Module 5 Gestion de donnes laide du systme de fichiers NTFS

Module 05 Gestion de donnes laide du systme de fichiers NTFS

I. Cration de dossiers partags

Laccs au disque dur dun ordinateur peut tre scuris de diffrentes manires. La plus simple mais la moins sre est
dutiliser les autorisations de partage
Pour partager un dossier, il faut AVOIR les droits.
Quand on partage un dossier, on peut :
Contrler laccs au dossier et son
contenu en accordant des autorisations
certains utilisateurs et groupes.
Limiter le nombre dutilisateurs qui
peuvent se connecter simultanment au
dossier partag.
Aprs avoir cr un dossier partag, on peut
tre modifier ses proprits pour dsactiver
son partage, modifier son nom ou
changer les autorisations des utilisateurs
et des groupes.

Microsoft Windows 2003 partage automatiquement

certains dossiers des fins administratives.
On peut accorder des autorisations sur les dossiers
partags situs sur un lecteur au format NTFS et FAT.

A. Caractristiques des dossiers partags

Voici quelques-unes des caractristiques les plus communes des dossiers partags :
Un dossier partag apparat dans lExplorateur Windows sous la forme dune icne reprsentant une main
tenant le dossier.
Vous pouvez partager des dossiers, mais pas des fichiers individuels..
Lorsquun dossier est partag, lautorisation de lecture est accorde par dfaut au groupe Tout le monde..
Lorsque des utilisateurs ou des groupes sont ajouts un dossier partag, les utilisateurs et les groupes
reoivent par dfaut lautorisation de lecture.
Lorsque vous copiez un dossier partag, le dossier dorigine reste partag, mais pas la copie. Lorsque vous
dplacez un dossier partag, le dossier nest plus partag.

Vous pouvez masquer un dossier partag en plaant le symbole du dollar ($) la suite du nom du dossier. Lutilisateur
ne peut alors pas voir le dossier partag dans linterface graphique, mais il peut y accder en tapant le nom UNC
(Universal Naming Convention), tel que \\server\secrets$.

Pour crer un dossier partag, dans lExplorateur Windows. cliquez avec le bouton droit sur le dossier, puis cliquez sur
Partage. Dans longlet Partage, configurez les options dcrites dans le tableau suivant

ALSI (S2) 1
Module 5 Gestion de donnes laide du systme de fichiers NTFS

B. Autorisations sur les dossiers partags

.Elles sappliquent aux dossiers partags et non aux fichiers
individuels.
Les autorisations de partage sont les suivantes :
Lecture : permet de lire et dexcuter un fichier
Modifier : lecture + crire et effacer mais pas
daccs aux autorisations
Contle total : modifier + accs aux
autorisations de partage.

Cases autoriser
Si elle est coche lautorisation quelle concerne est
affecte la ressource.
Si elle nest pas coche lautorisation nest pas accorde sauf par hritage dautorisations et laccs dpend de
ltat de la case refuser.
Case refuser
Si elle est coche lautorisation ne sera jamais accorde quelque soient les autorisations lies au dossier
parents ou lappartenance un groupe.
Si elle nest pas coche lautorisation nest pas refuse et laccs dpend de la case autoriser

Tableau rcapitulatif des actions

Action Contrle Modification Lecture
total
Affichage des noms des fichiers et des sous-dossiers x x x
Accs aux sous-dossiers x x x
Affichage des donnes des fichiers et excution des programmes x x x
Ajout de fichiers et de sous-dossiers au dossier partag x x
Modification de donnes dans les fichiers x x
Suppression de sous-dossiers et de fichiers x x
Modification des autorisations (NTFS seulement) x
Appropriation (NTFS seulement) x

Important Si vous souhaitez naccorder lautorisation sur un dossier partag qu certains utilisateurs, supprimez le
groupe Tout le monde ; sinon, tous les utilisateurs disposent de lautorisation Contrle total sur le dossier. Si vous
dfinissez lautorisation du groupe Tout le monde sur Refuser, tous les utilisateurs se verront refuser laccs au dossier
partag, y compris ceux pour lesquels vous souhaitiez autoriser laccs.

1. Les autorisations peuvent tre cumules

Les autorisations sur les dossiers partags, accordes des comptes dutilisateur individuels et les autorisations
accordes des groupes dutilisateurs se combinent pour constituer les autorisations actives pour une ressource. Par
exemple, si un utilisateur dispose de Lecture pour un dossier et quil est membre dun groupe disposant de lautorisation
Ecrire pour le mme dossier, il possde alors les deux autorisations pour le dossier concern. Cest la permission la
plus leve qui lemporte (sauf cas du refuser).

2. Le refus est prioritaire sur les autres autorisations

On peut refuser des autorisations sur les dossiers partags. Ces autorisations refuses sont prioritaires sur toutes
les autorisations accordes aux comptes dutilisateur et aux groupes. Il est recommand de refuser des autorisations
sur les dossiers partags uniquement si vous souhaitez vous assurer que des utilisateurs spcifiques ne puissent pas
accder un dossier partag.

