Définition des contrôles d'accès sur les fichiers, dossiers, partages et autres objets du système dans Windows 2000
Sur cette page
.gif){kind=icon}
Définition des contrôles d'accès sur les fichiers, dossiers, partages et autres objets du système dans Windows 2000
But
Copie ou déplacement
Autorisations sur les fichiers
Autorisations sur les dossiers
Sélection de l'endroit où des autorisations doivent être appliquées
Définition ou modification des autorisations
Impact de l'héritage sur des autorisations sur des fichiers et des dossiers
Autorisations sur les dossiers partagés
Application des autorisations sur les dossiers partagés
Préconisations pour les autorisations sur les dossiers partagés
Partage de dossiers
Dossiers d'administration partagés
Partage d'un dossier
Attribution d'autorisations sur les dossiers partagés
Modification de dossiers partagés
Combinaison d'autorisations sur des dossiers partagés et d'autorisations NTFS
Déconnexion d'un ou de plusieurs utilisateurs d'un partage ou d'une session active
Autorisations sur des objets Active Directory
Définition des autorisations et des partages pour la sécurité des imprimantes
Délégation du contrôle de l'administration
Définition des contrôles d'accès sur les fichiers, dossiers, partages et autres objets du système dans Windows 2000
But
Définir et activer une stratégie DAC (définir une appartenance à un groupe, définir des attributs DAC par défaut, activer DAC sur des systèmes de fichiers)
Modifier les attributs de contrôle d'accès DAC (FMT_MSA.1(a))
Révoquer des attributs de sécurité associés à des objets (FMT_REV.1(b))
Le contrôle d'accès est le processus consistant à autoriser des utilisateurs et des groupes à accéder à des objets sur le réseau. Les principaux concepts qui sont à la base du contrôle d'accès sont décrits ci-dessous.
Principe du privilège minimal : Un élément important dans les autorisations est le principe du privilège minimal, qui établit que tous les utilisateurs doivent avoir le moins d'accès possible aux systèmes, ce minimum leur permettant d'effectuer les tâches liées à leur travail. Ainsi, si un utilisateur doit seulement pouvoir visualiser un fichier spécifique, cet utilisateur doit avoir un accès en lecture seule au fichier ; l'utilisateur ne doit pas pouvoir écrire dans ce fichier.
Propriété des objets : Windows 2000 attribue un propriétaire à un objet au moment de sa création. Par défaut, le propriétaire est le créateur de l'objet.
Autorisations attachées aux objets : Les principaux moyens mis en oeuvre dans le contrôle d'accès sont les autorisations, ou droits d'accès. Dans les systèmes Windows, des autorisations peuvent être définies pour les fichiers, les dossiers et d'autres objets du système. Les autorisations permettent ou interdisent aux utilisateurs et aux groupes des actions particulières. Les autorisations sont principalement mises en oeuvre au moyen de descripteurs de sécurité, qui définissent aussi les fonctions d'audit et de propriété. L'autorisation Lecture sur un fichier est un exemple d'autorisation attachée à un objet. Quand vous installez un système Windows pour la première fois, vérifiez que les autorisations sur les objets du système sont correctement définies. Dans certains cas, le système attribue par défaut des privilèges minimaux, mais il peut aussi procéder différemment.
Déterminer si les autorisations du système sont conformes au principe du privilège minimal et modifier celles qui n'y sont pas conformes porte le nom de durcissement du système d'exploitation. Cette opération doit faire partie du processus d'installation initiale du système (consultez le Microsoft Solution for Securing Windows 2000 Server
.gif)
pour l'autorisation à affecter à certains objets pour être conforme aux objectifs de sécurité Windows 2000).Héritage des autorisations : Windows 2000 offre une fonction permettant aux administrateurs d'attribuer et de gérer facilement les autorisations. Connue sous le nom d'héritage, cette fonction fait que les objets d'un conteneur héritent automatiquement des autorisations de ce conteneur. Par exemple, les fichiers d'un dossier héritent des autorisations du dossierquand ils sont créés.
Gestionnaires d'objets : S'il est nécessaire de changer les autorisations sur un objet spécifique, l'outil approprié doit être utilisé pour changer les propriétés de cet objet. Par exemple, pour changer les autorisations sur un fichier, démarrez l'Explorateur Windows, cliquez avec le bouton droit sur le nom du fichier et cliquez sur Propriétés. Cette boîte de dialogue peut être utilisée pour changer les autorisations sur le fichier.
Audit d'objet : Windows 2000 permet à l'administrateur d'auditer les accès des utilisateurs aux objets. Ces événements liés à la sécurité peuvent être visualisés dans le journal de sécurité avec l'Observateur d'événements.
Copie ou déplacement
Lors de l'utilisation des autorisations NTFS pour sécuriser les accès à des fichiers ou à des dossiers spécifiques, il est très important d'être très attentif à ce qui se passe si l'objet est déplacé ou copié à un autre emplacement du système.
Quand un objet est copié dans un autre répertoire, il hérite des privilèges d'accès qui sont ceux du dossier de destination.
Quand un objet fichier ou dossier est déplacé d'un répertoire vers un autre répertoire, les autorisations NTFS qui étaient appliquées au fichier le suivent dans son déplacement.
Autorisations sur les fichiers
Les autorisations sur les fichiers sont les suivantes : Contrôle total, Modification, Lecture et exécution, Lecture et écriture. Chacune de ces autorisations consiste en un groupe logique d'autorisations spéciales. Le tableau suivant présente l'autorisation NTFS sur les fichiers et spécifie les autorisations spéciales qui sont associées à cette autorisation.
Autorisations NTFS sur les fichiers
| Autorisations spéciales | Contrôle total | Modification | Lecture et exécution | Lecture | écriture |
| Parcourir le dossier/Exécuter le fichier | .gif) |
|
|
||
| Liste du dossier/Lecture de données | |
|
|
|
|
| Attributs de lecture | |
|
|
|
|
| Lire les attributs étendus | |
|
|
|
|
| Création de fichiers/écriture de données | |
|
|
||
| Création de dossiers/Ajout de données | |
|
|
||
| Attributs d'écriture | |
|
|
||
| écriture d'attributs étendus | |
|
|
||
| Suppression de sous-dossiers et de fichiers | |
||||
| Supprimer | |
|
|||
| Autorisations de lecture | |
|
|
|
|
| Modifier les autorisations | |
||||
| Appropriation | |
||||
| Synchroniser | |
|
|
|
|
Avertissement Les groupes et les utilisateurs qui disposent de l'autorisation Contrôle total sur un dossier peuvent supprimer tous les fichiers de ce dossier, indépendamment des autorisations protégeant ces fichiers.
