Module 4 : Administration des accŁs aux ressources...autorisations sur les dossiers partagØs, des...

Table des matières

Vue d'ensemble 1

Leçon : Vue d'ensemble de l'administration des accès aux ressources 2

Leçon : Administration des accès aux dossiers partagés 7

Leçon : Administration des accès aux fichiers et aux dossiers en utilisant des autorisations NTFS 23

Leçon : Identification des autorisations effectives 39

Leçon : Administration des accès aux dossiers partagés en utilisant la mise en cache hors connexion 52

Atelier A : Administration des accès aux ressources 62

Module 4 : Administration des accès aux ressources

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN, PowerPoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Module 4 : Administration des accès aux ressources iii

Notes du formateur Ce module présente l'administration des accès aux ressources. Dans ce module, vous allez acquérir les connaissances et les compétences nécessaires pour expliquer comment les autorisations permettent d'accéder aux ressources, d'administrer les accès aux fichiers et aux dossiers à l'aide d'autorisations de dossier partagé, des autorisations NTFS ou d'autorisations spéciales et d'administrer les autorisations.

À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :

! administrer les accès aux ressources ; ! administrer les accès aux dossiers partagés ; ! administrer les accès aux fichiers et aux dossiers en utilisant des

autorisations NTFS ; ! identifier les autorisations effectives ; ! administrer les accès aux dossiers partagés en utilisant la mise en cache hors

connexion.

Pour animer ce module, vous devez disposer des éléments suivants :

! fichier Microsoft® PowerPoint® 2144A_04.ppt ; ! présentation multimédia Contrôle d'accès dans Microsoft Windows

Server 2003 ; ! multimédia États des autorisations ; ! CD-ROM du formateur.

Il est recommandé d'utiliser Microsoft PowerPoint 2002 ou une version plus récente pour afficher les diapositives du cours. Si vous utilisez la visionneuse Microsoft PowerPoint ou une version plus ancienne de PowerPoint, il se peut que certains détails des diapositives ne s'affichent pas.

Pour préparer ce module, vous devez effectuer les tâches suivantes :

! lire tout le matériel requis du module ;

! réaliser les applications pratiques et l'atelier ;

! passer en revue la présentation Contrôle d'accès dans Microsoft Windows Server 2003 ;

! passer en revue la présentation États des autorisations.

Présentation : 165 minutes Atelier : 30 minutes

Matériel requis

Important

Préparation

iv Module 4 : Administration des accès aux ressources

Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module.

Pages de procédures, applications pratiques et ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier.

Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon.

Une fois que vous avez couvert le contenu de la section et montré les procédures de la leçon, expliquez aux stagiaires qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon.

À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module.

À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs et ordinateurs Active Directory®, double-cliquez sur le nud du domaine.).

Chaque exercice d'atelier dispose d'indices de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions détaillées pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module.

Leçon : Vue d'ensemble de l'administration des accès aux ressources

Cette section décrit les méthodes pédagogiques à mettre en uvre pour cette leçon.

Cette présentation explique comment le service d'annuaire Active Directory utilise les entités de sécurité et les identificateurs de sécurité pour administrer les accès aux objets.

Point important à étudier : si vous supprimez une entité de sécurité et que vous la recréez avec le même nom, quels sont les effets sur les autorisations de cette entité de sécurité ?

Dans cette rubrique, les stagiaires vont apprendre les caractéristiques des autorisations standard et spéciales. Il est important que les stagiaires comprennent bien que les autorisations spéciales correspondent à un ensemble d'autorisations standard.

Pages de procédures

Applications pratiques

Ateliers

Présentation multimédia : Contrôle d'accès dans Microsoft Windows Server 2003

Description des autorisations standard et spéciales

Module 4 : Administration des accès aux ressources v

Cette présentation porte sur les états des autorisations. Demandez aux stagiaires d'étudier les définitions du premier écran de la présentation. Cet écran leur fournit les informations dont ils ont besoin pour répondre aux questions des écrans suivants. La présentation contient des informations que les stagiaires doivent apprendre et des exercices leur permettant d'appliquer les concepts de cette leçon.

Leçon : Administration des accès aux dossiers partagés Cette section décrit les méthodes pédagogiques à mettre en uvre pour cette leçon.

Cette rubrique porte sur les dossiers partagés. Il est important de souligner l'importance de la hiérarchie des autorisations lors de la copie et du déplacement des dossiers.

Expliquez les caractéristiques des dossiers d'administration partagés. Expliquez le rôle des dossiers partagés et quand les stagiaires les utiliseront.

Cette rubrique indique qui est autorisé à accéder aux dossiers partagés. Étudiez les informations du tableau situé au bas de la page.

Expliquez les caractéristiques des dossiers partagés publiés. Soulignez les différences entre les dossiers d'administration partagés et les dossiers partagés publiés.

Expliquez les autorisations associées aux dossiers partagés.

Leçon : Administration des accès aux fichiers et aux dossiers en utilisant des autorisations NTFS


Expliquez les avantages des autorisations NTFS et leur utilisation pour accéder aux fichiers et dossiers.

Comparez les autorisations des fichiers et des dossiers.

Leçon : Identification des autorisations effectives Cette section décrit les méthodes pédagogiques à mettre en uvre pour cette leçon.

Dans cette discussion, présentez le scénario et discutez des solutions possibles.

Présentation multimédia : États des autorisations

Description des dossiers partagés

Description des dossiers d'administration partagés

Qui peut accéder aux dossiers partagés ?

Description des dossiers partagés publiés

Autorisations sur les dossiers partagés

Description de NTFS

Autorisations sur les fichiers et les dossiers NTFS

Discussion de cours : Application des autorisations NTFS

vi Module 4 : Administration des accès aux ressources

Leçon : Administration des accès aux dossiers partagés en utilisant la mise en cache hors connexion


Étudiez les options de cache hors connexion. Indiquez les avantages et les inconvénients des options manuelles et automatiques.

Atelier A : Administration des accès aux ressources Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier.

Rappelez aux étudiants qu'ils peuvent consulter les pages de procédures afin d'obtenir de l'aide. Les indices de réponse correspondant à chaque atelier sont fournis sur le CD-ROM du stagiaire.

Options de mise en cache hors connexion des fichiers

Module 4 : Administration des accès aux ressources 1

Vue d'ensemble

*********************DOCUMENT A LUSAGE EXCLUSIF DE LINSTRUCTEUR********************

Ce module présente l'administration des accès aux ressources. Dans ce module, vous allez acquérir les connaissances et les compétences dont vous avez besoin pour expliquer l'administration des accès aux fichiers et aux dossiers à l'aide des autorisations sur les dossiers partagés, des autorisations NTFS ou des autorisations effectives, et pour expliquer l'administration des fichiers partagés à l'aide de la mise en cache hors connexion.

À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :

! administrer les accès aux ressources ; ! administrer les accès aux dossiers partagés ; ! administrer les accès aux fichiers et aux dossiers à l'aide des autorisations

NTFS ; ! identifier les autorisations effectives ; ! administrer les accès aux dossiers partagés à 'aide de la mise en cache hors

connexion.

Introduction

Objectifs

2 Module 4 : Administration des accès aux ressources

Leçon : Vue d'ensemble de l'administration des accès aux ressources


Cette leçon fournit les connaissances nécessaires à l'administration des accès aux ressources.

À la fin de cette leçon, les stagiaires seront à même d'effectuer les tâches suivantes :

! décrire les composants du contrôle d'accès dans Microsoft® Windows Server 2003 ;

! définir des autorisations ; ! expliquer les différences entre les autorisations standard et les autorisations

spéciales ; ! expliquer les caractéristiques des états implicites et explicites des

autorisations.