Fates bien la nuance

Si vous refusez des autorisations un utilisateur, il ne pourra pas bnficier des autorisations accordes au groupe
duquel il est membre.
Si vous refusez une autorisation un utilisateur, il pourra se voir accorder cette autorisation en devenant membre dun
groupe qui dispose de cette autorisation.

Astuce Prfrez le groupe Utilisateurs authentifis au groupe Tout le monde pour accorder la plupart des droits et des
autorisations. Vous minimisez ainsi le risque daccs non autoris car Windows 2003 ne valide les comptes dutilisateur
sur lordinateur ou dans Active Directory que sils sont membres du groupe systme Utilisateurs authentifis.

ALSI (S2) 2
Module 5 Gestion de donnes laide du systme de fichiers NTFS

C. Accs aux dossiers partags

Les utilisateurs peuvent accder un dossier partag en utilisant 3 mthodes au choix :

a. Utilisation des Favoris rseau

1. Double-cliquez sur Favoris rseau.
2. Entrez le chemin daccs rseau du dossier partag auquel vous voulez vous connecter ou cliquez sur
Rechercher pour trouver lordinateur sur lequel est install le dossier partag.
3. Double-cliquez sur le dossier partag pour louvrir.

b. Utilisation de loption Connecter un lecteur rseau

Connectez un lecteur rseau si vous voulez quune lettre de lecteur et une icne soient associes un dossier partag
spcifique. Ceci permet de rfrencer plus facilement lemplacement dun fichier dans un dossier partag. Par exemple,
plutt que de cliquer sur \\Serveur\Dossier_Partag\Fichier, vous cliquez sur Lecteur:\Fichier. Utilisez des lettres de
lecteur pour accder des dossiers partags pour lesquels vous ne pouvez pas employer un chemin daccs respectant
la convention UNC (Universal Naming Convention), comme pour un dossier dune application plus ancienne. Pour se
connecter un lecteur rseau, excutez la procdure dtaille ci-dessous.

1. Cliquez avec le bouton droit sur Favoris rseau, puis cliquez sur Connecter un lecteur rseau.
2. Dans lAssistant Connecter un lecteur rseau, slectionnez la lettre du lecteur que vous voulez utiliser.

3. Entrez le nom du dossier partag auquel vous voulez vous connecter et cliquez sur Parcourir pour le trouver.

Pour accder un dossier partag utilis rgulirement, slectionnez Se reconnecter louverture de session pour
une connexion automatique chaque ouverture de session.

c. Utilisation de la commande Excuter

Dans la mesure o lutilisation de la commande Excuter pour se connecter une ressource rseau nexige pas de
lettre de lecteur, un nombre illimit de connexions indpendantes des lettres de lecteur disponibles est possible. Pour
connecter un dossier partag un lecteur rseau, excutez la procdure ci-dessous :
1. Cliquez sur Dmarrer, puis sur Excuter.
2. Dans la bote de dialogue Excuter, tapez un chemin daccs UNC dans la zone Ouvrir, puis cliquez sur 0K.
(\\serveur1\mesdonnees). Quand vous entrez le nom du serveur dans la zone Ouvrir, une liste des noms de
dossiers partags disponibles apparat. Windows 2003 vous permet de choisir une des entres fournies.

d. Types de dossiers dadministration partags

Par dfaut, les membres du groupe Administrateurs bnficient de lautorisation Contrle total sur les dossiers
dadministration partags. Vous ne pouvez pas modifier les autorisations de ces dossiers. Le tableau suivant rpertorie
la fonction des dossiers dadministration partags que Windows Server 2003 fournit automatiquement.

ALSI (S2) 3
Module 5 Gestion de donnes laide du systme de fichiers NTFS

Dossier partag Fonction

C$, D$, E$ Ces dossiers partags servent se connecter distance un ordinateur et accomplir des
tches dadministration. La racine de chaque partition (qui est affecte dune lettre) sur un
disque dur est automatiquement partage. Lorsque vous vous connectez ce dossier, vous
avez accs lensemble de la partition.
Admin$ Il sagit du dossier de la racine du systme, savoir C:\WINDOWS par dfaut. Les
administrateurs peuvent accder ce dossier partag pour administrer Windows Server 2003
sans savoir dans quel dossier il est install.
Print$ Ce dossier permet daccder aux pilotes dimprimantes des ordinateurs clients. Lorsque vous
installez la premire imprimante partage, le dossier RacineSystme\System32\Spool\Drivers
est partag sous la forme Print$. Seuls les membres des groupes Administrateurs, Oprateurs
de serveur et Oprateurs dimpression disposent de lautorisation Contrle total sur ce dossier.
Le groupe Tout le monde peut accder en lecture au dossier.
IPC$ IPC$ est utilis pendant ladministration distance dun ordinateur et lors de laffichage des
ressources partages dun ordinateur.
FAX$ Ce dossier partag permet de placer temporairement des fichiers en mmoire cache et
daccder des pages de garde sur le serveur.