Autorisations sur les dossiers
Les autorisations sur les dossiers sont les suivantes : Contrôle total, Modification, Lecture et exécution, Afficher le contenu du dossier, Lecture et écriture. Chacune de ces autorisations consiste en un groupe logique d'autorisations spéciales. Le tableau suivant présente l'autorisation NTFS sur les dossiers et spécifie les autorisations spéciales qui sont associées à cette autorisation.
Autorisations sur les dossiers
| Autorisations spéciales | Contrôle total | Modification | Lecture et exécution | Afficher le contenu du dossier | Lecture | écriture |
| Parcourir le dossier/Exécuter le fichier | |
|
|
|
||
| Liste du dossier/Lecture de données | |
|
|
|
|
|
| Attributs de lecture | |
|
|
|
|
|
| Lire les attributs étendus | |
|
|
|
|
|
| Création de fichiers/écriture de données | |
|
|
|||
| Création de dossiers/Ajout de données | |
|
|
|||
| Attributs d'écriture | |
|
|
|||
| écriture d'attributs étendus | |
|
|
|||
| Suppression de sous-dossiers et de fichiers | |
|||||
| Supprimer | |
|
||||
| Autorisations de lecture | |
|
|
|
|
|
| Modifier les autorisations | |
|||||
| Appropriation | |
|||||
| Synchroniser | |
|
|
|
|
|
Bien que Afficher le contenu du dossier et Lecture et exécution aient les mêmes autorisations spéciales, ces autorisations sont héritées différemment. Afficher le contenu du dossier est héritée par les dossiers mais pas par les fichiers, et elle doit apparaître seulement lors de la visualisation des autorisations des dossiers. Lecture et exécution est héritée à la fois par les fichiers et les dossiers et est toujours présente lors de la visualisation des autorisations des fichiers et des dossiers.
Sélection de l'endroit où des autorisations doivent être appliquées
La boîte de dialogue Entrée d'autorisation apparaît quand des autorisations sont définies sur des fichiers et des dossiers. Dans cette boîte de dialogue, Appliquer à présente la liste des endroits où les autorisations peuvent être appliquées. La façon dont ces autorisations sont appliquées dépend du fait que la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur est ou non activée. Par défaut, cette case à cocher est désactivée.
.gif)
Quand la case à cocher Appliquer ces autorisations... est désactivée, les autorisations sont appliquées comme suit :
| Appliquer à | Applique les autorisations au dossier en cours | Applique les autorisations aux sous-dossiers du dossier en cours | Applique les autorisations aux fichiers du dossier en cours | Applique les autorisations à tous les sous-dossiers suivants | Applique les autorisations aux fichiers de tous les sous-dossiers suivants |
| Ce dossier seulement | |
||||
| Ce dossier, les sous-dossiers et les fichiers | |
|
|
|
|
| Ce dossier et les sous-dossiers | |
|
|
||
| Ce dossier et les fichiers | |
|
|
||
| Les sous-dossiers et les fichiers seulement | |
|
|
|
|
| Les sous-dossiers seulement | |
|
|||
| Fichiers seulement | |
|
Quand la case à cocher Appliquer ces autorisations... est activée, les autorisations sont appliquées comme suit :
| Appliquer à | Applique les autorisations au dossier en cours | Applique les autorisations aux sous-dossiers du dossier en cours | Applique les autorisations aux fichiers du dossier en cours | Applique les autorisations à tous les sous-dossiers suivants | Applique les autorisations aux fichiers de tous les sous-dossiers suivants |
| Ce dossier seulement | |
||||
| Ce dossier, les sous-dossiers et les fichiers | |
|
|
||
| Ce dossier et les sous-dossiers | |
|
|||
| Ce dossier et les fichiers | |
|
|||
| Les sous-dossiers et les fichiers seulement | |
|
|||
| Les sous-dossiers seulement | |
||||
| Fichiers seulement | |
Définition ou modification des autorisations
Pour définir, visualiser, modifier ou supprimer des autorisations spéciales sur des fichiers et des dossiers :
Ouvrez l'Explorateur Windows ; cliquez sur Démarrer, pointez sur Programmes, pointez sur Accessoires, puis cliquez sur Explorateur Windows.
Recherchez le fichier ou le dossier pour lequel des autorisations spéciales doivent être définies.
Cliquez avec le bouton droit sur le fichier ou le dossier, cliquez sur Propriétés, puis sur l'onglet Sécurité.
Cliquez sur Avancée.
.gif)
Effectuez une des actions suivantes :
- Pour définir des autorisations spéciales pour un nouveau groupe ou un nouvel utilisateur, cliquez sur Ajouter. Dans la zone Nom, tapez le nom de l'utilisateur ou du groupe en utilisant le format nom_domaine\nom ou sélectionnez-le dans la liste. Pour accéder aux noms des comptes à partir du domaine, cliquez sur la zone de liste Regarder dans. Une liste qui s'affiche maintenant indique la machine en cours, le domaine local, les domaines approuvés et d'autres ressources accessibles. Sélectionnez le domaine local pour afficher les noms des comptes du domaine.
.gif)
Quand vous avez terminé, cliquez sur OK pour ouvrir automatiquement la boîte de dialogue Entrée d'autorisation.
.gif)
Pour visualiser ou modifier des autorisations spéciales pour un groupe ou un utilisateur existant, cliquez sur le nom du groupe ou de l'utilisateur puis cliquez sur Afficher/Modifier.
.gif)
Pour supprimer un groupe ou un utilisateur et ses autorisations spéciales, cliquez sur le nom du groupe ou de l'utilisateur, puis cliquez sur Supprimer. Si le bouton Supprimer n'est pas disponible, désactivez la case à cocher Permettre aux autorisations pouvant être héritées.... Le fichier ou le dossier n'hérite désormais plus des autorisations. Ignorez les étapes 4, 5 et 6.
