stratégies d’audit
Définir ou modifier les paramètres de la stratégie d’audit pour une catégorie d’événement
Afficher le journal de sécurité
تعليقات
إرسال تعليق
تعليقكم يعكس شخصيتكم ، دعونا نتمتع باللباقة في الكلام.