II. Les autorisations NTFS

1. Description des autorisations sur les objets Active Directory

NTFS offre les avantages suivants :

Fiabilit
NTFS utilise un fichier journal et des informations de point de contrle pour restaurer lintgrit du systme de
fichiers au redmarrage de lordinateur. En cas de secteur dfectueux, NTFS reconfigure dynamiquement le cluster
du secteur et alloue un nouveau cluster aux donnes. NTFS marque aussi ce cluster comme tant inutilisable.
Scurit renforce
Les fichiers NTFS utilisent le systme de cryptage de fichiers EFS (Encrypting File System) pour scuriser les
fichiers et dossiers. Si EFS est activ, les fichiers et les dossiers peuvent tre crypts pour permettre leur utilisation
par un seul utilisateur ou plusieurs utilisateurs. Les avantages du cryptage sont la confidentialit et lintgrit des
donnes, ce qui signifie que les donnes sont protges contre les modifications malveillantes ou accidentelles.
NTFS permet aussi de dfinir des autorisations daccs un fichier ou un dossier. Ces autorisations peuvent tre
Lecture, Lecture et criture ou Refuser.
NTFS enregistre galement une liste de contrle daccs ACL (Access Control List) avec tous les fichiers et les
dossiers dune partition NTFS.
La liste ACL contient la liste des comptes dutilisateurs, de groupes et dordinateurs qui peuvent accder au fichier
ou dossier, ainsi que le type daccs dont ils bnficient. Pour quun utilisateur puisse accder un fichier ou un
dossier, la liste ACL doit contenir une entre appele ACE associe au compte dutilisateur, de groupe ou
dordinateur auquel lutilisateur est associ. La liste ACE doit accorder spcifiquement le type daccs que
lutilisateur demande pour quil puisse accder au fichier ou au dossier.
Si aucune entre ACE nexiste dans la liste ACL, Windows Server 2003 refuse lutilisateur laccs la ressource.
Administration amliore de la croissance du stockage
NTFS prend en charge les quotas de disque, ce qui permet de spcifier lespace disque maximum allouer un
utilisateur.

Le systme NTFS optimise par ailleurs lespace disque en permettant la compression de donnes et la
configuration de quotas de disque

a. Autorisations standard et spciales

Les autorisations standard sont les autorisations les plus utilises et correspondent un ensemble dautorisations
spciales. Les autorisations spciales fournissent un niveau de contrle plus lev sur les types daccs accorder sur
les objets. Les autorisations standard sont les suivantes :
Contrle total
criture
Lecture
Cration de tous les objets enfants
Suppression de tous les objets enfants

ALSI (S2) 4
Module 5 Gestion de donnes laide du systme de fichiers NTFS

b. Accs soumis des autorisations

Windows Server 2003 stocke la liste des autorisations daccs des utilisateurs, appele liste de contrle daccs
discrtionnaires DACL (Discretionary Access Control List), pour chaque objet Active Directory. Cette liste dfinit les
personnes autorises accder lobjet ainsi que les actions quelles peuvent excuter sur lobjet.

2. Caractristiques des autorisations sur les objets Active Directory

a. Acceptation et refus des autorisations

On peut accorder ou refuser des autorisations. Les autorisations refuses sont prioritaires par rapport aux autorisations
accordes aux comptes dutilisateurs et aux groupes. Refusez des autorisations uniquement lorsquil est ncessaire de
les supprimer car lutilisateur en dispose en tant membre dun groupe.

b. Autorisations implicites ou explicites

On peut refuser des autorisations implicitement ou explicitement comme suit :

Lorsquune autorisation dexcuter une opration nest pas explicitement accorde, elle est implicitement
refuse.
Si, par exemple, le groupe Marketing dispose de lautorisation Lecture sur un objet Utilisateur et quaucune
entit de scurit ne figure dans la liste de contrle daccs discrtionnaires, les utilisateurs qui ne sont pas
membres du groupe ne peuvent pas accder implicitement lobjet. Le systme dexploitation ne permet pas
aux utilisateurs non-membres du groupe Marketing de lire les proprits de lobjet Utilisateur.
Vous refusez explicitement une autorisation lorsque vous voulez empcher un sous-lment dun groupe
dexcuter une tche que le groupe est autoris excuter.
Il peut tre ncessaire, par exemple, dempcher lutilisateur David dafficher les proprits dun objet
Utilisateur. Toutefois, David est membre du groupe qui peut afficher les proprits de lobjet. Vous pouvez
empcher David dafficher les proprits en lui refusant explicitement lautorisation Lecture.

c. Autorisations standard et spciales

La plupart des tches associes aux autorisations sur les objets Active Directory peuvent tre dfinies laide des
autorisations standard. Ces autorisations sont les plus utilises, mais si vous devez accorder un niveau dautorisation
plus prcis, utilisez les autorisations spciales.

3. Hritage des autorisations sur les objets Active Directory

Lorsque des autorisations sont dfinies sur un objet parent, les nouveaux objets hritent des autorisations sur lobjet
parent. On peut supprimer les autorisations hrites et les ractiver si ncessaire.