Si nécessaire, dans la boîte de dialogue Entrée d'autorisation, cliquez là où les autorisations doivent être appliquées dans Appliquer à . Appliquer à est disponible seulement pour des dossiers.
Dans Autorisations, cliquez sur Autoriser ou sur Refuser pour chaque autorisation.
Pour éviter que les sous-dossiers et les fichiers de l'arborescence héritent de ces autorisations, cliquez pour activer la case à cocher Appliquer ces autorisations... .
Remarque Les autorisations peuvent être définies seulement sur des unités formatées pour utiliser NTFS. Pour modifier des autorisations, un utilisateur doit être le propriétaire ou avoir reçu l'autorisation de le faire par le propriétaire. Si les cases à cocher figurant sous Autorisations apparaissent en grisé, le fichier ou le dossier a hérité des autorisations du dossier parent.
Avertissement Les groupes et les utilisateurs qui disposent de l'autorisation Contrôle total sur un dossier peuvent supprimer des fichiers et des sous-dossiers de ce dossier, indépendamment des autorisations protégeant ces fichiers et sous-dossiers.
Impact de l'héritage sur des autorisations sur des fichiers et des dossiers
Quand des autorisations ont été définies sur un dossier parent, les nouveaux fichiers et sous-dossiers créés dans le dossier héritent de ces autorisations. Si les autorisations ainsi héritées ne sont pas souhaitées, sélectionnez Ce dossier seulement dans Appliquer à quand des autorisations spéciales sont définies pour le dossier parent.
Pour empêcher seulement certains fichiers ou sous-dossiers d'hériter des autorisations :
Cliquez avec le bouton droit sur le fichier ou sous-dossier, cliquez sur Propriétés, puis sur l'onglet Sécurité.
Si les cases à cocher des autorisations pour un compte apparaissent en grisé, le fichier ou dossier a hérité des autorisations du dossier parent. Il existe trois façons d'apporter des modifications aux autorisations héritées
Apportez les modifications au dossier parent et le fichier ou dossier vont alors hériter de ces autorisations.
Sélectionnez l'autorisation inverse (Autoriser ou Refuser) pour remplacer l'autorisation héritée.
Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet. Cette action va permettre des modifications aux autorisations ou la suppression de l'utilisateur ou du groupe de la liste des autorisations. Cependant, le fichier ou dossier n'hérite désormais plus des autorisations du dossier parent.
Désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet.
.gif)
Une fenêtre Sécurité, reproduite ci-dessous, va apparaître pour demander s'il faut copier ou supprimer les autorisations héritées. Cliquez sur le bouton Supprimer.
.gif)
Toutes les autorisations précédemment héritées sont supprimées du fichier ou du sous-dossier.
.gif)
Si ni Autoriser ni Refuser ne sont sélectionnées pour une autorisation, le groupe ou l'utilisateur peut avoir obtenu l'autorisation via l'appartenance à un groupe. Si le groupe ou l'utilisateur n'a pas obtenu l'autorisation via l'appartenance à un autre groupe, l'autorisation est implicitement refusée au groupe ou à l'utilisateur. Pour autoriser ou refuser explicitement l'autorisation, cliquez sur la case à cocher appropriée.
Autorisations sur les dossiers partagés
Les dossiers partagés sont utilisés pour donner aux utilisateurs du réseau l'accès aux fichiers et aux ressources des applications sur le réseau. Quand un dossier est partagé, les utilisateurs peuvent se connecter au dossier via le réseau et accéder aux fichiers qu'il contient. Cependant, pour pouvoir accéder aux fichiers, les utilisateurs doivent disposer des autorisations pour accéder aux dossiers partagés.
Un dossier partagé peut contenir des applications, des données ou les données personnelles d'un utilisateur, appelées dossier de base. Chaque type de données nécessite des autorisations différentes sur les dossiers partagés. Voici les caractéristiques des autorisations sur les dossiers partagés :
Les autorisations sur les dossiers partagés s'appliquent aux dossiers et non aux fichiers individuels. Comme les autorisations sur les dossiers partagés peuvent être appliquées seulement à la totalité du dossier partagé et pas aux fichiers ou aux sous-dossiers individuels, les autorisations sur les dossiers partagés offrent une sécurité d'un niveau moins détaillé que les autorisations NTFS.
Les autorisations sur les dossiers partagés ne limitent pas l'accès aux utilisateurs qui obtiennent l'accès au dossier via l'ordinateur où le dossier est stocké. Elles s'appliquent seulement aux utilisateurs qui se connectent au dossier via le réseau.
Les autorisations sur les dossiers partagés représentent le seul moyen de sécuriser les ressources réseau sur un volume FAT (File Allocation Table). Les autorisations NTFS ne sont pas disponibles sur les volumes FAT.
L'autorisation par défaut sur les dossiers partagés est Contrôle total et elle est attribuée au groupe «Tout le monde» lors du partage du dossier.
Un dossier partagé apparaît dans l'Explorateur Windows sous la forme d'une icône représentant une main qui tient le dossier partagé, comme indiqué ci-dessous.
.gif)
Pour contrôler la façon dont les utilisateurs ont accès à un dossier partagé, attribuez des autorisations sur les dossiers partagés. Le tableau suivant montre les autorisations sur les dossiers partagés et les actions qu'elles autorisent aux utilisateurs sur ces dossiers.
Autorisations sur les dossiers partagés
| Actions autorisées par les autorisations de partage | Contrôle total | Modification | Lecture |
| Affichage des noms des fichiers et des sous-dossiers | |
|
|
| Parcourir les sous-dossiers | |
|
|
| Affichage des données des fichiers et exécution des programmes | |
|
|
| Ajout de fichiers et de sous-dossiers au dossier partagé | |
|
|
| Modification de données dans les fichiers | |
|
|
| Suppression de sous-dossiers et de fichiers | |
|
|
| Modification d'autorisations (NTFS seulement) | |
||
| Appropriation (NTFS seulement) | |
Les autorisations sur les dossiers partagés peuvent être accordées ou refusées. En général, il est préférable d'accorder des autorisations et de les attribuer à un groupe plutôt qu'à un utilisateur individuel. Le refus d'autorisation doit être utilisé seulement quand il est nécessaire d'écraser des autorisations qui sans cela sont appliquées. Dans la plupart des cas, le refus d'autorisation doit être appliqué seulement quand il est nécessaire de refuser une autorisation à un utilisateur spécifique qui appartient à un groupe auquel l'autorisation a été accordée. Si un dossier partagé est configuré avec un refus d'autorisation pour un utilisateur, cet utilisateur ne dispose pas de l'autorisation. Par exemple, pour refuser tout accès à un dossier partagé, refusez l'autorisation Contrôle total.