Introduction

Objectifs de la leçon


Présentation multimédia : Contrôle d'accès dans Microsoft Windows Server 2003


Pour visualiser la présentation Contrôle d'accès dans Microsoft Windows Server 2003, ouvrez la page Web du CD-ROM du stagiaire, puis cliquez sur Multimédia et sur le titre de la présentation.

Les points clés de la présentation sont résumés ci-dessous :

! Entités de sécurité Une entité de sécurité est un compte qui peut être authentifié.

! Identificateur de sécurité (SID, Security identifier) Un SID est une structure alphanumérique générée lors de la création d'un compte, qui identifie de manière unique une entité de sécurité.

! Liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) Chaque ressource est associée à une liste DACL qui identifie les utilisateurs et les groupes qui peuvent accéder à la ressource.

! Entrée de contrôle d'accès (ACE, Access Control Entry) Une liste DACL contient plusieurs ACE. Chaque ACE définit un SID, des autorisations spéciales, des informations d'héritage et une autorisation ou un refus.

Pour plus d'informations sur le contrôle d'accès, consultez l'article « Access Control Components » (en anglais) à l'adresse http://msdn.microsoft.com/ library/default.asp?url=/library/en-us/security/security/ access_control_components.asp.

Emplacement du fichier

Points clés

Lectures complémentaires


Description des autorisations


Les autorisations définissent le type d'accès accordé à un utilisateur, un groupe ou un ordinateur sur un objet. Vous pouvez, par exemple, autoriser un utilisateur à lire le contenu d'un fichier, un autre à modifier le fichier et empêcher tous les autres utilisateurs d'y accéder. Vous pouvez appliquer des autorisations similaires aux imprimantes pour permettre à certains utilisateurs de les configurer et à d'autres d'imprimer uniquement.

Des autorisations sont aussi appliquées aux objets protégés tels que les fichiers, les objets du service d'annuaire Active Directory® et les objets du Registre. Des autorisations peuvent être attribuées à n'importe quel utilisateur, groupe ou ordinateur.

Vous pouvez accorder des autorisations sur les objets :

! à des groupes, des utilisateurs et des identités spéciales du domaine ; ! aux groupes et aux utilisateurs de tous les domaines autorisés ; ! à des groupes et des utilisateurs locaux de l'ordinateur contenant l'objet.

Lorsque vous attribuez des autorisations, vous définissez le niveau d'accès des groupes et des utilisateurs. Les autorisations associées à un objet dépendent du type de l'objet. Les autorisations associées à un fichier, par exemple, sont différentes de celles associées à une clé du Registre. Toutefois, certaines autorisations sont communes à la plupart des types d'objets. Les autorisations suivantes sont des autorisations communes :

! Lecture ! Écriture ! Suppression

Définition

Types d'autorisations


Description des autorisations standard et spéciales


Vous pouvez accorder des autorisations standard et des autorisations spéciales sur les objets. Les autorisations standard sont les plus fréquemment attribuées. Les autorisations spéciales permettent de contrôler plus précisément les autorisations d'accès aux objets.

Le système applique des paramètres de sécurité par défaut à un objet donné. Les autorisations les plus couramment utilisées quotidiennement par un administrateur système sont répertoriées ci-dessus. Les autorisations standard disponibles varient en fonction du type de l'objet dont vous modifiez la sécurité.

Les autorisations spéciales correspondent à une liste plus détaillée d'autorisations. Une autorisation de lecture standard NFTS est associée aux autorisations spéciales suivantes :

! Affichage du contenu du dossier/lecture des données ! Attributs de lecture ! Attribution de lecture étendue ! Autorisations de lecture

Si l'administrateur système retire une autorisation spéciale associée à une autorisation standard, la case à cocher de l'autorisation standard n'est plus active. La case à cocher de l'autorisation spéciale figurant sous l'autorisation standard est active.

Introduction

Autorisations standard

Autorisations spéciales


Présentation multimédia : États des autorisations


Pour lancer la présentation États des autorisations, ouvrez la page Web du CD-ROM du stagiaire, puis cliquez sur Multimédia et sur le titre de la présentation.

Emplacement du fichier


Leçon : Administration des accès aux dossiers partagés


La famille Windows Server 2003 organise les fichiers en répertoires qui sont représentés graphiquement par des dossiers. Ces dossiers contiennent tous les types de fichiers et peuvent contenir des sous-dossiers. Certains de ces dossiers sont réservés aux fichiers du système d'exploitation et aux fichiers des programmes. Les utilisateurs ne doivent jamais placer des données dans les dossiers du système d'exploitation, ni dans ceux des fichiers des programmes.

Les dossiers partagés permettent aux utilisateurs d'accéder aux dossiers et aux fichiers sur un réseau. Les utilisateurs peuvent se connecter à un dossier partagé via le réseau pour accéder aux fichiers et aux dossiers qu'il contient. Les dossiers partagés peuvent contenir des applications, des données publiques ou les données personnelles d'un utilisateur. L'utilisation de dossiers d'applications partagés centralise l'administration en permettant d'installer et d'administrer les applications sur un serveur au lieu de le faire sur les ordinateurs clients. L'utilisation de dossiers de données partagés permet de disposer d'un emplacement central pour accéder aux fichiers communs et faciliter la sauvegarde des données des fichiers.

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

! expliquer ce que sont les dossiers partagés ; ! expliquer ce que sont les dossiers d'administration partagés ; ! identifier les caractéristiques associées aux dossiers partagés ; ! créer un dossier partagé ; ! expliquer ce que sont les dossiers partagés publiés ; ! publier un dossier partagé ; ! expliquer ce que sont les autorisations sur les dossiers partagés ; ! définir des autorisations sur un dossier partagé ; ! vous connecter à des dossiers partagés.

Introduction



Description des dossiers partagés


Le partage d'un dossier consiste à le rendre accessible à plusieurs utilisateurs sur le réseau. Une fois le dossier partagé, les utilisateurs peuvent accéder à tous les fichiers et sous-dossiers du dossier partagé s'ils y sont autorisés.

Vous pouvez placer les dossiers partagés sur un serveur de fichiers, mais également sur n'importe quel ordinateur du réseau. Vous pouvez stocker des fichiers dans des dossiers partagés par rapport à des catégories ou des fonctions. Vous pouvez placer, par exemple, des fichiers de données partagés dans un dossier partagé et des fichiers d'applications partagés dans un autre dossier.

Voici quelques-unes des caractéristiques les plus communes des dossiers partagés :

! Un dossier partagé apparaît dans l'Explorateur Windows sous la forme d'une icône représentant une main tenant le dossier.

! Vous pouvez partager des dossiers, mais pas des fichiers individuels. Si plusieurs utilisateurs doivent accéder à un même fichier, vous devez placer le fichier dans un dossier, puis partager le dossier.

! Lorsqu'un dossier est partagé, l'autorisation de lecture est accordée par défaut au groupe Tout le monde. Retirez l'autorisation par défaut et accordez aux groupes l'autorisation de modification ou de lecture en fonction des besoins.

! Lorsque des utilisateurs ou des groupes sont ajoutés à un dossier partagé, les utilisateurs et les groupes reçoivent par défaut l'autorisation de lecture.

! Lorsque vous copiez un dossier partagé, le dossier d'origine reste partagé, mais pas la copie. Lorsque vous déplacez un dossier partagé, le dossier n'est plus partagé.