Avantages de lhritage des autorisations

Un objet parent est un objet qui est associ un autre objet appel objet enfant.
Un objet enfant hrite des autorisations de lobjet parent. Lhritage des autorisations dans Active Directory permet de
rduire le nombre doprations doctroi des autorisations sur les objets.
Lhritage des autorisations dans Windows Server 2003 simplifie ladministration des autorisations des manires
suivantes :
Il est inutile dappliquer les autorisations manuellement aux objets enfants lors de leur cration.
Les autorisations appliques un objet parent sont appliques de manire cohrente tous les objets enfants.
Pour modifier les autorisations sur tous les objets dun conteneur, il suffit de modifier les autorisations sur lobjet
parent. Les objets enfants hritent automatiquement des modifications.

4. Impact de la modification des objets sur lhritage des autorisations

La modification des objets Active Directory affecte lhritage des autorisations.

En tant quadministrateur systme, vous devrez transfrer des objets entre les units dorganisation dans Active
Directory lorsque les fonctions organisationnelles ou dadministration changeront. Dans ce cas, les autorisations hrites
changent. Vous devez imprativement tenir compte de ces consquences avant de modifier les objets Active Directory.

a. Impact du transfert des objets

Lorsque vous transfrez des objets entre les units dorganisation, les conditions suivantes sappliquent :
Les autorisations dfinies implicitement ne changent pas.
Un objet hrite des autorisations de lunit dorganisation de destination.
Un objet transfr dune unit dorganisation perd les autorisations hrites de lunit dorganisation.

ALSI (S2) 5
Module 5 Gestion de donnes laide du systme de fichiers NTFS

Remarque : Lorsque vous modifiez des objets Active Directory, on peut transfrer plusieurs objets simultanment.

b. Blocage de lhritage des autorisations

On peut bloquer lhritage des autorisations pour empcher un objet enfant dhriter des autorisations de son objet
parent. Lorsque vous procdez ainsi, seules les autorisations que vous dfinissez sappliquent.
Lorsque vous bloquez lhritage des autorisations, la famille Windows Server 2003 permet de :
Copier les autorisations hrites vers lobjet ; les nouvelles autorisations de lobjet sont des autorisations
explicites. Il sagit de copies des autorisations dont lobjet a hrit auparavant de son objet parent. Aprs avoir
copi des autorisations hrites, on peut les modifier en fonction des besoins.
Supprimer les autorisations hrites dun objet. La suppression de ces autorisations supprime toutes les
autorisations sur lobjet. On peut ensuite accorder de nouvelles autorisations sur lobjet.

c. Procdure de modification des autorisations sur les objets Active Directory

Windows Server 2003 dtermine si un utilisateur est autoris utiliser un objet en vrifiant les autorisations de
lutilisateur sur lobjet dans la liste de contrle daccs discrtionnaires. Lorsque vous accordez ou refusez une
autorisation sur un objet, ce paramtre remplace les autorisations hrites de lobjet parent.

5. Description des autorisations effectives sur les objets Active Directory

On peut utiliser loutil Autorisations effectives pour identifier les autorisations sur un objet Active Directory. Loutil
dtermine les autorisations accordes un utilisateur ou un groupe et tient compte des autorisations en vigueur par
rapport lappartenance un groupe ainsi que des autorisations hrites de lobjet parent.

a. Caractristiques

Les autorisations effectives sur les objets Active Directory ont les caractristiques suivantes :
Les autorisations cumulatives sont une combinaison des autorisations Active Directory accordes aux comptes
dutilisateurs et aux comptes de groupes.
Les autorisations refuses sont prioritaires par rapport aux autorisations hrites. Les autorisations explicites
sont prioritaires.
Chaque objet a un propritaire dans un volume NTFS ou Active Directory.
Le propritaire contrle la faon dont les autorisations sont dfinies sur lobjet et qui les autorisations sont
accordes.
Dans Windows Server 2003, le groupe Administrateurs est le propritaire des objets par dfaut de Active
Directory. Le propritaire peut toujours changer les autorisations sur un objet, mme sil ne dispose pas de tous
les accs lobjet.
Le propritaire en cours peut accorder lautorisation Prendre possession un autre utilisateur pour lui permettre
de devenir propritaire de lobjet tout moment. Lutilisateur doit prendre possession de lobjet pour raliser le
transfert de proprit.

b. Extraction des autorisations effectives

Pour extraire des informations sur les autorisations effectives dans Active Directory, vous devez tre autoris lire les
informations dappartenance. Si lutilisateur ou le groupe dfini est un objet Domaine, vous devez tre autoris lire les
informations dappartenance de lobjet dans le domaine. Les utilisateurs suivants disposent des autorisations de
domaine par dfaut appropries :
Les administrateurs de domaines peuvent lire les informations dappartenance de tous les objets.
Les administrateurs locaux sur un poste de travail ou un serveur autonome ne peuvent pas lire les informations
dappartenance dun utilisateur dun domaine.
Les utilisateurs authentifis dun domaine peuvent lire les informations dappartenance uniquement si le
domaine fonctionne en mode daccs compatible pr-Windows 2000.