Application des autorisations sur les dossiers partagés
L'application d'autorisations sur les dossiers partagés à des comptes d'utilisateurs et à des groupes a un impact sur l'accès au dossier partagé. Le refus d'autorisation a priorité sur les autorisations qui sont accordées. La liste suivante décrit les effets de l'application des autorisations.
Plusieurs autorisations sont combinées : Un utilisateur peut être membre de plusieurs groupes, chacun avec des autorisations différentes qui offrent différents niveaux d'accès à un dossier partagé. Quand une autorisation est attribuée à un utilisateur pour un dossier partagé, et que cet utilisateur est membre d'un groupe auquel une autorisation différente est accordée, les permissions effectives de l'utilisateur sont la combinaison des autorisations de l'utilisateur et du groupe. Par exemple, si un utilisateur a l'autorisation Lecture et est membre d'un groupe ayant l'autorisation Modification, l'autorisation effective de l'utilisateur est Modification, qui inclut l'autorisation Lecture.
Le refus d'autorisation annule les autres autorisations : Les autorisations refusées ont priorité sur toute autre autorisation accordée à des comptes d'utilisateur et à des groupes. Si une autorisation est refusée à un utilisateur sur un dossier partagé, l'utilisateur n'a pas cette autorisation, même si l'autorisation est accordée à un groupe dont cet utilisateur est membre.
Des autorisations NTFS sont requises sur des volumes NTFS : Les autorisations sur les dossiers partagés sont suffisantes pour obtenir l'accès aux fichiers et aux dossiers sur un volume FAT, mais pas sur un volume NTFS. Sur un volume FAT, les utilisateurs peuvent obtenir l'accès à un dossier partagé pour lequel ils disposent d'autorisations, ainsi qu'à tout le contenu du dossier. Quand des utilisateurs obtiennent l'accès à un dossier partagé sur un volume NTFS, ils ont besoin de l'autorisation sur le dossier partagé ainsi que des autorisations NTFS appropriées pour chaque fichier ou dossier auquel ils veulent accéder.
Les dossiers partagés copiés ou déplacés ne sont plus partagés : Quand un dossier partagé est copié, le dossier partagé original est toujours partagé, mais sa copie ne l'est pas. Quand un dossier partagé est déplacé, il n'est plus partagé.
Préconisations pour les autorisations sur les dossiers partagés
La liste suivante présente quelques préconisations générales pour la gestion des dossiers partagés et pour l'attribution d'autorisations sur les dossiers partagés :
Déterminez les groupes qui doivent accéder à chaque ressource et le niveau d'accès dont ils ont besoin. établissez un document reprenant les groupes et leurs autorisations pour chaque ressource.
Attribuez les autorisations aux groupes plutôt qu'aux comptes d'utilisateurs pour simplifier l'administration des accès.
Attribuez à une ressource donnée les autorisations les plus restrictives, permettant néanmoins aux utilisateurs d'effectuer les tâches requises. Par exemple, si les utilisateurs doivent seulement lire des informations dans un dossier et qu'ils ne vont jamais supprimer ni créer des fichiers, attribuez l'autorisation Lecture.
Organisez les ressources pour que les dossiers nécessitant le même niveau de sécurité se trouvent dans un même dossier parent. Par exemple, si les utilisateurs requièrent l'autorisation Lecture pour plusieurs dossiers d'application, stockez les dossiers d'application dans un même dossier parent. Partagez ensuite ce dossier, au lieu de partager individuellement chacun des dossiers d'application.
Utilisez des noms de partage significatifs, pour que les utilisateurs puissent reconnaître et trouver facilement les ressources. Par exemple, pour le dossier Application, utilisez Apps comme nom de partage. Utilisez également des noms de partage que tous les systèmes d'exploitation clients peuvent utiliser.
Microsoft Windows 2000 fournit des noms équivalents au format 8 + 3 caractères, mais les noms qui en résultent peuvent ne pas être significatifs pour les utilisateurs. Par exemple, un dossier Windows 2000 appelé Basededonnées Comptes va apparaître sous la forme Basede~1 sur des ordinateurs clients fonctionnant avec MS-DOS, Windows 3.x et Windows pour Workgroups.
Partage de dossiers
Partagez des ressources avec d'autres utilisateurs en partageant les dossiers contenant ces ressources. Pour partager un dossier, un utilisateur doit être membre d'un des nombreux groupes, en fonction du rôle de l'ordinateur où se trouve le dossier partagé. Quand un dossier est partagé, l'accès au dossier peut être contrôlé en fixant une limite au nombre d'utilisateurs qui peuvent y accéder simultanément ; l'accès au dossier et à son contenu peut également être contrôlé en attribuant des autorisations à des utilisateurs ou à des groupes sélectionnés. Les groupes qui peuvent partager des dossiers et les machines qui peuvent les partager dépendent du fait qu'il s'agit d'un groupe de travail ou d'un domaine ainsi que du type d'ordinateur où se trouvent les dossiers partagés :
Dans un domaine Windows 2000, les groupes Administrateurs et Opérateurs de serveur peuvent partager des dossiers qui se trouvent sur toute machine du domaine. Le groupe Utilisateurs avec pouvoir est un groupe local qui peut partager des dossiers seulement sur le serveur ou l'ordinateur autonome fonctionnant avec Windows 2000 Professionnel où se trouve le groupe.
Dans un groupe de travail Windows 2000, les groupes Administrateurs et Utilisateurs avec pouvoir peuvent partager des dossiers sur le serveur autonome Windows 2000 Server ou sur l'ordinateur fonctionnant avec Windows 2000 Professionnel où se trouve le groupe.
Si le dossier à partager se trouve sur un volume NTFS, les utilisateurs doivent aussi disposer de l'autorisation Lecture pour ce dossier pour pouvoir le partager.
