Vue d’ensemble du contrôle d’accès

S'applique à: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique pour les professionnels de l'informatique décrit le contrôle d'accès dans Windows, qui est le processus autorisant des utilisateurs, groupes et ordinateurs d'accéder aux objets sur le réseau ou l'ordinateur. Les concepts clés du contrôle d'accès sont les autorisations, l'appropriation d'objets, l'héritage des autorisations, des droits d'utilisateur et l'audit des objets.

Description de la fonctionnalité

Ordinateurs qui exécutent une version prise en charge de Windows peuvent contrôler l'utilisation des ressources système et réseau via des mécanismes interdépendants d'authentification et d'autorisation. Après avoir authentifié un utilisateur, le système d'exploitation Windows utilise des technologies de contrôle d'accès et d'autorisation intégrés pour implémenter la deuxième phase de protection des ressources : déterminer si un utilisateur authentifié dispose des autorisations appropriées pour accéder à une ressource.

Étant donné que les ressources partagées sont accessibles par les utilisateurs et les groupes en plus de leur propriétaire, elles doivent être protégées contre tout accès non autorisé. Dans le modèle de contrôle d'accès, les utilisateurs et groupes (également appelées principaux de sécurité) sont représentés par les identificateurs de sécurité unique (SID). Ils disposent de droits et autorisations qui informent le système d'exploitation que chaque utilisateur et groupe peuvent faire. Chaque ressource est associée à un propriétaire qui accorde des autorisations aux principaux de sécurité. Lors de la vérification du contrôle d’accès, ces autorisations sont examinées pour déterminer quels principaux de sécurité ont accès à la ressource et de quelle façon.

Entités de sécurité effectuent des actions (qui incluent la lecture, écriture, modification ou contrôle total) sur les objets. Ces objets peuvent être des fichiers, des dossiers, des imprimantes, des clés de Registre et des objets de services de domaine Active Directory (AD DS). Partagé des listes de contrôle d'accès (ACL) pour affecter des autorisations du utilisation de ressources. Ainsi, les gestionnaires de ressources appliquer le contrôle d'accès de plusieurs manières :

• Refuser l’accès aux utilisateurs et aux groupes non autorisés

• Définir des limites d’accès pour les utilisateurs et groupes autorisés

Les propriétaires d’objets accordent généralement des autorisations à des groupes de sécurité plutôt qu’à des utilisateurs individuels. Les utilisateurs et les ordinateurs bénéficient des mêmes autorisations que les groupes existants auxquels ils sont ajoutés. Si un objet (tel qu’un dossier) peut contenir d’autres objets (comme des sous-dossiers et des fichiers), il porte le nom de conteneur. Dans une hiérarchie d'objets, la relation entre un conteneur et son contenu est exprimée en faisant référence au conteneur comme parent. Un objet dans le conteneur est appelé enfant et l'enfant hérite les paramètres de contrôle d'accès du parent. Les propriétaires d’objets accordent le plus souvent des autorisations aux objets conteneur plutôt qu’à chaque objet enfant, afin de faciliter la gestion du contrôle d’accès.

Cet ensemble de contenus contient :

• Vue d'ensemble du contrôle d'accès dynamique

• Présentation technique des identificateurs de sécurité

• Présentation technique des principaux de sécurité

  • Comptes locaux

  • Les comptes Active Directory

  • Comptes Microsoft

  • Comptes de service

  • Groupes de sécurité Active Directory

Cas pratiques

Les administrateurs qui utilisent la version prise en charge de Windows peuvent affiner l'application et la gestion du contrôle d'accès aux objets et aux sujets pour fournir la sécurité suivante :

• Protéger un plus grand nombre et une plus grande variété de ressources réseau contre une mauvaise utilisation.

• Configurer les utilisateurs d'accéder aux ressources de manière cohérente avec les stratégies d'entreprise et les exigences de leur travail.

• Permettre aux utilisateurs d’accéder aux ressources à partir de divers types de périphériques et de nombreux endroits.

• Mettre à jour des utilisateurs d'accéder aux ressources sur une base régulière comme modifient les stratégies d'une organisation ou modifier les tâches des utilisateurs.

• Compte un nombre croissant de scénarios d'utilisation (par exemple, l'accès à distance ou à partir de divers périphériques, tels que les téléphones mobiles et les tablet PC expansion rapide).

• Identifier et résoudre les problèmes d’accès rencontrés par des utilisateurs autorisés qui ne peuvent pas accéder aux ressources dont ils ont besoin pour travailler.

Autorisations

Les autorisations définissent le type d'accès accordé à un utilisateur ou un groupe pour un objet ou une propriété de l'objet. Par exemple, groupe Finance peut être accordé des autorisations Lire et écrire un fichier appelé paye.dat.