c. Procdure didentification des autorisations effectives sur les objets Active Directory
Pour afficher le journal des autorisations effectives sur les objets Active Directory, procdez comme suit.
Pour afficher le journal des autorisations effectives :
1. Dans larborescence de la console Utilisateurs et ordinateurs Active Directory, accdez lunit dorganisation ou
lobjet dont vous voulez afficher les autorisations effectives.
2. Faites un clic-droit sur lunit dorganisation ou lobjet, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits, cliquez sur Paramtres avancs dans longlet Scurit.
4. Dans la bote de dialogue Paramtres de scurit avanc, cliquez sur Slectionner dans longlet Autorisations
effectives.
5. Dans la zone Entrez le nom de lobjet slectionner de la bote de dialogue Slectionnez Utilisateur, Ordinateur
ou Groupe, entrez le nom de lutilisateur ou du groupe, puis cliquez sur OK.

Les cases cocher actives indiquent les autorisations effectives de lutilisateur ou du groupe sur lobjet.

ALSI (S2) 6
Module 5 Gestion de donnes laide du systme de fichiers NTFS

6. Autorisations NTFS
On y accde par lOnglet scurit

Les autorisations sur des dossiers pour contrler laccs ces dossiers ainsi quaux fichiers et sous-dossiers
quils contiennent. Le tableau suivant numre les autorisations NTFS standards que vous pouvez accorder sur les
dossiers et le type daccs offert par chaque autorisation

Lecture Afficher les fichiers et les sous-dossiers contenus dans le dossier ainsi que les attributs,
lappropriation et les autorisations associs au dossier. Le droit Lecture emporte implicitement
le droit dafficher le contenu des dossiers
Ecriture Crer des fichiers et des sous-dossiers dans le dossier, modifier les attributs du dossier et afficher
lappropriation et les autorisations associes au dossier. Problme : pour pouvoir enregistrer
un document cr avec une application il faut accorder galement le droit modifier
Afficher le contenu du Afficher le nom des fichiers et des sous-dossiers contenus dans le dossier.
dossier
Lecture et excution Parcourir les dossiers et effectuer les oprations permises par les autorisations Lecture et
Afficher le contenu du dossier.
Modifier Supprimer le dossier et effectuer les oprations permises par les autorisations Ecriture, et
Lecture et excution. Les droits lecture, excution, afficher le contenu des dossiers et
criture sont accords explicitement
Contrle total Modifier les autorisations, prendre possession dun dossier, supprimer des sous-dossiers et des
fichiers et effectuer les oprations permises par toutes les autres autorisations NTFS sur les
dossiers.
Autorisations spciales Permet de savoir quil y a dautres autorisations qui ont t affectes. Pour les visualiser bouton
Paramtres avancs.

a. Autorisations NTFS sur les fichiers

Le tableau suivant numre les autorisations NTFS standards que vous pouvez accorder sur les fichiers et le type
daccs offert par chaque autorisation.

Lecture Lire le fichier et afficher les attributs, lappropriation et les autorisations associs au fichier.
criture Remplacer le fichier, modifier les attributs du fichier et afficher lappropriation et les
autorisations associes au fichier.
Lecture et excution Excuter des applications et effectuer les oprations permises par lautorisation Lecture.
Modification Modifier et supprimer le fichier et effectuer les oprations permises par les autorisations
Ecriture, et Lecture et excution.
Contrle total Modification + modifier les autorisations + appropriation du fichier

b. Application des autorisations NTFS dans Windows 2003

Par dfaut, lorsque vous accordez des autorisations sur un dossier des utilisateurs et des groupes, ils peuvent
accder aux sous-dossiers et aux fichiers quil contient. Il est important de comprendre comment les sous-dossiers et
les fichiers hritent des autorisations NTFS de leur dossier parent afin dutiliser cet hritage pour propager les
autorisations aux fichiers et aux dossiers.

Si vous accordez des autorisations sur un fichier ou dossier un compte dutilisateur individuel et un groupe dont
lutilisateur est membre, lutilisateur dispose de plusieurs autorisations sur la mme ressource. Certaines rgles et
priorits rgissent la faon dont le systme NTFS peut combiner plusieurs autorisations. De plus, vous pouvez affecter
des autorisations lorsque vous copiez ou dplacez des fichiers et des dossiers.

ALSI (S2) 7
Module 5 Gestion de donnes laide du systme de fichiers NTFS

c. Autorisations NTFS multiples

Si vous accordez des autorisations NTFS un compte dutilisateur individuel et un groupe auquel lutilisateur
appartient, ce dernier dispose de plusieurs autorisations. Certaines rgles rgissent la faon dont NTFS combine ces
autorisations afin de gnrer lautorisation effectivement accorde lutilisateur.

d. Les autorisations NTFS peuvent tre cumules

Les autorisations rellement accordes un utilisateur sur une ressource rsultent de la combinaison des
autorisations NTFS accordes au compte dutilisateur individuel et aux groupes auxquels lutilisateur appartient. Par
exemple, si un utilisateur dispose de lautorisation Lecture sur un dossier et quil est membre dun groupe disposant de
lautorisation Ecrire sur le mme dossier, lutilisateur possde alors les deux autorisations pour le dossier concern.

e. Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les dossiers
Les autorisations NTFS sur les fichiers sont prioritaires sur les autorisations NTFS sur les dossiers. Par exemple, un
utilisateur qui dispose de lautorisation Modifier sur un fichier peut apporter des modifications au fichier mme sil ne
dispose que de lautorisation Lecture sur le dossier contenant le fichier.

f. Lautorisation Refuser est prioritaire sur les autres autorisations

Vous pouvez refuser laccs un fichier ou un dossier particulier en appliquant lautorisation Refuser au compte
dutilisateur ou au groupe dutilisateurs. Mme si un utilisateur est autoris accder au fichier ou au dossier en tant que
membre dun groupe, le refus dautorisation son encontre annule toute autre autorisation dont il bnficie.
Lautorisation Refus est donc une exception la rgle du cumul. Vous devez viter dappliquer lautorisation Refuser,
car il est plus facile daccorder un accs aux utilisateurs et aux groupes que de le refuser au cas par cas. Il est prfrable
de structurer les groupes et dorganiser les ressources dans les dossiers de sorte que loctroi dautorisations suffise.

7. Hritage des autorisations NTFS

Par dfaut, les autorisations accordes un dossier parent sont hrites et propages aux sous-dossiers et fichiers
contenus dans le dossier parent. Toutefois, on peut bloquer lhritage des autorisations pour que certains dossiers ou
fichiers disposent dautorisations diffrentes de celles de leur dossier parent.

a. Hritage des autorisations

Toutes les autorisations que vous accordez sur un dossier parent sappliquent aux sous-dossiers et fichiers quil contient.
Lorsque vous accordez des autorisations NTFS daccs un dossier, vous accordez des autorisations sur ce dossier,
sur tous les fichiers et sous-dossiers quil contient et sur tous les nouveaux fichiers et sous dossiers crs dans ce
dossier.

b. Blocage de lhritage des autorisations

Vous pouvez bloquer lhritage des autorisations. Ainsi, les sous-dossiers et les fichiers ne peuvent pas hriter des
autorisations de leur dossier parent. Pour bloquer lhritage des autorisations, supprimez les autorisations hrites et
conservez uniquement les autorisations accordes explicitement.

ALSI (S2) 8
Module 5 Gestion de donnes laide du systme de fichiers NTFS

loption permettre aux autorisations :permet de bloquer des autorisations provenant des rpertoires parents.
Dcocher cette case pour rompre lhritage.
Loption remplacer les entres: permet de rinitialiser les autorisations et de forcer lhritage.
Remarque : Le sous-dossier priv de lhritage des autorisations de son dossier parent devient le nouveau dossier
parent. Les sous-dossiers et les fichiers contenus dans le nouveau dossier parent hritent des autorisations accordes
sur ce dernier.
Aprs avoir dcoch la case, vous pouvez choisir entre copier ou supprimer les autorisations hrites du parent. Faire
son choix.

8. Copie et dplacement de fichiers et de dossiers

a. Copie de fichiers et de dossiers

Lorsque vous copiez des fichiers ou des dossiers, dun dossier vers un autre, ou dune partition vers une autre, les
autorisations associes aux fichiers ou dossiers peuvent changer. La copie dun fichier ou dun dossier a les
consquences sur les autorisations NTFS dcrites ci-dessous :
Quand on copie un dossier ou un fichier dans une mme partition NTFS, la copie du dossier ou du fichier hrite
des autorisations du dossier de destination.
Quand on copie un dossier ou un fichier dune partition NTFS vers une autre, la copie du dossier ou du fichier
hrite des autorisations du dossier de destination.
Quand on copie des fichiers ou des dossiers sur des partitions non NTFS, telles quune table dallocation des
fichiers FAT (File Allocation Table), les dossiers et les fichiers perdent leurs autorisations NTFS, car les partitions
non NTFS ne prennent pas en charge les autorisations NTFS.

Pour copier des fichiers et des dossiers dans une mme partition NTFS ou dune partition NTFS vers une autre, vous
devez disposer de lautorisation Lecture sur le dossier source et de lautorisation Ecriture sur le dossier de destination.

b. Dplacement de fichiers et de dossiers

Quand on dplace un dossier ou un fichier dans une mme partition NTFS, le dossier ou le fichier conserve ses
autorisations dorigine.
Quand on dplace un dossier ou un fichier dune partition NTFS vers une autre, le dossier ou le fichier hrite des
autorisations du dossier de destination. Le dplacement dun dossier ou dun fichier dune partition vers une autre
consiste en ralit copier le dossier ou le fichier dans son nouvel emplacement, puis le supprimer de son
emplacement source.
Quand on dplace des fichiers ou des dossiers vers des partitions non NTFS, les dossiers et les fichiers perdent
leurs autorisations NTFS, car les partitions non NTFS ne prennent pas en charge les autorisations NTFS.