Dossiers d'administration partagés
Windows 2000 partage automatiquement des dossiers à des fins d'administration. Un signe $ (dollar) est ajouté à ces partages, qui masque le dossier partagé aux utilisateurs qui parcourent l'ordinateur via le réseau. La racine de chaque volume, le dossier racine du système et l'emplacement des pilotes d'imprimante sont tous des dossiers partagés cachés. Le tableau suivant décrit la fonction des dossiers d'administration partagés que Windows 2000 fournit automatiquement. Ces partages peuvent être désactivés, mais seulement pour la session en cours. Quand Windows 2000 est redémarré, les partages sont réactivés. Les autorisations sur ces partages ne peuvent pas être modifiées.
| Partage | Fonction |
| C$, D$, E$, etc. | La racine de chaque volume d'un disque dur est automatiquement partagée, et le nom du partage est la lettre de l'unité à laquelle le signe $ (dollar) a été ajouté. La connexion à ce dossier permet d'accéder à la totalité du volume. Utilisez les partages d'administration pour vous connecter à distance à l'ordinateur, pour effectuer des tâches d'administration. Windows 2000 attribue l'autorisation Contrôle total au groupe Administrateurs.
Windows 2000 partage aussi automatiquement les lecteurs de CD-ROM et crée le nom de partage en ajoutant le signe $ (dollar) à la lettre du lecteur de CD-ROM. |
| ADMIN$ | Le dossier racine du système, qui est par défaut C:\Winnt, est partagé comme Admin$. Les administrateurs peuvent accéder à ce dossier partagé pour administrer Windows 2000 sans savoir dans quel dossier il est installé. Seuls les membres du groupe Administrateurs ont accès à ce partage. Windows 2000 attribue l'autorisation Contrôle total au groupe Administrateurs. |
| IPC$ | Partage de communication interprocessus. |
| Print$ | Quand la première imprimante partagée est installée, le dossier racine_système\ System32\Spool\Drivers est partagé comme Print$. Ce dossier permet aux clients d'accéder aux fichiers des pilotes d'imprimante. Seuls les membres des groupes Administrateurs, Opérateurs de serveur et Opérateurs d'impression disposent de l'autorisation Contrôle total. Le groupe Tout le monde a l'autorisation Lecture. |
Les dossiers partagés cachés ne sont pas limités à ceux que le système crée automatiquement. D'autres dossiers peuvent être partagés et un signe $ (dollar) peut être ajouté à la fin du nom du partage. Seuls les utilisateurs qui connaissent le nom du dossier peuvent alors y accéder, s'ils possèdent également les autorisations nécessaires.
Partage d'un dossier
Quand un dossier est partagé, il peut recevoir un nom de partage, des commentaires peuvent être indiqués pour décrire le dossier et son contenu, des limites peuvent être définies quant au nombre d'utilisateurs ayant accès au dossier, des autorisations peuvent être affectées et le dossier peut être partagé plusieurs fois. Un dossier peut être partagé comme suit :
Ouvrez une session avec un compte d'utilisateur qui est membre d'un groupe qui peut partager des dossiers.
Cliquez avec le bouton droit sur le dossier à partager, puis cliquez sur Partage.... La fenêtre des propriétés du dossier s'affiche, montrant les options de l'onglet Partage.
.gif)
Dans l'onglet Partage de la boîte de dialogue Propriétés, configurez les options présentées dans le tableau ci-dessous pour rendre le dossier disponible sous forme de partage.
| Option | Description |
| Nom du partage | Le nom que les utilisateurs d'emplacements distants utilisent pour se connecter au dossier partagé. Un nom de partage doit être entré. |
| Commentaire | Une description facultative pour le nom du partage. Ces commentaires apparaissent en plus du nom du partage quand les utilisateurs des ordinateurs clients parcourent le serveur à la recherche des dossiers partagés. Ces commentaires peuvent être utilisés pour identifier le contenu du dossier partagé. |
| Nombre limite d'utilisateurs | Le nombre d'utilisateurs qui peuvent se connecter simultanément au dossier partagé. Si Maximum autorisé est sélectionnée comme limite du nombre d'utilisateurs, Windows 2000 Professionnel prend en charge jusqu'à 10 connexions. Windows 2000 Server peut prendre en charge un nombre illimité de connexions, mais le nombre de licences d'accès client achetées limite les connexions. |
| Autorisations | Les autorisations sur les dossiers partagés qui s'appliquent seulement quand l'accès au dossier se fait via le réseau. Par défaut, le groupe Tout le monde dispose de l'autorisation Contrôle total pour tous les nouveaux dossiers partagés. |
| Mise en cache | Les paramètres pour configurer l'accès hors connexion à ce dossier partagé. |
Attribution d'autorisations sur les dossiers partagés
Après le partage d'un dossier, l'étape suivante consiste à spécifier quels utilisateurs ont accès au dossier partagé en attribuant des autorisations sur le dossier partagé aux comptes d'utilisateurs et aux groupes sélectionnés. Pour attribuer des autorisations sur un dossier partagé à des comptes d'utilisateurs et à des groupes, procédez comme suit :
Dans l'onglet Partage de la boîte de dialogue Propriétés du dossier partagé, cliquez sur Autorisations.
Dans la boîte de dialogue Autorisations, vérifiez que le groupe Tout le monde est sélectionné, puis cliquez sur Supprimer.
.gif)
Dans la boîte de dialogue Autorisations, cliquez sur Ajouter.
.gif)
Dans la boîte de dialogue Sélectionnez Utilisateurs ou Groupes, cliquez sur les comptes d'utilisateurs et les groupes auxquels des autorisations doivent être attribuées.
Cliquez sur Ajouter pour ajouter le compte d'utilisateur ou le groupe au dossier partagé. Répétez cette étape pour tous les comptes d'utilisateurs et les groupes auxquels des autorisations doivent être attribuées.
Cliquez sur OK.
.gif)
Dans la boîte de dialogue Autorisations pour Applications pour le dossier partagé, cliquez sur le compte d'utilisateur ou le groupe, puis, en dessous de Autorisations, activez la case à cocher Autoriser ou Refuser, selon les autorisations que vous voulez attribuer au compte d'utilisateur ou au groupe.
.gif)
.gif)
Modification de dossiers partagés
Les utilisateurs autorisés peuvent modifier des dossiers partagés, cesser le partage d'un dossier, modifier le nom du partage et changer les autorisations sur les dossiers partagés.