À l'aide de l'interface de contrôle d'accès utilisateur, vous pouvez définir des autorisations NTFS pour les objets tels que les fichiers, les objets Active Directory, les objets de Registre ou les objets système tels que des processus. Les autorisations peuvent être accordées à n'importe quel utilisateur, groupe ou d'ordinateur. Il est conseillé d'affecter des autorisations aux groupes car cela améliore les performances du système lors de la vérification de l'accès à un objet.

Pour tout objet, vous pouvez accorder des autorisations pour :

• Groupes, utilisateurs et autres objets avec des identificateurs de sécurité dans le domaine.

• Groupes et utilisateurs de ce domaine et tous les domaines approuvés.

• Groupes et utilisateurs locaux sur l'ordinateur où réside l'objet.

Les autorisations associées à un objet dépendent du type d'objet. Par exemple, les autorisations qui peuvent être attachées à un fichier sont différentes de celles qui peuvent être associés à une clé de Registre. Toutefois, certaines autorisations sont communes à la plupart des types d'objets. Il s'agit des autorisations :

• Lecture

• Modifier

• Modifier le propriétaire

• Supprimer

Lorsque vous définissez des autorisations, vous spécifiez le niveau d'accès des groupes et utilisateurs. Par exemple, vous pouvez autoriser un utilisateur de lire le contenu d'un fichier, un autre à modifier le fichier et empêcher tous les autres utilisateurs de l'accès au fichier. Vous pouvez définir des autorisations similaires sur les imprimantes afin que certains utilisateurs puissent configurer l'imprimante et d'autres utilisateurs peuvent uniquement afficher.

Lorsque vous avez besoin de modifier les autorisations sur un fichier, vous pouvez exécuter l'Explorateur Windows, cliquez sur le nom de fichier, puis cliquez surpropriétés. Sur lesécuritéonglet, vous pouvez modifier les autorisations sur le fichier. Pour plus d'informations, consultezGestion des autorisations.

Propriété des objets

Un propriétaire est affecté à un objet lorsque cet objet est créé. Par défaut, le propriétaire est le créateur de l'objet. Peu importe quelles autorisations sont définies sur un objet, le propriétaire de l'objet peut toujours modifier les autorisations. Pour plus d'informations, consultezpropriété des objets de gestion.

Héritage des autorisations

L'héritage permet aux administrateurs d'attribuer facilement et de gérer les autorisations. Cette fonctionnalité permet aux objets d'un conteneur d'hériter de toutes les autorisations héritables de ce conteneur. Par exemple, les fichiers dans un dossier héritent des autorisations du dossier. Seules les autorisations marquées pour être héritées seront héritées.

Droits d'utilisateur

Droits d'utilisateur accordent des privilèges et droits d'ouverture de session aux utilisateurs et groupes dans votre environnement informatique. Les administrateurs peuvent attribuer des droits spécifiques à des comptes de groupe ou aux comptes d'utilisateurs individuels. Ces droits autorisent les utilisateurs à effectuer des actions spécifiques, telles que la connexion à un système interactivement ou sauvegarder des fichiers et des répertoires.

Droits d'utilisateur sont différents des autorisations, car les droits d'utilisateur s'appliquent aux comptes d'utilisateurs et les autorisations sont associées à des objets. Bien que les droits d'utilisateur peuvent s'appliquer aux comptes d'utilisateurs individuels, il vaut mieux les administrer sur la base d'un compte de groupe. Il n'existe aucune prise en charge dans l'interface utilisateur contrôle d'accès pour accorder des droits d'utilisateur. Toutefois, l'attribution des droits utilisateur peut être administrée viaparamètres de sécurité locaux.

Pour plus d'informations sur les droits d'utilisateur, consultezattribution des droits utilisateur.

Audit des objets

Avec des droits d'administrateur, vous pouvez auditer l'accès réussie ou non des utilisateurs aux objets. Vous pouvez sélectionner les accès aux objets à auditer à l'aide de l'interface de contrôle d'accès utilisateur, mais tout d'abord, vous devez activer la stratégie d'audit en sélectionnantAuditer l'accès aux objetssousstratégies localesdansparamètres de sécurité locaux. Vous pouvez ensuite afficher ces événements liés à la sécurité dans le journal de sécurité dans l'Observateur d'événements.

Pour plus d'informations sur l'audit, consultezVue d’ensemble de l’audit de sécurité.

Voir aussi

• Pour plus d'informations sur l'autorisation et contrôle d'accès, consultezCollection de sécurité Windows.

• Pour plus d'informations sur la stratégie d'autorisation, consultezconception d'une stratégie d'autorisation de ressource.