Transcript Règles concernant les autorisations NTFS Contrôle total

• Règles concernant les autorisations NTFS
Contrôle total
Cette autorisation accorde toutes les
autorisations d'accès à un dossier ou à un
fichier. Par défaut, elle est attribuée de la
manière suivante :
Lorsqu'un utilisateur crée un dossier ou un
fichier. Il en est le propriétaire créateur.
Lorsqu'un volume est formaté NTFS,
l'autorisation NTFS est accordée à "Tout le
monde" sur le répertoire racine
• Autorisations multiples
Des autorisations sur un dossier ou un fichier peuvent
être accordées à un groupe ou à un utilisateur.
L'autorisation qui en résulte est la combinaison des
différentes autorisations.
Si un utilisateur fait partie d'un groupe qui a
l'autorisation de lecture sur un dossier, et qu'il a luimême l'autorisation d'écriture, il a en fait les
autorisations de lecture et d'écriture. Les
autorisations d'utilisateur et de groupe se
cumulent.
Une autorisation accordée à un utilisateur
sur un fichier est prioritaire à une
autorisation accordée sur un dossier qui
contient ce fichier. Les autorisations de
fichiers sont prioritaires sur les
autorisations de dossier.
Les sous-dossiers héritent par défaut des
autorisations accordées au dossier
parent. Il est possible de supprimer cet
héritage.
• Le propriétaire d'un dossier (ou d'un fichier)
ou un administrateur ou un utilisateur ayant
l'autorisation "Contrôle total" peuvent
accorder, supprimer ou modifier des
autorisations sur ce dossier ou ce fichier.
• Si un utilisateur est le propriétaire d'un
dossier (ou d'un fichier), il peut accorder des
autorisations à d'autres utilisateurs. Un
administrateur n'a pas forcément des
autorisations sur un dossier ou fichier dont il
n'est pas propriétaire.
• Pour changer les autorisations sur ce
dossier ou fichier, il doit d'abord en
devenir propriétaire en utilisant l'onglet
"Propriétaire" de la fenêtre "Propriétés"
d'un dossier ou d'un fichier.
• Depuis Windows XP la fenêtre de sécurité
d’un fichier ou d’un dossier Paramètres
Avancés comporte un onglet
supplémentaire Autorisations effectives.
Cet onglet vous permet de calculer les autorités dont
dispose un utilisateur ou un groupe sur un dossier
ou un fichier en tenant compte de toutes les
sources d’autorisation possibles.
• Appropriation de fichier/dossier
Par défaut le Propriétaire d’une ressource est celui qui
l’a créée et fait partie automatiquement du groupe
créateur propriétaire. Dés qu’un utilisateur est
propriétaire d’une ressource il peut en modifier les
permissions pour écrire, lire ….Pour s’approprier
une ressource un utilisateur doit posséder la
permission spéciale Prendre possession.
Pour s’approprier une ressource un utilisateur
doit posséder la permission spéciale Prendre
possession.
Il ne peut s’approprier que la ressource mais ne
peut pas rendre un autre utilisateur
propriétaire
Clic droit sur fichier  Propriétés  Sécurité 
Paramètres avancés  Propriétaire
Si utilisateur possède la permission prendre
possession son compte s’affiche dans la liste.
Le sélectionner puis cliquez sur Appliquer
Paramètres de sécurité avancées –
Appropriation Par défaut les Administrateurs sont toujours
présents à la candidature pour l’appropriation
d’un fichier ou d’u dossier. C’est normal car le
compte administrateur possède toujours de
l’autorisation Appropriation et elle ne peut pas
lui être retirée. Vous n’avez plus qu’à cliquer sur
le bouton Autres utilisateurs ou groupes pour
ajouter un nouveau propriétaire ne figurant pas
dans la liste.
• Copie et déplacement de fichiers et de
Dossiers
Pour réaliser une copie ou un déplacement de
fichiers ou dossier l’utilisateur doit avoir les
permissions nécessaires.
Si la copie d’un fichier ou d’un répertoire se fait
vers une partition NTFS différente, le fichier
ou répertoire hérite des permissions de
destination.
Pareil si vous le copiez à l’intérieur d’une même
partition.
Si déplacement d’un fichier ou d’un dossier vers une
partition NTFS différente, le fichier ou dossier hérite
toujours des permissions de destination.