Les utilisateurs autorisés peuvent modifier un dossier partagé comme suit :
Cliquez sur l'onglet Partage dans la boîte de dialogue Propriétés du dossier partagé.
.gif)
Pour effectuer la tâche appropriée, suivez les étapes présentées dans le tableau suivant.
| Pour | Procédez comme suit |
| Cesser le partage d'un dossier | Cliquez sur Ne pas partager ce dossier. |
| Modifier le nom du partage | Cliquez sur Ne pas partager ce dossier pour cesser le partage du dossier ; cliquez sur Appliquer pour appliquer la modification ; cliquez sur Partager ce dossier, puis entrez le nom du nouveau partage dans la zone Nom du partage. |
| Modifier des autorisations sur les dossiers partagés | Cliquez sur Autorisations. Dans la boîte de dialogue Autorisations, cliquez sur Ajouter ou sur Supprimer. Dans la boîte de dialogue Nom, cliquez sur le compte d'utilisateur ou le groupe dont les autorisations doivent être modifiées. Modifiez les autorisations dans la boîte de dialogue Autorisations : Autoriser ou Refuser. |
| Partager plusieurs fois un dossier | Cliquez sur Nouveau partage pour partager un dossier avec un nom de dossier partagé supplémentaire. Vous pouvez faire cela pour consolider plusieurs dossiers partagés en un seul dossier, tout en permettant aux utilisateurs de continuer à utiliser le même nom de dossier partagé qui était utilisé avant la consolidation des dossiers. |
| Supprimer un nom de partage | Cliquez sur Supprimer le partage. Cette option apparaît seulement après que le dossier ait été partagé plus d'une fois. |
Remarque Si le partage est désactivé sur un dossier alors qu'un utilisateur y a un fichier ouvert, l'utilisateur peut perdre des données. Si Ne pas partager ce dossier est activé alors qu'un utilisateur a une connexion au dossier partagé, Windows 2000 affiche un avertissement pour indiquer qu'un utilisateur y est connecté.
Combinaison d'autorisations sur des dossiers partagés et d'autorisations NTFS
Les dossiers peuvent être partagés pour offrir un accès aux ressources aux utilisateurs du réseau. Dans le cas de l'utilisation d'un volume FAT, les autorisations sur les dossiers partagés sont la seule ressource disponible pour assurer la sécurité des dossiers qui sont partagés et des dossiers et des fichiers qu'ils contiennent. Dans le cas de l'utilisation d'un volume NTFS, les autorisations NTFS peuvent être attribuées à des utilisateurs individuels et à des groupes pour mieux contrôler l'accès aux fichiers et aux sous-dossiers des dossiers partagés. En cas de combinaison d'autorisations sur des dossiers partagés et d'autorisations NTFS, c'est toujours l'autorisation la plus restrictive qui l'emporte.
Une stratégie pour fournir l'accès à des ressources sur un volume NTFS consiste à partager des dossiers avec les autorisations par défaut sur les dossiers partagés, puis de contrôler l'accès en attribuant des autorisations NTFS. Quand un dossier est partagé sur un volume NTFS, les autorisations sur le dossier partagé et les autorisations NTFS se combinent pour sécuriser les ressources fichier.
Les autorisations des dossiers partagés n'offrent qu'une sécurité limitée aux ressources. La plus grande souplesse peut être obtenue en utilisant des autorisations NTFS pour contrôler les accès aux dossiers partagés. De même, les autorisations NTFS s'appliquent toujours, que l'accès à la ressource se fasse localement ou via le réseau.
Les règles suivantes s'appliquent à l'utilisation des autorisations sur des dossiers partagés sur un volume NTFS :
Les autorisations NTFS peuvent être appliquées aux fichiers et aux sous-dossiers du dossier partagé. Des autorisations NTFS différentes peuvent être appliquées à chaque fichier et sous-dossier contenus dans un dossier partagé.
En plus des autorisations sur les dossiers partagés, les utilisateurs doivent disposer d'autorisations NTFS pour les fichiers et sous-dossiers contenus dans les dossiers partagés pour pouvoir accéder à ces fichiers et sous-dossiers. Ceci diffère des volumes FAT, où les autorisations pour un dossier partagé sont les seules autorisations protégeant les fichiers et sous-dossiers du dossier partagé.
En cas de combinaison d'autorisations sur des dossiers partagés et d'autorisations NTFS, c'est toujours l'autorisation la plus restrictive qui l'emporte.
Dans la figure ci-dessous, le groupe Tout le monde a l'autorisation Contrôle total sur le dossier Public et l'autorisation NTFS Lecture pour le fichier A. L'autorisation effective du groupe Tout le monde pour le fichier A est Lecture, parce que Lecture est l'autorisation la plus restrictive. L'autorisation effective pour le fichier B est Contrôle total, parce que tant l'autorisation du dossier partagé que l'autorisation NTFS autorisent ce niveau d'accès.
.gif)
Déconnexion d'un ou de plusieurs utilisateurs d'un partage ou d'une session active
Les utilisateurs autorisés peuvent gérer les partages et déconnecter des sessions actives de l'objet Dossiers partagés avec l'interface graphique Gestion de l'ordinateur. Pour Windows 2000 Professionnel, seuls les membres du groupes Administrateurs ou Utilisateurs avec pouvoir peuvent utiliser des dossiers partagés. Pour Windows 2000 Server, les membres du groupe Opérateur de serveur peuvent aussi utiliser des dossiers partagés. Notez que la déconnexion d'utilisateurs utilisant des ressources peut aboutir à la perte de données. Il est recommandé d'avertir les utilisateurs connectés avant de les déconnecter.
Pour déconnecter un ou plusieurs utilisateurs, procédez comme suit :
- Cliquez sur Démarrer, sélectionnez Programmes, sélectionnez Outils d'administration, cliquez sur Gestion de l'ordinateur, puis double-cliquez sur Dossiers partagés.
.gif)
Dans l'arborescence de la console, cliquez sur Sessions.
Pour déconnecter un utilisateur, cliquez avec le bouton droit sur le nom d'utilisateur, puis cliquez sur Fermer la session.
.gif)
- Pour déconnecter tous les utilisateurs, cliquez avec le bouton droit sur Sessions, puis cliquez sur Déconnecter toutes les sessions.