! Vous pouvez masquer un dossier partagé en plaçant le symbole du dollar ($) à la suite du nom du dossier. L'utilisateur ne peut alors pas voir le dossier partagé dans l'interface graphique, mais il peut y accéder en tapant le nom UNC (Universal Naming Convention), tel que \\server\secrets$.

Introduction

Caractéristiques des dossiers partagés


Description des dossiers d'administration partagés


Windows Server 2003 partage automatiquement des dossiers qui vous permettent d'accomplir des tâches administration. Ces dossiers correspondent à ceux dont le nom se termine par le symbole du dollar ($). Ce symbole permet de cacher les dossiers partagés aux utilisateurs qui naviguent dans Favoris réseau sur l'ordinateur. Les administrateurs peuvent administrer rapidement des fichiers et des dossiers sur les serveurs distants en utilisant ces dossiers partagés cachés.

Par défaut, les membres du groupe Administrateurs bénéficient de l'autorisation Contrôle total sur les dossiers d'administration partagés. Vous ne pouvez pas modifier les autorisations de ces dossiers. Le tableau suivant répertorie la fonction des dossiers d'administration partagés que Windows Server 2003 fournit automatiquement.

Dossier partagé

Fonction

C$, D$, E$ Ces dossiers partagés servent à se connecter à distance à un ordinateur

et à accomplir des tâches d'administration. La racine de chaque partition (qui est affectée d'une lettre) sur un disque dur est automatiquement partagée. Lorsque vous vous connectez à ce dossier, vous avez accès à l'ensemble de la partition.

Admin$ Il s'agit du dossier de la racine du système, à savoir C:\WINDOWS par défaut. Les administrateurs peuvent accéder à ce dossier partagé pour administrer Windows Server 2003 sans savoir dans quel dossier il est installé.

Introduction

Types de dossiers d'administration partagés


(suite) Dossier partagé

Fonction

Print$ Ce dossier permet d'accéder aux pilotes d'imprimantes des ordinateurs

clients. Lorsque vous installez la première imprimante partagée, le dossier RacineSystème\System32\Spool\Drivers est partagé sous la forme Print$. Seuls les membres des groupes Administrateurs, Opérateurs de serveur et Opérateurs d'impression disposent de l'autorisation Contrôle total sur ce dossier. Le groupe Tout le monde peut accéder en lecture au dossier.

IPC$ IPC$ est utilisé pendant l'administration à distance d'un ordinateur et lors de l'affichage des ressources partagées d'un ordinateur.

FAX$ Ce dossier partagé permet de placer temporairement des fichiers en mémoire cache et d'accéder à des pages de garde sur le serveur.

Pour plus d'informations sur IPC$, consultez l'article 101150 « Operating Characteristics and Restrictions of Named Pipes » (en anglais) dans la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/?kbid=101150



Qui peut accéder aux dossiers partagés ?


Dans Windows Server 2003, seuls les Administrateurs, Opérateurs de serveur et Utilisateurs avec pouvoir peuvent créer des dossiers partagés. Ces groupes sont des groupes prédéfinis qui figurent dans le dossier Groupe dans Gestion de l'ordinateur ou dans le dossier partagé Utilisateur et groupe Active Directory.

Le tableau suivant répertorie les droits d'accès aux dossiers partagés.

Opération de partage de dossiers

Groupe d'appartenance

Sur un contrôleur de domaine Windows Server 2003

Administrateurs ou Opérateurs de serveur.

Notez que le groupe Utilisateurs avec pouvoir peut partager des dossiers sur un serveur membre d'un domaine Windows Server 2003.

Sur un serveur autonome ou un serveur membre qui exécute Windows Server 2003

Administrateurs ou Utilisateurs avec pouvoir.

Introduction

Groupes autorisés à accéder aux dossiers partagés


Procédure de création d'un dossier partagé


Lorsque vous créez un dossier partagé, vous lui donnez un nom de dossier partagé et vous entrez un commentaire pour décrire le dossier et son contenu. Vous pouvez aussi limiter le nombre d'utilisateurs ayant accès au dossier, accorder des autorisations et partager un même dossier plusieurs fois.

Pour créer un dossier partagé en utilisant Gestion de l'ordinateur :

1. Dans Gestion de l'ordinateur, développez Dossiers partagés, puis cliquez sur Partages dans l'arborescence de la console.

2. Dans le menu Action, cliquez sur Nouveau partage. 3. Suivez les étapes de l'Assistant Partage de dossier.

Introduction

Procédure en utilisant Gestion de l'ordinateur


Pour créer un dossier partagé dans l'Explorateur Windows, procédez comme suit :

1. Dans l'Explorateur Windows, cliquez avec le bouton droit sur le dossier, puis cliquez sur Partage et sécurité.

2. Dans l'onglet Partage de la boîte de dialogue Propriétés, définissez les options répertoriées dans le tableau suivant. Option Description Partager ce dossier

Cliquez pour partager le dossier.

Nom du partage Entrez le nom que les utilisateurs distants vont utiliser pour se connecter au dossier partagé. Le nom de dossier partagé par défaut correspond au nom du dossier. Cette option est obligatoire.

Remarque : Certains ordinateurs clients qui se connectent à un dossier partagé ne voient qu'un nombre limité de caractères.

Description Entrez la description facultative du dossier partagé. Vous pouvez utiliser ce commentaire pour indiquer le contenu du dossier partagé.

Nombre maximal d'utilisateurs

Entrez le nombre d'utilisateurs qui peuvent se connecter simultanément au dossier partagé. Cette option n'est pas nécessaire si vous cliquez sur Maximum autorisé. Les systèmes d'exploitation Windows actuels prennent en charge jusqu'à 10 connexions simultanées.

Autorisations Cliquez pour définir les autorisations sur le dossier partagé, qui ne s'appliquent que lors des accès via le réseau. Cette option n'est pas obligatoire. Par défaut, le groupe Tout le monde dispose de l'autorisation de lecture sur tous les nouveaux dossiers partagés.

La commande net share crée, supprime ou affiche des dossiers partagés. Pour créer un dossier partagé avec cette commande :

1. Ouvrez une invite de commandes. 2. Tapez net share NomDossierPartagé=Unité:Chemin

Valeur Description NomDossierPartagé=Unité:Chemin Il s'agit du nom de réseau du dossier partagé

et de son chemin absolu.

Procédure en utilisant l'Explorateur Windows

Utilisation d'une ligne de commandes


Description des dossiers partagés publiés


La publication des ressources et des dossiers partagés dans Active Directory permet aux utilisateurs d'effectuer des recherches dans Active Directory et d'identifier des ressources sur le réseau, même si l'emplacement physique des ressources change.

Si, par exemple, vous transférez un dossier partagé vers un autre ordinateur, tous les raccourcis vers l'objet Active Directory, qui représentent le dossier partagé publié, sont toujours actifs si vous mettez à jour la référence vers le nouvel emplacement. Les utilisateurs n'ont pas besoin de mettre à jour leur connexion.

Vous pouvez publier n'importe quel dossier partagé dans Active Directory, accessible à l'aide d'un nom UNC. Après la publication d'un dossier partagé, l'utilisateur d'un ordinateur qui exécute Windows Server 2003 peut utiliser Active Directory pour identifier l'objet qui représente le dossier partagé et s'y connecter.

Lorsqu'un dossier partagé est publié dans Active Directory, le dossier partagé devient un objet enfant du compte de l'ordinateur. Pour afficher les dossiers partagés sous la forme d'un objet dans Utilisateurs et ordinateurs Active Directory, cliquez sur Utilisateurs, Groupes, et Ordinateurs en tant que conteneurs dans le menu Affichage. Dans l'arborescence de la console, cliquez sur le compte de l'ordinateur. Tous les dossiers partagés publiés associés au compte de l'ordinateur figurent dans le volet d'informations.