ALSI (S2) 9
Module 5 Gestion de donnes laide du systme de fichiers NTFS

Pour dplacer des fichiers et des dossiers dans une mme partition NTFS ou dune partition NTFS vers une autre, vous
devez disposer de lautorisation Ecriture sur le dossier de destination et de lautorisation Modifier sur le fichier ou le
dossier source. Lautorisation Modifier est requise pour dplacer un dossier ou un fichier, car Windows 2003 supprime
le dossier ou le fichier du dossier source aprs lavoir copi dans le dossier de destination.

9. Utilisation des autorisations NTFS spciales

Il arrive que les autorisations NTFS standard noffrent pas le niveau daccs que vous souhaitez accorder aux
utilisateurs. Pour crer un niveau daccs particulier, accordez des autorisations NTFS daccs spciales. On y accde
par le bouton Paramtres Avancs de longlet scurit

Cas N1 : Modifier les autorisations

Vous pouvez permettre dautres administrateurs et utilisateurs de modifier les autorisations sur un fichier ou un dossier,
sans leur accorder pour autant lautorisation Contrle total. Ladministrateur ou lutilisateur concern ne peut alors pas
crire dans ce fichier ou ce dossier, ni le supprimer, mais il peut accorder des autorisations daccs sur celui-ci.
Exemple, pour permettre aux administrateurs de changer les autorisations, accordez au groupe Administrateurs
lautorisation Modifier les autorisations sur le fichier ou le dossier.

Les droits spciaux peuvent porter sur le dossier et/ou ses

sous-dossiers et/ou les fichiers.
Si on veut quun utilisateur particulier ait un contrle total
sur les sous-dossiers et les fichiers inclus dans le dossier
dosscomptable, on slectionne alors loption les sous
dossiers et les fichiers seulement et on lui accorde tous
les droits.

Aprs avoir validez vos choix vous remarquerez que loption Autorisations spciales est coche.

Cas N2 : Appropriation :

Cette autorisation permet un utilisateur de prendre possession des

fichiers ou des dossiers.
Rappel :Quand on utilise la variable -%username%- pour crer un
rpertoire priv dun utilisateur, celui-ci en devient automatiquement
propritaire et possde le contrle total de mme que le groupe
administrateur.

Vous pouvez transfrer la proprit des fichiers et des dossiers dun

compte dutilisateur ou dun groupe dutilisateurs un autre. Il est
galement possible dautoriser un utilisateur prendre possession dun
fichier ou dun dossier et, en tant quadministrateur, vous pouvez
galement en prendre possession.
Les rgles dcrites ci-dessous sappliquent pour lappropriation dun
fichier ou dun dossier.

ALSI (S2) 10
Module 5 Gestion de donnes laide du systme de fichiers NTFS

Le propritaire actuel, ou tout utilisateur disposant de lautorisation Contrle total, peut accorder un autre
utilisateur ou un groupe dutilisateurs lautorisation standard Contrle total ou lautorisation daccs spciale
Appropriation.
Un membre du groupe Administrateurs peut prendre possession dun dossier ou dun fichier, quelles que soient
les autorisations accordes sur ce dossier ou fichier. Si un administrateur prend possession dun fichier ou dun
dossier, le groupe Administrateurs en devient le propritaire, et tout membre de ce groupe peut alors modifier les
autorisations sur ce fichier ou dossier..

Pour accorder des autorisations dappropriation des utilisateurs et des groupes, il faut :
1. Clic droit sur le dossier ou le fichier concern
2. Proprits / Scurit/Paramtres Avancs.
3. Onglet propritaires
Vous pouvez ajouter un nouveau propritaires (bouton Autres utilisateurs ou groupes)
Et/ou de remplacez le propritaire en cochant la case cette effet.

10. Les autorisations effectives sur les fichiers et les dossiers NTFS

Si vous accordez des autorisations NTFS un compte dutilisateur et un groupe dont lutilisateur est membre, vous
accordez plusieurs autorisations lutilisateur. NTFS combine ces autorisations pour gnrer les autorisations effectives
de lutilisateur selon des rgles prcises.

Description

Windows Server 2003 fournit un outil qui affiche les autorisations effectives qui sont des autorisations cumulatives
bases sur lappartenance un groupe. Les informations sont calcules partir des entres dautorisation existantes et
sont accessibles en lecture seule.
Les autorisations effectives ont les caractristiques suivantes :
Les autorisations cumulatives rsultent de la combinaison des plus hautes autorisations NTFS accordes
lutilisateur et de tous les groupes dont lutilisateur est membre.
Les autorisations sur les fichiers NTFS sont prioritaires par rapport aux autorisations sur les dossiers.
Les refus dautorisations remplacent toutes les autorisations.
Chaque objet est la proprit dun volume NTFS ou Active Directory. Le propritaire contrle la faon dont les
autorisations sont dfinies sur lobjet et qui les autorisations sont accordes.
Important : Un administrateur qui doit rparer ou changer les autorisations sur un fichier doit sapproprier ce fichier.