.gif)
Autorisations sur des objets Active Directory
Il y a deux éléments à considérer pour le contrôle de l'accès aux objets Active Directory : les autorisations qu'un utilisateur est autorisés à attacher à l'objet et les façons dont ces autorisations peuvent être attachées pour déléguer des responsabilités d'administration pour des objets Active Directory.
Les autorisations suivantes peuvent être attachées aux objets Active Directory :
Créer un enfant (peut être spécifique au type d'objet ou général pour tout objet sous le conteneur)
Supprimer un enfant (peut être spécifique au type d'objet ou général pour tout objet sous le conteneur)
Propriété de lecture (peut être spécifique à une propriété individuelle de l'objet ou général pour tous les attributs de l'objet)
Propriété d'écriture (peut être spécifique à une propriété individuelle de l'objet ou général pour tous les attributs de l'objet)
Lister le contenu
écriture personnelle
Supprimer l'arborescence
Afficher la liste pour l'objet
Contrôler l'accès (peut être spécifique à une opération de contrôle individuelle ou général pour toutes les opérations de contrôle sur l'objet)
Les autorisations peuvent être définies sur un objet de l'annuaire à l'aide de la procédure suivante :
Ouvrez une session avec un compte d'administrateur.
Ouvrez l'outil Utilisateurs et ordinateurs Active Directory.
Dans le menu Affichage, sélectionnez Fonctionnalités avancées.
.gif)
Trouvez le conteneur pour l'objet, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité et sur Avancée.
Dans la fenêtre Autorisations, cliquez sur le bouton Ajouter.
Sélectionnez un nom de principe de sécurité et cliquez sur OK.
.gif)
Une boîte de dialogue s'affiche avec deux onglets : Objet et Propriétés.
L'onglet Objet permet à un administrateur habilité de spécifier des autorisations d'accès à l'objet.
L'onglet Propriétés permet à un administrateur habilité de spécifier des autorisations d'accès aux propriétés de l'objet.
Utilisez la liste déroulante pour faire les sélections.
Cliquez sur chacun des onglets à modifier et activez les cases à cocher pour les autorisations à définir.
Activez la case à cocher Appliquer… puis cliquez sur OK.
.gif)
- Dans la fenêtre Paramètres du contrôle d'accès, indiquez si pour cet objet les choix sont hérités du conteneur parent. Si oui, activez la case à cocher Permettre la propagation d'entrées d'audit provenant de l'objet parent à cet objet.
.gif)
Cliquez sur Appliquer puis sur OK.
Dans la fenêtre Propriétés, décidez si les autorisations doivent être héritées du conteneur parent pour propager cet objet. Si oui, activez cette case à cocher.
.gif)
- Cliquez sur Appliquer puis sur OK.
Définition des autorisations et des partages pour la sécurité des imprimantes
Quand une imprimante est installée sur un réseau, les autorisations par défaut qui sont attribuées permettent à tous les utilisateurs d'imprimer et permettent de sélectionner des groupes pour gérer l'imprimante, les documents à lui envoyer ou les deux. Comme l'imprimante est disponible pour tous les utilisateurs du réseau, il peut être nécessaire de limiter l'accès de certains utilisateurs en attribuant des autorisations spécifiques sur l'imprimante. Par exemple, tous les utilisateurs non concernés par l'administration dans un service peuvent recevoir l'autorisation Impression et tous les gestionnaires peuvent recevoir les autorisations Impression et Gestion des documents. De cette façon, tous les utilisateurs et les gestionnaires peuvent imprimer des documents, mais les gestionnaires peuvent aussi changer le statut de tous les documents envoyés à l'imprimante.
Windows 2000 offre trois niveaux d'autorisations de sécurité d'impression : Impression, Gestion d'imprimantes et Gestion des documents. Quand plusieurs autorisations sont attribuées à un groupe d'utilisateurs, ce sont les autorisations les moins restrictives qui s'appliquent. Cependant, quand Refuser est appliquée, elle prend la priorité sur toutes les autres autorisations. Le tableau ci-dessous donne une explication résumée des types de tâches qu'un utilisateur peut réaliser à chaque niveau d'autorisation.
| Autorisation | Description |
| Impression | L'utilisateur peut se connecter à une imprimante et lui envoyer des documents. Par défaut, l'autorisation Impression est attribuée à tous les membres du groupe Tout le monde. |
| Gestion d'imprimantes | L'utilisateur peut réaliser les tâches associées à l'autorisation Impression et dispose d'un contrôle total de l'administration de l'imprimante. L'utilisateur peut suspendre et redémarrer l'imprimante, changer les paramètres du spouleur, partager une imprimante, définir les autorisations sur l'imprimante et changer les propriétés de l'imprimante. Par défaut, l'autorisation Gestion d'imprimantes est attribuée aux membres des groupes Administrateurs et Utilisateurs avec pouvoir.
Par défaut, les membres des groupes Administrateurs et Utilisateurs avec pouvoir ont un accès total, ce qui signifie que les utilisateurs reçoivent les autorisations Impression, Gestion des documents et Gestion d'imprimantes. |
| Gestion des documents | L'utilisateur peut suspendre, reprendre, redémarrer et annuler les documents soumis par tous les autres utilisateurs. L'utilisateur ne peut cependant pas envoyer des documents à l'imprimante ni contrôler l'état de l'imprimante. Par défaut, l'autorisation Gestion des documents est attribuée aux membres du groupe Propriétaire créateur.
Quand un utilisateur reçoit l'autorisation Gestion des documents, il ne peut pas accéder aux documents existants qui sont en attente d'impression. L'autorisation va seulement s'appliquer aux documents envoyés à l'imprimante après que l'autorisation ait été attribuée à l'utilisateur. |
| Refuser | La totalité ou une des autorisations précédentes sont refusées pour l'imprimante. Quand l'accès est refusé, l'utilisateur ne peut pas utiliser ni gérer l'imprimante, manipuler les documents envoyés à l'imprimante ni changer aucune des autorisations. |
Utilisez les procédures suivantes pour définir ou supprimer des autorisations pour une imprimante :
Cliquez sur Démarrer, pointez vers Paramètres, puis cliquez sur Imprimantes.
Cliquez avec le bouton droit sur l'objet imprimante pour lequel des autorisations doivent être définies, puis cliquez sur Propriétés.