Par contre c’est différent si vous déplacez un fichier
ou répertoire sur une même partition NTFS, il y a
conservation des permissions.
Si vous copiez ou déplacez des fichiers ou dossiers
d’une partition NTFS vers une partition non NTFS
toutes les permissions seront perdues.
Lorsque vous copiez un fichier ou un dossier vous
devenez le propriétaire de cette copie.
En Résumé:
• Les opérations de copie héritent des
autorisations initiales
• Seul le déplacement vers la même
partition permet le maintien des
autorisations
Sur un même
volume NTFS
Co
pie
Héritage des
autorisations
de la
destination
Dé
pla
ce
me
nt
Conservatio
n
des
autorisatio
ns d’origine
Entre volumes
NTFS
différents
Héritage des
autorisations
de la
destination
Héritage
des
autorisatio
ns de la
destination
PRATIQUE
1.Création d'un compte limité U1( gérer)
2.Création d’un groupe G1(menu gérer)
3.Création d’un dossier test dans documents
partagés
4.Pour U1 permission sur test: Lecture
5.Pour G1 permission sur test: C.T
6.Ajouter U1 dans G1 (puis fermer la session)
7.Entrer avec U1 et vérifier son autorisation sur
test.
D/ Partage et permission NTFS
1. Création d'un compte administrateur
panneau de configuration
2.Création d'un compte limité (menu gérer)
3.Tp sur les caractéristiques de NTFS (Tp sur le
quotas, le cryptage)
4.Tp sur la création d'un profil / Copier un profil
5.tp sur le partage d'un dossier
6.tp sur le partage d'un dossier et l'application
des droits d'accés
Exercice N°2
Le dossier OPEN est un dossier partagé sur le réseau.
Les autorisations au niveau du partage sont :
Utilisateur BENALI lecture
Groupe COMPTA Modifier
Groupe MARKETING Contrôle Total
Groupe ACHATS Contrôle Total
Les autorisations au niveau de la sécurité NTFS sont :
Groupe COMPTA : lecture seule
Utilisateur BENALI Contrôle total
Groupe PROGRAMMEURS Contrôle Total
Groupe ACHATS accès refusé
L’utilisateur BENALI est membre des
groupes PROGRAMMEURS et
COMPTA.
1/Quelle est la permission définitive
sur le dossier OPEN pour l’utilisateur
BENALI?
2/Quelle sera la permission sur le
dossier OPEN si l’on rajoute
l’utilisateur BENALI au
groupe ACHATS? Expliquer.
Exercice3:L’utilisateur 1 est membre du
groupe marketing et groupe utilisateurs
•Le groupe utilisateurs et le groupe
marketing dispose respectivement de
l’autorisation NTFS écriture et lecture sur le
dossier1 et le groupe marketing dispose de
l’autorisation NTFS écriture sur le dossier2.
1/De quelles autorisations NTFS,
l’utilisateur1 dispose t-il sur le dossier2?
2/ Que devez vous faire pour affecter
uniquement l’autorisation lecture à
l’utilisateur1 sur le fichier2 ?
3/ Sachant que le dossier1 est partagé et
que le groupe marketing dispose de
l’autorisation accès refusé sur le dossier1,
quelles sont les autorisations effectives du
groupe marketing sur le dossier1?
5-Copier / déplacer un dossier
Le but de l'exercice est de vérifier si les
permissions restent les mêmes une fois un
dossier ou un fichier copié ou déplacé.
Connectez-vous sur l'ordinateur 1 en tant que
Util1.
Créez un dossier nommé Permissions et un
dossier nommé Parents.
Ajouter le groupe Tout le monde avec la
permission Lecture pour le dossier
Permissions.
Ajouter le groupe Tout le monde avec la
permission Contrôle total pour le dossier
Parents.
Copiez le dossier Permissions dans le dossier
Parents.
Vérifiez les permissions NTFS du dossier
Permissions.
Que constater vous?
Faites les mêmes opérations mais en dé
plaçant cette fois le dossier Permissions
Que constater vous?
Le but de cet exercice est de montrer comment
fonctionne l'héritage des permissions.
Créez deux dossiers dans Parents : Enfant1 et
Enfant2.
Vérifiez leurs permissions NTFS. (normalement
cela devrait être Contrôle total pour le groupe
Tout le monde).
Nous allons modifier les permissions du dossier
Enfant1 (Tout le monde - Lecture).