Définition

Publication du dossier


Procédure de publication d'un dossier partagé


La publication d'informations sur les ressources du réseau dans Active Directory facilite leur recherche par les utilisateurs. Vous pouvez publier des informations sur les imprimantes et les dossiers partagés en utilisant Gestion de l'ordinateur ou Utilisateurs et ordinateurs Active Directory.

Pour publier un dossier partagé sous la forme d'un objet Serveur :


2. Cliquez avec le bouton droit sur un dossier partagé, puis sur Propriétés. 3. Dans l'onglet Publier de la boîte de dialogue Propriétés, activez la case à

cocher Publier ce partage dans Active Directory, puis cliquez sur OK.

Pour publier un dossier partagé dans une unité d'organisation, procédez comme suit :

1. Dans Utilisateurs et ordinateurs Active Directory, dans l'arborescence de console, cliquez avec le bouton droit sur le dossier dans lequel vous voulez ajouter le dossier partagé, pointez sur Nouveau, puis cliquez sur Dossier partagé.

2. Dans le champ Nom de la boîte de dialogue Nouvel objet Dossier partagé, tapez le nom de dossier que doivent utiliser les clients.

3. Dans le champ Chemin réseau, tapez le nom UNC à publier dans Active Directory, puis cliquez sur OK.

Introduction

Procédure de publication d'un dossier partagé sous la forme d'un objet Serveur

Procédure de publication d'un dossier partagé dans une unité d'organisation


Autorisations sur les dossiers partagés


Les autorisations sur les dossiers partagés ne s'appliquent qu'aux utilisateurs qui se connectent aux dossiers via le réseau. Elles ne restreignent pas l'accès des utilisateurs qui accèdent aux dossiers depuis l'ordinateur où ils sont stockés Vous pouvez accorder des autorisations aux comptes d'utilisateurs, de groupes, et d'ordinateurs sur les dossiers partagés.

Les autorisations sur les dossiers partagés incluent :

! Lecture L'autorisation de lecture des dossiers partagés est affectée par défaut au groupe Tout le monde. Cette autorisation permet de :

• afficher les données des fichiers et les attributs ;

• afficher les noms des fichiers et des sous-dossiers ;

• exécuter des programmes. ! Modification

L'autorisation de modification comprend toutes les autorisations de lecture et permet également de :

• ajouter des fichiers et des sous-dossiers ;

• modifier les données des fichiers ;

• supprimer des sous-dossiers et des fichiers. ! Contrôle total

L'autorisation Contrôle total inclut toutes les autorisations de lecture et de modification. Elle et permet également de changer les autorisations sur les fichiers et les dossiers.

Introduction

Autorisations


Procédure de définition des autorisations sur un dossier partagé


Effectuez la procédure suivante pour définir les autorisations sur un dossier partagé.

Pour définir des autorisations sur un dossier partagé en utilisant Gestion de l'ordinateur, procédez comme suit :


2. Dans le volet d'informations, cliquez avec le bouton droit sur le dossier partagé sur lequel vous voulez définir des autorisations, puis cliquez sur Propriétés.

3. Dans l'onglet Autorisations du partage de la boîte de dialogue Propriétés, procédez de l'une des manières suivantes :

• Cliquez sur Ajouter pour autoriser un utilisateur ou un groupe à utiliser un dossier partagé. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, sélectionnez ou tapez le nom de l'utilisateur ou du groupe, puis cliquez sur OK.

• Cliquez sur Supprimer pour annuler l'accès à un dossier partagé. 4. Dans la boîte de dialogue Autorisations, activez la case à cocher Autoriser

ou Refuser pour définir des autorisations individuelles pour l'utilisateur ou le groupe sélectionné, puis cliquez sur OK.

Introduction

Procédure en utilisant Gestion de l'ordinateur


Pour définir les autorisations sur un dossier partagé en utilisant l'Explorateur Windows, procédez comme suit :

1. Dans l'Explorateur Windows, cliquez avec le bouton droit sur le dossier partagé sur lequel vous voulez définir les autorisations, puis cliquez sur Partage et sécurité.

2. Dans l'onglet Partage de la boîte de dialogue Propriétés, cliquez sur Autorisations.

3. Dans la boîte de dialogue Autorisations, procédez de l'une des manières suivantes :

• Cliquez sur Ajouter pour autoriser un utilisateur ou un groupe à utiliser un dossier partagé. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, sélectionnez ou tapez le nom de l'utilisateur ou du groupe, puis cliquez sur OK.

• Cliquez sur Supprimer pour annuler l'accès à la ressource partagée. 4. Dans la boîte Autorisations, activez la case à cocher Autoriser ou Refuser

pour définir des autorisations individuelles pour l'utilisateur ou le groupe sélectionné.

Procédures en utilisant l'Explorateur Windows


Procédure de connexion à un dossier partagé


Après avoir créé un dossier partagé, les utilisateurs peuvent y accéder via le réseau. Les utilisateurs peuvent accéder au dossier partagé sur un autre ordinateur en utilisant Favoris réseau, la fonction Connecter un lecteur réseau ou la commande Exécuter du menu Démarrer.

Pour vous connecter à un dossier partagé en utilisant Favoris réseau, procédez comme suit :

1. Ouvrez Favoris réseau et double-cliquez sur Ajout d'un Favori réseau. 2. Dans la page Bienvenue de l'Assistant Ajout d'un Favori réseau, cliquez sur

Suivant. 3. Dans la page Où voulez-vous créer cet emplacement réseau ?, cliquez sur

Choisissez un autre emplacement réseau, puis sur Suivant. 4. Dans la page Quelle est l'adresse de cet emplacement réseau ?, tapez

le chemin UNC du dossier partagé ou cliquez sur Parcourir. a. Si vous cliquez sur Parcourir, développez Tout le réseau. b. Développez Réseau Microsoft Windows. c. Développer le domaine et le serveur auxquels vous voulez vous

connecter. d. Cliquez sur le dossier partagé à ajouter, puis sur OK.

5. Cliquez sur Suivant. 6. Dans la page Quel nom voulez-vous attribuer à cet emplacement ?, tapez

le nom de l'emplacement de réseau, puis cliquez sur Suivant. 7. Dans la page Fin de l'assistant Ajout d'un Favori réseau, cliquez sur

Terminer.

Lorsque vous ouvrez un dossier partagé sur le réseau, Windows Server 2003 l'ajoute automatiquement à Favoris réseau.

Introduction

Procédure en utilisant Favoris réseau

Remarque


Pour associer une lettre et une icône à un dossier partagé, définissez une unité de réseau. Cela facilite la référence à l'emplacement d'un fichier dans un dossier partagé. Vous pouvez aussi sélectionner des lettres de lecteur pour accéder aux dossiers partagés pour lesquels vous ne pouvez pas utiliser un chemin UNC, tels que le dossier d'une ancienne application.

Pour vous connecter à un dossier partagé en utilisant Favoris réseau, procédez comme suit :

1. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur Connecter un lecteur de réseau.

2. Dans la zone Lecteur de la boîte de dialogue Connecter un lecteur réseau, sélectionnez l'unité à utiliser.

3. Dans le champ Dossier, tapez le nom du dossier partagé auquel vous voulez vous connecter ou cliquez sur Parcourir.

4. S'il s'agit d'un dossier partagé qui sera fréquemment utilisé, activez la case à cocher Se reconnecter à l'ouverture de session pour vous connecter automatiquement au dossier partagé dès que vous ouvrez une session.