.gif)
La boîte de dialogue Propriétés s'affiche.
.gif)
Cliquez sur l'onglet Sécurité et effectuez une des actions suivantes :
Pour modifier ou supprimer des autorisations pour un utilisateur ou un groupe existant, sélectionnez le nom de l'utilisateur ou du groupe.
.gif)
Pour définir des autorisations pour un nouvel utilisateur ou un nouveau groupe, cliquez sur Ajouter. Dans la zone Nom, tapez le nom de l'utilisateur ou du groupe pour lequel vous voulez définir des autorisations, cliquez sur Ajouter, puis sur OK pour fermer la boîte de dialogue.
.gif)
Dans Autorisations, cliquez sur Autoriser ou sur Refuser pour chaque autorisation qui doit être accordée ou refusée à un utilisateur ou un groupe sélectionné. Pour supprimer un utilisateur ou un groupe de la liste des autorisations, vous pouvez sélectionner l'utilisateur ou le groupe et cliquer sur Supprimer.
Après avoir fait toutes les attributions d'autorisations nécessaires, cliquez sur le bouton Appliquer puis sur OK dans la fenêtre Propriétés de l'imprimante.
Remarque Pour changer les paramètres du périphérique, un utilisateur doit disposer de l'autorisation Gestion d'imprimantes. Pour afficher ou modifier les autorisations sous-jacentes aux autorisations Impression, Gestion d'imprimantes et Gestion des documents, cliquez sur le bouton Avancé.
Les imprimantes ne sont pas partagées par défaut quand elles sont installées sur Windows 2000 Professionnel. Sur Windows 2000 Server, l'imprimante est partagée par défaut quand elle est ajoutée. Utilisez les procédures suivantes pour partager une imprimante (une imprimante doit être partagée pour que les définitions d'autorisations aient un effet sur les utilisateurs et groupes qui figurent dans la liste) :
Cliquez sur Démarrer, pointez vers Paramètres, puis cliquez sur Imprimantes.
Cliquez avec le bouton droit sur le dossier à partager et cliquez sur l'onglet Partage.
Dans l'onglet Partage, cliquez sur Partagée en tant que, puis tapez un nom pour l'imprimante partagée.
.gif)
Si l'imprimante doit être partagée avec des utilisateurs utilisant des matériels ou des systèmes d'exploitation différents, cliquez sur Pilotes supplémentaires. Cliquez sur l'environnement et le système d'exploitation correspondant aux autres ordinateurs, puis cliquez sur OK pour installer les pilotes supplémentaires.
Si une session est ouverte sur un domaine Windows 2000, l'imprimante peut être rendue disponible pour les autres utilisateurs du domaine en activant Lister dans l'annuaire pour publier l'imprimante dans l'Annuaire.
Cliquez sur OK.
Délégation du contrôle de l'administration
Un administrateur autorisé peut définir une délégation de responsabilité pour créer de nouveaux utilisateurs ou groupes au niveau de l'unité d'organisation, ou conteneur, où les comptes sont créés. Les administrateurs de groupes pour une unité d'organisation n'ont pas nécessairement la possibilité de créer et de gérer des comptes pour d'autres unités d'organisation au sein d'un domaine. Cependant, les paramètres de stratégie qui valent à l'échelle du domaine et les autorisations qui sont définies à des niveaux supérieurs dans l'arborescence des répertoires peuvent s'appliquer à travers l'arborescence à l'aide de l'héritage d'autorisations.
Il y a trois façons de définir la délégation de responsabilités d'administration :
Déléguer des autorisations pour modifier les propriétés d'un conteneur particulier.
Déléguer des autorisations pour créer et supprimer des objets d'un type spécifique sous une unité d'organisation, comme des utilisateurs, des groupes ou des imprimantes.
Déléguer des autorisations pour mettre à jour des propriétés spécifiques sur des objets d'un type spécifique sous une unité d'organisation. Par exemple, le droit de définir un mot de passe sur un objet Utilisateur peut être délégué.
Un administrateur autorisé peut déléguer l'administration de ressources particulières à une personne ou un groupe spécifique, éliminant la nécessité d'avoir plusieurs administrateurs ayant autorité sur la totalité d'un domaine ou d'un site. Avec une délégation adéquate, l'utilisateur ou le groupe qui a reçu les autorisations appropriées peut à son tour déléguer l'administration d'une partie de leurs comptes et de leurs ressources.
L'administrateur peut configurer de différentes façons l'étendue de la responsabilité d'administration qui est déléguée. Si les administrateurs habilités peuvent en général accorder des autorisations au niveau d'une unité d'organisation en appliquant l'héritage, ils peuvent aussi déléguer l'administration pour un domaine entier au sein d'une forêt.
Un administrateur habilité peut déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide de l'Assistant Délégation de contrôle disponible dans Utilisateurs et ordinateurs Active Directory :
Ouvrez une session avec un compte d'administrateur.
Ouvrez l'outil Utilisateurs et ordinateurs Active Directory.
Trouvez le conteneur pour l'objet, cliquez avec le bouton droit sur celui-ci, puis cliquez sur Délégation de contrôle....
.gif)
L'Assistant Délégation de contrôle s'affiche ; cliquez sur Suivant.
.gif)
Une fenêtre de l'Assistant s'affiche pour la sélection des Utilisateurs ou groupes ; cliquez sur le bouton Ajouter.
.gif)
Sélectionnez un compte d'utilisateur ou de groupe, cliquez sur Ajouter et sur OK.
.gif)
La fenêtre suivante offre deux options pour définir l'étendue de la délégation. La première option, De ce dossier et des objets qui s'y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier, permet la délégation du contrôle total. La seconde option, Seulement les objets suivants dans le dossier, ouvre une fenêtre de sélection qui permet aux administrateurs de spécifier le niveau de contrôle qu'ils veulent déléguer.
.gif)
Faites une sélection et cliquez sur Suivant. La fenêtre suivante permet la spécification des autorisations à déléguer. Sélectionnez les autorisations à déléguer et cliquez sur Suivant.
.gif)
Une fenêtre récapitulative s'affiche pour indiquer les sélections. Cliquez sur le bouton Terminer.
.gif)
Dernière mise à jour le mercredi 12 mars 2003
Pour en savoir plus