Les Autorisations sur les dossiers/fichiers

En plus des autorisations sur le partage, Windows permet d’affiner les permissions sur
les fichiers.
Il est donc tout à fait possible d’avoir les droits en écriture sur un partage et bloquer un
sous-dossier en écriture.

Les autorisations permettent d’empêcher l’accès à certains fichiers ou dossiers à un

utilisateur. Dans un environnement monoposte, vous pouvez donc empêcher à un
utilisateur d’accéder à l’un de vos répertoires.
Mais cela est vraiment intéressant dans le cas d’un réseau surtout pour les serveurs de
fichiers. Il vous est alors possible d’interdire l’accès à certains fichiers à des
utilisateurs sur vos partages réseaux.

Voici les droits que vous pouvez affecter à des fichiers :

Autorisations Tâches autorisées

Vous pouvez lire le fichier, son contenu et ses attributs via clic/droit
Lecture
propriétés

Vous pouvez écrire dans le fichier dans le cas d’un fichier

Ecriture texte/modifier ses attributs, afficher ses autorisations et son
propriétaires.

Lecture et Vous pouvez effectuer toutes les actions permises par l’autorisation

exécution Lecture et exécuter des applications

Vous pouvez effectuer toutes les actions permises par les

Modification autorisations Ecriture, Lecture et exécution, modifier le contenu du
fichier et supprimer ce dernier

Vous pouvez effectuer toutes les actions permises par les autres

Contrôle total autorisations de base, attribuer des autorisations aux autres
utilisateurs, et devenir propriétaire du fichier

Pour pouvoir modifier les permissions, vous devez être le Propriétaire du dossier, si ce
n’est pas le cas, vous pouvez le devenir (voir plus bas).
Pour attribuer des autorisations, faites un clic droit propriétés sur le fichiers/dossiers,
puis allez dans l’onglet sécurités, vous obtenez alors une fenêtre similaire à celle-ci :

 Dans la partie haute, vous pouvez visualiser la liste des utilisateurs ou groupes qui ont accès à
ce fichier ou dossier.
 En bas les autorisations pour l’utilisateur ou groupe sélectionné.

Le bouton « Modifier » permet de modifier les permissions.

Vous pouvez alors modifier les permissions sur l’utilisateur/groupe ou ajouter un
nouveau groupe/utilisateur à partir du bouton Ajouter ou en Supprimer.
Lorsque vous cliquez sur le bouton Ajouter, vous obtenez la fenêtre ci-dessous, vous devez alors
saisir le nom d’utilisateur ou groupe, que vous souhaitez ajouter.
Par exemple, si vous saisissez Administrateurs, vous pourrez ajouter le groupe administrateurs.
Si vous tapez, « tout le monde », vous ajoutez le groupe « Tout le monde », n’importe quel utilisateur
de n’importe quel ordinateur pourra alors manipuler les fichiers (selon les permissions sur le partage).

Le bouton Avancé ouvre les Paramètres de sécurité avancés, vous pouvez à nouveau modifier les
permissions de manières beaucoup plus fines.
Le bouton en bas « Remplacer toutes les autorisations des objets enfants par des autorisations
pouvant être héritées de cet objet » permet de réattribuer toutes les permissions actuelles à tous les
fichiers et sous-dossiers.
Si vous décochez « Inclure les autorisations pouvant être héritées du parent de cet objet », cela
permet de ne plus hériter des permissions du dossier supérieure dans l’arborescence.
Cela permet d’attribuer les permissions souhaitées au sous-dossier.

L’onglet Audit permet d’auditer les accès aux fichiers/dossiers.

L’onglet Propriétaires permet de changer le Propriétaires du dossier/fichiers.

NOTES: Lorsque vous définissez les permissions sur les dossiers & partages,
la plus restrictifs des autorisations est appliquées.
Concrètement, si vous donnez à un utilisateur les droits en lecture sur un partage et contrôle total sur
tous les fichiers, il ne pourra lire que les  fichiers. Faites donc bien attention lorsque vous définissez
les droits.

Modifier les permissions en ligne de commande (CACLS)

La commande CACLS permet de modifier les permissions en ligne de commandes. Cette commande
CALCS est disponible depuis Windows Vista.
Notez que vous devez démarrer l’invite en administrateur :

 Windows Vista/Seven : Dans le menu Démarrer, tapez invite et sur l’icône de l’invite
de commandes clic droit puis ‘exécuté en tant qu’administrateur’
 Windows 8 / Windows 10 : Clic droit sur le menu Démarrer puis invites de
commandes (admin)

Voici quelques exemples de commands CACLs

Modifier les permissions en lecteure seule pour un fichier

CACLS monfichier.txt /E /G "Utilisateurs":R

Modifier accès complet sur un fichier pour le groupe utilisateurs :

CACLS monfichier.txt /E /G "Utilisateurs":F

Révoquer les permissions sur le groupe Utilisateurs :

CACLS myfile.txt /E /R "Utilisateurs"

Donne l’accès complet aux groupes Utilisateurs à un dossier et tous les sous-dossiers :

CACLS c:\dossier /E /T /C /G "FinanceUsers":F

Exemple pour donner l’accès au dossier System Volume Information pour l’utilisateur Vincent PC :

CACLS "C:\System Volume Information" /E /T /C /G "VincentPC":F

La commande CALCS ne permet de modifier le Propriétaire (owner), pour cela, vous devez utiliser
la commande subinacl

"C:\Program Files\Windows Resource Kits\Tools\subinacl.exe" /subdirectories "C:\System Volume

Informati