Lorsque vous utilisez la commande Exécuter du menu Démarrer pour vous connecter à une ressource du réseau, aucune lettre de lecteur n'est nécessaire. Ainsi, vous pouvez vous connecter au dossier partagé un nombre illimité de fois, indépendamment des lecteurs disponibles.

1. Cliquez sur Démarrer, puis sur Exécuter. 2. Dans la boîte de dialogue Exécuter, tapez un chemin UNC, puis cliquez sur

OK. Lorsque vous entrez le nom du serveur, la liste des dossiers partagés disponibles apparaît. Windows Server 2003 vous donne la possibilité de choisir l'une des entrées en fonction des dossiers partagés disponibles.

Procédure avec Lecteur réseau

Procédure en utilisant la commande Exécuter


Application pratique : Administration des accès aux dossiers partagés


Dans cette application pratique, vous allez créer un dossier partagé, accorder des autorisations de lecture et de contrôle total à deux groupes différents, puis tester les autorisations.

Avant de commencer cette application pratique :

! Connectez-vous au domaine en tant que NomOrdinateurAdmin.

Vous ne pouvez pas utiliser la commande Exécuter en tant que avec l'Explorateur Windows. Vous devez donc vous connecter en tant que NomOrdinateurAdmin pour disposer des autorisations nécessaires qui vous permettront de terminer cette application pratique.

! Vérifiez que CustomMMC contient Gestion de l'ordinateur (Local). ! Passez en revue les procédures de cette leçon qui décrivent comment

effectuer cette tâche.

On vous demande de créer un dossier partagé pour le service des Ressources Humaines. Le service a besoin d'un dossier partagé sur lequel les employés du service doivent avoir l'autorisation Contrôle total et ceux du service Accounting doivent disposer de l'autorisation de lecture. Vous devez créer le dossier partagé avec les autorisations nécessaires aux services des Ressources Humaines et Comptabilité.

Objectif

Instructions

Remarque

Scénario


! Créer un dossier partagé • En utilisant Gestion d'ordinateur, créez un dossier partagé sur votre

ordinateur avec les paramètres suivants :

• Emplacement du dossier : D:\

• Nom du dossier : HR Reports

• Sécurité :

• Accordez l'autorisation Contrôle total à DL NWTraders HR Personnel Full Control.

• Accordez l'autorisation de lecture à DL NWTraders Accounting Managers Read.

• Supprimez le groupe Tout le monde.

! Tester les autorisations lecture du dossier partagé 1. Ouvrez une session en tant que AccountingManager avec le mot de passe

P@ssw0rd. 2. Connectez-vous au dossier partagé \\NomOrdinateur\HR Reports. 3. Essayez de créer un fichier texte dans le dossier HR Reports.

Normalement vous ne pouvez pas créer de fichier texte dans le dossier partagé.

! Tester l'autorisation de contrôle complet sur le dossier partagé 1. Ouvrez une session en tant que HRUser avec le mot de passe P@ssw0rd. 2. Connectez-vous au dossier partagé \\NomOrdinateur\HR Reports. 3. Essayez de créer un fichier texte dans le dossier HR Reports.

Normalement vous devez avoir accès au dossier partagé.

Application pratique


Leçon : Administration des accès aux fichiers et aux dossiers en utilisant des autorisations NTFS


Dans cette leçon, vous allez acquérir les connaissances et les compétences nécessaires à l'administration des accès aux fichiers et aux dossiers en utilisant des autorisations NTFS.


! expliquer ce qu'est NTFS ; ! expliquer ce que sont les autorisations sur les fichiers et dossiers NTFS ; ! expliquer l'impact des autorisations NTFS de copie et de déplacement des

fichiers et des dossiers ; ! expliquer ce qu'est l'héritage des autorisations NTFS ; ! expliquer les recommandations d'accès aux fichiers et aux dossiers

en utilisant les autorisations NTFS ; ! copier et annuler des autorisations héritées ; ! administrer les accès aux fichiers et aux dossiers en utilisant des

autorisations NTFS.

Introduction



Description de NTFS


NTFS est un système de fichiers disponible sur Windows Server 2003. Il offre des niveaux de performances et des fonctions que les systèmes FAT (File Allocation Table) et FAT32 n'offrent pas.

NTFS offre les avantages suivants :

! Fiabilité NTFS utilise un fichier journal et des informations de point de contrôle pour restaurer l'intégrité du système de fichiers au redémarrage de l'ordinateur. En cas de secteur défectueux, NTFS reconfigure dynamiquement le cluster du secteur et alloue un nouveau cluster aux données. NTFS marque aussi ce cluster comme étant inutilisable.

Introduction

Avantages de NTFS


! Sécurité renforcée Les fichiers NTFS utilisent le système de cryptage de fichiers (EFS, Encrypting File System) pour sécuriser les fichiers et dossiers. Si EFS est activé, les fichiers et les dossiers peuvent être cryptés pour permettre leur utilisation par un seul utilisateur ou plusieurs utilisateurs. Les avantages du cryptage sont la confidentialité et l'intégrité des données, ce qui signifie que les données sont protégées contre les modifications malveillantes ou accidentelles. NTFS permet aussi de définir des autorisations d'accès à un fichier ou un dossier. Ces autorisations peuvent être Lecture, Lecture et écriture ou Refuser. NTFS enregistre également une liste de contrôle d'accès (ACL, Access Control List) avec tous les fichiers et les dossiers d'une partition NTFS. La liste ACL contient la liste des comptes d'utilisateurs, de groupes et d'ordinateurs qui peuvent accéder au fichier ou dossier, ainsi que le type d'accès dont ils bénéficient. Pour qu'un utilisateur puisse accéder à un fichier ou un dossier, la liste ACL doit contenir une entrée appelée ACE associée au compte d'utilisateur, de groupe ou d'ordinateur auquel l'utilisateur est associé. La liste ACE doit accorder spécifiquement le type d'accès que l'utilisateur demande pour qu'il puisse accéder au fichier ou au dossier. Si aucune entrée ACE n'existe dans la liste ACL, Windows Server 2003 refuse à l'utilisateur l'accès à la ressource.

! Administration améliorée de la croissance du stockage NTFS prend en charge les quotas de disque, ce qui permet de spécifier l'espace disque maximum à allouer à un utilisateur. En utilisant des quotas de disque, vous pouvez contrôler l'utilisation de l'espace disque et indiquer si les utilisateurs peuvent dépasser un seuil ou un quota de stockage. NTFS prend en charge des fichiers plus volumineux et un plus grand nombre de fichiers par volume que les systèmes de fichiers FAT et FAT32. NTFS gère aussi l'espace disque efficacement en utilisant des clusters plus petits. Un volume NTFS de 30 Go, par exemple, utilise des clusters de 4 Ko. Le même volume formaté avec FAT32 utilise des clusters de 16 Ko. L'utilisation de clusters plus petits réduit la perte d'espace sur les disques durs.

! Autorisations utilisateur multiples Si vous accordez des autorisations NTFS à un compte d'utilisateur et à un groupe auquel l'utilisateur appartient, vous pouvez accorder plusieurs autorisations à l'utilisateur. NTFS combine ces autorisations multiples pour générer les autorisations effectives de l'utilisateur selon des règles précises.

Pour plus d'informations sur le système NTFS, consultez l'article « NTFS » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/ ntfs.asp.

Pour plus d'informations sur les systèmes FAT et NTFS, consultez l'article « Choosing Between FAT and NTFS » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ittasks/ deploy/fat.asp.