Appartenance

Dans la famille Windows Server 2003, le propritaire par dfaut est le groupe Administrateurs. Le propritaire peut
toujours changer les autorisations sur un objet, mme sil ne dispose daucun accs lobjet.
Lappartenance peut tre prise par :
Un administrateur. Par dfaut, le groupe Administrateurs dispose du droit dutilisateur Prendre possession des
fichiers ou dautres objets.
Tout utilisateur ou groupe qui dispose de lautorisation Appropriation sur lobjet.
Un utilisateur bnficiant du privilge Restaurer les fichiers et rpertoires.
Lappartenance peut tre transfre de diffrentes manires :
Le propritaire actuel peut attribuer lautorisation Appropriation un autre utilisateur. Lutilisateur doit prendre
effectivement possession de lobjet pour terminer le transfert.
Un administrateur peut prendre possession de lobjet.
Un utilisateur qui dtient le privilge Restaurer les fichiers et rpertoires peut double-cliquer sur Autres
utilisateurs ou groupes et peut affecter la proprit nimporte quel utilisateur ou groupe.
Important : Les autorisations sur un dossier partag ne sont pas prises en compte dans le calcul des autorisations
effectives. Laccs aux dossiers partags peut tre refus par les autorisations partages, mme si laccs est accord
par des autorisations NTFS.

Empcher lhritage des autorisations pour le dossier 2 ou le fichier 2.

Supprimez les autorisations sur le dossier 2 ou le fichier 2 qui ont t transmises au dossier 2 par le dossier 1.
Naccordez que lautorisation de lecture au groupe Ventes sur le dossier 2 ou le fichier 2.

ALSI (S2) 11
Module 5 Gestion de donnes laide du systme de fichiers NTFS

11. Impact de la combinaison des autorisations de dossier partag et des autorisations NTFS

Lorsque vous autorisez laccs aux ressources du rseau sur un volume NTFS, il est recommand dutiliser les
autorisations NTFS les plus restrictives pour contrler les accs aux dossiers et aux fichiers, combines avec les
autorisations de dossier partag les plus restrictives qui contrlent laccs au rseau.

Description des autorisations combines

Lorsque vous crez un dossier partag dans une partition NTFS, les autorisations de dossier partag et NTFS sont
combines pour protger les fichiers. Les autorisations NTFS sappliquent lorsque laccs la ressource seffectue
localement ou via un rseau.
Lorsque vous accordez des autorisations de dossier partag sur un volume NTFS, les rgles suivantes sappliquent :
Des autorisations NTFS sont ncessaires sur les volumes NTFS. Par dfaut, le groupe Tout le monde dispose
de lautorisation de lecture.
Les utilisateurs doivent disposer dautorisations NTFS sur chaque fichier et sous-dossier dun dossier partag,
en plus des autorisations de dossier partag, pour pouvoir accder ces ressources.
Lorsque vous combinez les autorisations NTFS et les autorisations de dossier partag, lautorisation rsultante
correspond lautorisation la plus restrictive des autorisations de dossier partag et des autorisations NTFS
combines.

12. Procdure didentification des autorisations effectives rsultant de la combinaison des autorisations de
dossier partag et des autorisations NTFS

Utilisez lExplorateur Windows pour afficher les autorisations effectives sur les dossiers partags. Pour dterminer les
autorisations effectives, vous devez en premier lieu dterminer les autorisations NTFS maximales et les autorisations de
dossier partag, puis comparer les autorisations.

a. Procdure didentification des autorisations NTFS maximales

Pour dterminer les autorisations NTFS maximales dun utilisateur sur un fichier dun volume NTFS, procdez comme
suit :
1. Dans lExplorateur de Windows, recherchez le fichier ou le dossier dont vous voulez afficher les autorisations.
2. Cliquez avec le bouton droit sur le fichier ou le dossier, puis sur Proprits.
3. Dans la bote de dialogue Proprits, cliquez sur Paramtres avancs dans longlet Scurit.
4. Dans la bote de dialogue Paramtres de scurit avancs, cliquez sur Slectionner dans longlet Autorisations
effectives.
5. Dans le champ Entrez le nom de lobjet slectionner de la bote de dialogue Slectionnez Utilisateur,
Ordinateur ou Groupe, entrez le nom dun utilisateur ou dun groupe, puis cliquez sur OK.
Les cases cocher actives indiquent les autorisations NTFS maximales dun utilisateur ou dun groupe sur un fichier ou
un dossier.

b. Procdure didentification des autorisations maximales sur un dossier partag

Pour dterminer les autorisations maximales dun utilisateur sur un dossier partag, procdez comme suit :
1. Ouvrez la bote de dialogue Proprits du dossier partag.
2. Recherchez les autorisations maximales dont dispose lutilisateur sur le dossier partag en dterminant quel groupe
lutilisateur appartient.

c. Procdure didentification des autorisations effectives

Pour dterminer les autorisations effectives sur un dossier partag, procdez comme suit :
1. Comparez les autorisations NTFS maximales avec les autorisations maximales de dossier partag.
2. Lautorisation la plus restrictive de lutilisateur entre lautorisation NTFS maximales et les autorisations de dossier
partag est lautorisation effective.

ALSI (S2) 12