Ouvrez les Propriétés du dossier Enfant1 et
cliquez sur le bouton Paramètres avancés de
l'onglet Sécurité.
Décochez l'option Hérite de l'objet parent les
entrées d'autorisation qui s'appliquent aux
objets enfants. Cela inclut les objets dont les
entrées sont spécifiquement définies ici.
Cliquez sur le bouton Copier et validez.
Sélectionnez ensuite le groupe Tout le
monde et ne cochez que Lecture.
Pour le dossier Parents, nous allons ajouter
le groupe Utilisateurs et attribuer la
permission Lecture.
Supprimez ensuite le groupe Tout le
monde.
Validez l'ensemble des fenêtres.
Vérifiez les permissions de chaque dossier.
Que remarquez vous?
Resultats: Dossier Parents : Lecture pour le groupe
Utilisateurs.
Dossier Enfant1 : Lecture pour le groupe Tout le
monde (puisque ce dossier n'hérite plus du dossier
parent).
Dossier Enfant2 : Lecture pour le groupe Utilisateurs.
Si vous vouliez propager les permissions vous auriez
du cocher, dans les Paramètres avancés, la case
Remplacer les entrées d'autorisations de tous les
objets enfants par les entrées affichées ici et qui
s'appliquent aux objets enfants.
Exercice: Un réseau local est articulé autour d’un
serveur Windows 2000 dont le nom est
« maitre1 »et qui est contrôleur du domaine
TSSRI.MA dont il est aussi le serveur DNS les
utilisateurs créés sur active directory sont util1 ;
util2,…, Util10.et qui sont reparties selon le tableau
suivants en groupes globaux sauf Util9, et Util10 qui
ne font partie d’aucun groupe.
Groupe
Infor Secré compta Chefs de
global
matique taires
projets
Utilisateurs Uil1,
Util3, Util5,
Util7,
Util2
Util4 Util6
Util8
Les ressources disponibles sur le réseau sont réparties
de la façon suivante:
Pc1 : Une imprimante partagée HP1 et un dossier
partagé : UTILITAIRES ;
Pc2 : Un dossier partagé : BUREAUTIQUE
Pc3 : Un dossier partagé : LOGICIELS
Les postes en question ont tous des partitions NTFS
Pour mettre en place une stratégie de sécurité des
ressources l’administrateur a procédé a la création
de groupes locaux suivants : G1 ;G2 ;G3 ;G4 .
La stratégie de sécurité est illustrée sur le tableau
suivant :
Ressource HP1
Groupe/utilisateur
G1 G2
G3
Permission de sécurité Imp CT Aucun
Accès
Permission de partage CT Imp Imp
G4
CT
Imp
Ressource UTILITAIRES
Groupe/utilisateur
G1
G4
G3 Util1
Permission de sécurité L S Exécuter CT CT
Permissions de partage CT CT
LS LS
Ressource Bureautique
Groupe/utilisateur
G1 G2
G3
Util3
Permission de sécurité AA CT Aucun accès CT
Permissions de partage CT LS CT
LS
Ressource Logiciel
Groupe/utilisateur
G1
G2 G3 G4
Permission de sécurité Modifier LS
CT AA
Permission de partage LS
LS
LS LS
Le tableau suivant illustre l’appartenance aux groupes :
Groupe local
G1
G2
G3
Membres
Secrétaires, Info Chefs de
Util9
projets ,
compta,Util10
G4
Compta,
UTIl9
Questions :
1. Quel est le droit effectif des utilisateurs
suivants lorsqu’ils se connectent à la
ressource HP1 a partir de PC2 : Util1 ;
Util4 ; Util9 ?
2. Quel est le droit effectif des utilisateurs
suivants lorsqu’ils se connectent à la
ressource UTILITAIRES à partir de PC1 :
Util2 ; Util3 ; Util7 ?
3. Quel est le droit effectif des utilisateurs
suivants lorsqu’ils se connectent à la
ressource BUREAUTIQUE à partir de PC3 :
Util5 ; Util10 ; Util1 ?
4. Quel est le droit effectif des utilisateurs
suivants lorsqu’ils se connectent à la
ressource BUREAUTIQUE à partir de PC2 :
Util1 ; Util4 ; Util9 ?
5. Quel est le droit effectif des utilisateurs
suivants lorsqu’ils se connectent à la
ressource LOGICIELS à partir de PC1 :
Util1 ; Util4 ; Util6 ?