Autorisations sur les fichiers et les dossiers NTFS


Les autorisations NTFS permettent de définir les utilisateurs, les groupes et les ordinateurs qui peuvent accéder à des fichiers et des dossiers. Les autorisations NTFS définissent également ce que peuvent faire les utilisateurs, les groupes et les ordinateurs avec le contenu des fichiers et des dossiers.

Le tableau suivant répertorie les autorisations NTFS standard sur les fichiers, que vous pouvez accorder et le type d'accès associé à chaque autorisation.

Autorisation NTFS sur les fichiers

Action

Contrôle total Autorisation de modification, prise de possession

et exécution des actions autorisées par toutes les autres autorisations NTFS sur les fichiers

Modification Modification et suppression du fichier et exécution des actions associées à l'autorisation d'écriture et à l'autorisation de lecture et d'écriture

Lecture et exécution Exécution d'applications et des actions associées à l'autorisation de lecture

Écriture Écrasement du fichier, changement de ses attributs et affichage du propriétaire du fichier et des autorisations

Lecture Lecture du fichier et affichage de ses attributs, du propriétaire et des autorisations

Introduction

Autorisations sur les fichiers NTFS


Les autorisations contrôlent l'accès aux dossiers ainsi qu'aux fichiers et aux sous-dossiers des dossiers. Le tableau répertorie les autorisations standard NTFS que vous pouvez accorder sur les dossiers ainsi que le type d'accès associé à chaque autorisation.

Autorisation NTFS sur les dossiers

Action

Contrôle total Modification des autorisations, prise de possession,

suppression des sous-dossiers et des fichiers et exécution des actions associées à toutes les autres autorisations NTFS sur le dossier

Modification Suppression du dossier et exécution des actions associées à l'autorisation d'écriture et l'autorisation de lecture et d'exécution

Lecture et exécution Navigation dans les dossiers et exécution des actions associées à l'autorisation Lecture et à l'autorisation d'affichage du contenu du dossier

Écriture Création de fichiers et de sous-dossiers dans le dossier, modification des attributs de dossier et identification du propriétaire et des autorisations du dossier

Lecture Affichage des fichiers et des sous-dossiers du dossier, des attributs du dossier, du propriétaire et des autorisations

Affichage du contenu du dossier

Affichage des noms des fichiers et des sous-dossiers du dossier

Pour plus d'informations sur les autorisations, consultez l'article « Permissions » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/ sag_sfmhowworks_13.asp.

Autorisations NTFS sur les dossiers



Impact des autorisations NTFS sur la copie et le déplacement des fichiers et des dossiers


Lorsque vous copiez ou déplacez un fichier ou un dossier, les autorisations peuvent changer selon l'emplacement de destination du fichier ou du dossier. Il est important de comprendre les modifications d'autorisations qui se produisent lors de la copie ou du déplacement.

Lorsque vous copiez des fichiers ou des dossiers d'un dossier vers un autre ou d'une partition vers une autre, les autorisations sur les fichiers ou les dossiers peuvent changer. La copie d'un fichier ou d'un dossier a les conséquences suivantes sur les autorisations :

! Lorsque vous copiez un fichier ou un dossier dans une même partition NTFS, la copie du fichier ou du dossier hérite des autorisations du dossier de destination.

! Lorsque vous copiez un fichier ou un dossier dans une partition NTFS différente, la copie du fichier ou du dossier hérite des autorisations du dossier de destination.

! Lorsque vous copiez un fichier ou un dossier vers une partition non-NTFS, telle qu'une partition FAT, la copie perd les autorisations NTFS du fait que les partitions non-NTFS ne prennent pas en charge les autorisations NTFS.

Introduction

Impact de la copie sur les fichiers et les dossiers


Pour copier des fichiers et des dossiers dans une même partition NTFS ou entre des partitions NTFS, vous devez disposer de l'autorisation de lecture sur le dossier source et de l'autorisation d'écriture sur le dossier cible.

Lorsque vous déplacez un fichier ou un dossier, les autorisations peuvent changer selon les autorisations du dossier cible. Le déplacement d'un fichier ou d'un dossier a les effets suivants sur les autorisations NTFS :

! Lorsque vous déplacez un fichier ou un dossier dans une même partition NTFS, le fichier ou le dossier conserve ses autorisations d'origine.

! Lorsque vous déplacez un fichier ou un dossier dans une partition NTFS différente, le fichier ou le dossier hérite des autorisations du dossier de destination. Lorsque vous déplacez un fichier ou un dossier entre des partitions, Windows Server 2003 copie le fichier ou le dossier vers le nouvel emplacement, puis le supprime de l'ancien emplacement.

! Lorsque vous déplacez un fichier ou un dossier vers une partition non-NTFS, le fichier ou le dossier perd ses autorisations NTFS du fait que les partitions non-NTFS ne prennent pas en charge les autorisations NTFS.

Pour déplacer des fichiers ou des dossiers dans une même partition NTFS ou entre des partitions NTFS, vous devez disposer de l'autorisation d'écriture sur le dossier de destination et de l'autorisation de modification sur le fichier ou le dossier cible. L'autorisation de modification est nécessaire pour déplacer un fichier ou un dossier parce que Windows Server 2003 supprime le fichier ou le dossier du dossier source après l'avoir copié vers le dossier cible.

Le tableau suivant répertoire les options de copie et de déplacement disponibles et décrit comment Windows Server 2003 traite l'état de compression d'un fichier ou d'un dossier.

Action Résultat Copie d'un fichier ou d'un dossier dans un volume

Hérite de l'état de compression et des autorisations du fichier ou du dossier de destination

Déplacement d'un fichier ou d'un dossier dans un volume

Conserve l'état de compression de la source

Copie d'un dossier ou d'un fichier entre des volumes

Hérite de l'état de compression du fichier ou du dossier de destination

Déplacement d'un fichier ou d'un dossier entre des volumes

Hérite de l'état de compression du fichier ou du dossier de destination

Impact du déplacement sur les fichiers et les dossiers

Impact de la copie et du déplacement dans les volumes


Description des autorisations d'héritage NTFS


Par défaut, les autorisations que vous accordez à un dossier parent sont transmises à ses sous-dossiers et ses fichiers. Si vous créez des dossiers et des fichiers et formatez une partition NTFS, Windows Server 2003 affecte automatiquement les autorisations NTFS par défaut.

Vous pouvez empêcher les sous-dossiers et les fichiers d'hériter des autorisations affectées au dossier parent. Lorsque vous interdisez l'héritage des autorisations, vous pouvez :

! copier les autorisations transmises par le dossier parent ; - ou -

! supprimer les autorisations transmises et conserver uniquement les autorisations affectées explicitement.

Le dossier sur lequel vous interdisez l'héritage des autorisations devient le nouveau dossier parent et ses sous-dossiers et ses fichiers héritent de ses autorisations.

L'héritage des autorisations simplifie l'affectation des autorisations aux dossiers parents, sous-dossiers et ressources. Vous pouvez toutefois préférer d'empêcher l'héritage pour que les autorisations ne se propagent pas d'un dossier parent aux sous-dossiers et aux fichiers.

Vous pouvez, par exemple, avoir besoin de conserver tous les fichiers du service Ventes dans un dossier Ventes sur lequel les employés du service Ventes disposent de l'autorisation d'écriture. Toutefois, pour certains fichiers du dossier, vous pouvez avoir besoin de définir uniquement l'autorisation de lecture. Pour ce faire, vous devez empêcher l'héritage pour que l'autorisation d'écriture ne soit pas transmise aux fichiers du dossier.

Définition

Contrôle de l'héritage des autorisations

Intérêt de l'interdiction de l'héritage des autorisations


Procédure de copie et d'annulation des autorisations héritées


Effectuez la procédure suivante pour copier ou annuler les autorisations héritées.

Pour copier ou annuler les autorisations héritées, procédez comme suit :

1. Dans l'Explorateur de Windows, cliquez avec le bouton droit sur le fichier ou sur le dossier sur lequel vous voulez modifier les autorisations héritées, puis cliquez sur Propriétés.

2. Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans l'onglet Sécurité.

3. Dans la boîte de dialogue Paramètres de sécurité avancé, désactivez la case à cocher Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.

4. Dans la boîte de dialogue Sécurité, cliquez sur l'une des options suivantes :

• Cliquez sur Copier pour copier les entrées d'autorisation précédemment appliquées du parent vers l'objet.

• Cliquez sur Supprimer pour supprimer les entrées d'autorisation qui étaient précédemment appliquées à partir du parent et ne conserver que les autorisations affectées explicitement.

5. Dans la boîte de dialogue Paramètres de sécurité avancé, cliquez sur OK. 6. Dans la boîte de dialogue Propriétés, cliquez sur OK.

Introduction

Procédure


Recommandations relatives à l'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS


Lorsque vous administrez les accès aux fichiers et aux dossiers et que vous accordez des autorisations NTFS, tenez compte des recommandations suivantes :

! Accordez les autorisations à des groupes et non à des utilisateurs. Du fait que la maintenance directe des comptes d'utilisateurs est inefficace, évitez d'accorder des autorisations aux utilisateurs individuellement.

! Appliquez un refus dans les cas suivants :

• pour exclure une partie d'un groupe qui dispose de l'autorisation Autoriser ;

• pour exclure une autorisation lorsque vous avez déjà accordé l'autorisation Contrôle total à un utilisateur ou un groupe.

! Si possible, ne modifiez pas les entrées d'autorisation par défaut des objets Système de fichiers, notamment les dossiers système ou les dossiers racines. La modification des autorisations par défaut peut causer des problèmes d'accès inattendus ou affecter la sécurité.

! Ne refusez jamais au groupe Tout le monde l'accès à un objet sous peine de refuser l'accès aux administrateurs. Il est préférable de supprimer le groupe Tout le monde des permissions de l'objet si vous accordez à d'autres utilisateurs, groupes ou ordinateurs des autorisations sur l'objet.

! Accordez des autorisations sur un objet qui se trouve aussi haut que possible dans l'arborescence pour propager les paramètres de sécurité dans l'ensemble de l'arborescence. Vous pouvez accorder rapidement et efficacement des autorisations à tous les enfants ou à une sous-arborescence d'un objet parent. Vous affectez ainsi un nombre maximum d'objets en exécutant moins d'opérations. Accordez les autorisations appropriées pour la majorité des utilisateurs, des groupes et des ordinateurs.

Recommandations


! Pour simplifier l'administration, regroupez les fichiers selon leur fonction, par exemple :

• Regroupez les fichiers des programmes les plus utilisés dans des dossiers.

• Regroupez dans un dossier les dossiers de données contenant les dossiers de base.

• Regroupez dans un dossier les fichiers de données partagés par plusieurs utilisateurs.

! Accordez l'autorisation de lecture et d'exécution aux groupes Utilisateurs et Administrateurs sur les dossiers des applications. Ainsi, vous évitez aux utilisateurs ou aux virus de supprimer accidentellement ou d'endommager les fichiers de données et des applications.

! N'accordez aux utilisateurs que le niveau d'accès dont ils ont besoin. Si, par exemple, un utilisateur n'a besoin que de consulter un fichier, accordez-lui l'autorisation de lecture sur le fichier ou affectez-la au groupe dont il est membre.

! Accordez les autorisations de lecture et d'exécution et l'autorisation d'écriture au groupe Utilisateurs et l'autorisation de modification au groupe Propriétaire créateur sur les dossiers de données. Les utilisateurs peuvent ainsi consulter et modifier les documents que les autres utilisateurs créent et lire, modifier et supprimer les fichiers et les dossiers qu'ils créent eux-mêmes.


Procédure d'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS


Effectuez la procédure suivante pour changer les autorisations standard et spéciales sur les fichiers et les dossiers.

Pour changer les autorisations standard, procédez comme suit :

1. Dans l'Explorateur de Windows, cliquez avec le bouton droit sur le fichier ou dossier sur lequel vous voulez définir des autorisations, puis cliquez sur Propriétés.

2. Dans l'onglet Sécurité de la boîte de dialogue Propriétés, procédez de l'une des manières suivantes :

• Pour accorder des autorisations à un groupe ou à un utilisateur qui n'apparaît pas dans la zone Noms d'utilisateurs ou de groupes, cliquez sur Ajouter. Dans le champ Entrez les noms des objets à sélectionner de la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, tapez le nom du groupe ou de l'utilisateur auquel vous voulez accorder des autorisations, puis cliquez sur OK.

• Pour changer ou annuler les autorisations d'un groupe ou d'un utilisateur, cliquez sur le nom du groupe ou de l'utilisateur dans la zone Noms d'utilisateurs ou de groupes, puis effectuez l'une des opérations suivantes :

• Pour accorder ou refuser une autorisation, activez la case à cocher Autoriser ou Refuser dans la zone Autorisations pour.

• Pour supprimer le groupe ou l'utilisateur de la zone Noms d'utilisateurs ou de groupes, cliquez sur Supprimer.

Introduction

Procédure de modification des autorisations standard


Pour changer les autorisations spéciales :

1. Dans l'Explorateur de Windows, cliquez avec le bouton droit sur l'objet sur lequel vous voulez définir des autorisations spéciales, puis cliquez sur Propriétés.


3. Dans la boîte de dialogue Paramètres de sécurité avancé, effectuez l'une des opérations suivantes :

• Pour accorder des autorisations spéciales à un groupe ou un utilisateur supplémentaire, cliquez sur Ajouter. Dans la zone Entrez le nom de l'objet à sélectionner de la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, tapez le nom de l'utilisateur ou du groupe, puis cliquez sur OK.

• Pour consulter ou changer les autorisations spéciales d'un groupe ou d'un utilisateur, cliquez sur le nom du groupe ou de l'utilisateur, puis sur Modifier.

4. Activez ou désactivez la case à cocher Autoriser ou Refuser dans la boîte de dialogue Entrée d'autorisation.

5. Dans la liste déroulante Appliquer à, cliquez sur les dossiers ou les sous-dossiers auxquels vous voulez appliquer les autorisations.

6. Pour définir la sécurité afin que les sous-dossiers et les fichiers n'héritent pas de ces autorisations, désactivez la case à cocher Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur.

7. Cliquez sur OK, puis de nouveau sur OK dans la boîte de dialogue Paramètres de sécurité avancé.

Pour supprimer un groupe ou un utilisateur et ses autorisations spéciales, cliquez sur le nom du groupe ou de l'utilisateur, puis sur Supprimer. Si le bouton Supprimer n'est pas disponible, désactivez la case à cocher Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici, puis cliquez sur Copier ou Supprimer.

Procédure de modification des autorisations spéciales

Remarque


Application pratique : Administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS


Dans cette application pratique, vous allez administrer les accès aux fichiers et aux dossiers en utilisant les autorisations NTFS.



Vous ne pouvez pas utiliser la commande Exécuter en tant que avec l'Explorateur Windows. Vous devez donc vous connecter en tant que NomOrdinateurAdmin pour disposer des autorisations nécessaires qui vous permettront de terminer cet exercice.

! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche.

Objectif

Instructions

Remarque


Northwind Traders vous demande de créer le dossier Public pour les services Comptabilité et Ressources Humaines. Tous les employés doivent pouvoir accéder au même dossier partagé et naviguer vers le dossier approprié pour leur permettre d'exécuter leurs tâches. Vous devez créer les dossiers représentés dans le schéma ci-dessous et configurer le dossier partagé et les autorisations NTFS:

! Partager le dossier Public 1. Créez et partagez le dossier D:\Public. 2. Configurez le groupe Utilisateurs authentifiés pour lui affecter l'autorisation

de modification sur le dossier D:\Public. 3. Supprimez le groupe Tout le monde.

! Créer les dossiers conformément au schéma 1. Créez le dossier D:\Public\Accounting. 2. Créez le dossier D:\Public\HR.

Scénario



! Définir les autorisations NTFS • Supprimez toutes les autorisations héritées dans les dossiers suivants

et n'appliquer les autorisations qu'au dossier. N'autorisez pas les sous-dossiers à hériter des autorisations.

Dossier

Groupe

Autorisations spéciales NTFS

Utilisateurs authentifiés Parcourir le

dossier / Exécuter le fichier

Affichage du contenu du dossier / lecture des données

Autorisation de lecture

D:\Public

NomOrdinateur\Administrateurs Contrôle total

DL NWTraders Accounting Personnel Full Control

Contrôle total D:\Public\Accounting


DL NWTraders HR Personnel Full Control

Contrôle total D:\Public\HR


! Tester les autorisations NTFS 1. Ouvrez une session en tant que HRUser avec le mot de passe P@ssw0rd. 2. Essayez d'accéder à \\NomOrdinateur\Public\Accounting.

Vous ne devriez pas pouvoir accéder à ce dossier. Si vous parvenez à accéder au dossier, vérifiez qu'aucune autorisation NTFS n'a été donnée aux utilisateurs authentifiés sur le dossier Accounting.

3. Essayez de vous connecter à D:\Public\Accounting. Vous ne devriez pas pouvoir accéder au dossier. Si vous parvenez à y accéder, vérifiez qu'aucune autorisation NTFS n'a été donnée aux utilisateurs authentifiés sur le dossier Accounting.

4. Connectez-vous à \\NomOrdinateur\Public\HR. Vous devriez pouvoir accéder au dossier HR. Si vous ne pouvez pas accéder au dossier, vérifiez que le groupe DL NWTraders Personnel HR Full Control dispose de l'autorisation Contrôle total sur le dossier HR.

5. Connectez-vous à D:\Public\HR. Vous devriez pouvoir accéder à ce dossier. Si vous ne pouvez pas accéder au dossier, vérifiez que le groupe DL NWTraders HR Personnel Full Control dispose de l'autorisation Contrôle total NTFS sur le dossier HR.


Leçon : Identification des autorisations effectives


Si vous accordez des autorisations NTFS à un compte d'utilisateur et à un groupe dont l'utilisateur est membre, vous accordez plusieurs autorisations à l'utilisateur. NTFS combine ces autorisations pour générer les autorisations effectives de l'utilisateur selon des règles précises.


! expliquer ce que sont les autorisations effectives sur les fichiers et les dossiers NTFS ;

! identifier les autorisations effectives sur les fichiers et les dossiers NTFS ; ! expliquer les effets des autorisations sur les dossiers partagés et des

autorisations NTFS combinées ; ! identifier les autorisations effectives résultant de la combinaison des

autorisations sur les dossiers partagés et des autorisations NTFS.

Introduction



Description des autorisations effectives sur les fichiers et les dossiers NTFS


Windows Server 2003 fournit un outil qui affiche les autorisations effectives qui sont des autorisations cumulatives basées sur l'appartenance à un groupe. Les informations sont calculées à partir des entrées d'autorisation existantes et sont accessibles en lecture seule.

Les autorisations effectives ont les caractéristiques suivantes :

! Les autorisations cumulatives résultent de la combinaison des plus hautes autorisations NTFS accordées à l'utilisateur et de tous les groupes dont l'utilisateur est membre.

! Les autorisations sur les fichiers NTFS sont prioritaires par rapport aux autorisations sur les dossiers.

! Les refus d'autorisations remplacent toutes les autorisations. ! Chaque objet est la propriété d'un volume NTFS ou Active Directory.

Le propriétaire contrôle la façon dont les autorisations sont définies sur l'objet et à qui les autorisations sont accordées.

Un administrateur qui doit réparer ou changer les autorisations sur un fichier doit s'approprier ce fichier.

Introduction

Caractéristiques

Important


Dans la famille Windows Server 2003, le propriétaire par défaut est le groupe Administrateurs. Le propriétaire peut toujours changer les autorisations sur un objet, même s'il ne dispose d'aucun accès à l'objet.

L'appartenance peut être prise par :

! Un administrateur. Par défaut, le groupe Administrateurs dispose du droit d'utilisateur Prendre possession des fichiers ou d'autres objets.

! Tout utilisateur ou groupe qui dispose de l'autorisation Appropriation sur l'objet.

! Un utilisateur bénéficiant du privilège Restaurer les fichiers et répertoires.

L'appartenance peut être transférée de différentes manières :

! Le propriétaire actuel peut attribuer l'autorisation Appropriation à un autre utilisateur. L'utilisateur doit prendre effectivement possession de l'objet pour terminer le transfert.

! Un administrateur peut prendre possession de l'objet. ! Un utilisateur qui détient le privilège Restaurer les fichiers et répertoires

peut double-cliquer sur Autres utilisateurs ou groupes et peut affecter la propriété à n'importe quel utilisateur ou groupe.

Les autorisations sur un dossier partagé ne sont pas prises en compte dans le calcul des autorisations effectives. L'accès aux dossiers partagés peut être refusé par les autorisations partagées, même si l'accès est accordé par des autorisations NTFS.

Appartenance

Important


Discussion de cours : Application des autorisations NTFS


Cet exercice présente un scénario dans lequel vous devez appliquer des autorisations. Discutez des solutions possibles avec les autres stagiaires.

L'utilisateur 1 est membre du groupe Utilisateurs et du groupe Ventes.

1. Le groupe Utilisateurs et le groupe Ventes disposent respectivement de l'autorisation d'écriture et de l'autorisation de lecture sur le dossier 1. De quelles autorisations l'utilisateur 1 dispose-t-il ? L'utilisateur 1 dispose des autorisations d'écriture et de lecture sur le dossier 1, parce qu'il est membre du groupe Utilisateurs qui dispose de l'autorisation d'écriture et du groupe Ventes qui dispose de l'autorisation de lecture. ____________________________________________________________

____________________________________________________________

2. Le groupe Utilisateurs dispose de l'autorisation de lecture sur le dossier 1. Le groupe Ventes dispose de l'autorisation d'écriture sur le dossier 2. De quelles autorisations l'utilisateur 1 dispose-t-il sur le fichier 2 ? L'utilisateur 1 dispose de l'autorisation de lecture et d'écriture sur le fichier 2, parce qu'il est membre du groupe Utilisateur, qui dispose de l'autorisation de lecture sur le dossier 1, et du groupe Ventes, qui dispose de l'autorisation d'écriture sur le dossier 2. Le fichier 2 hérite des autorisations des dossiers 2 et 1. ____________________________________________________________

____________________________________________________________

Introduction

Discussion


3. Le groupe Utilisateurs dispose de l'autorisation de modification sur le dossier 1. Le fichier 2 ne devrait être accessible qu'au groupe Ventes qui ne devrait être autorisé qu'à lire ce fichier. Que devez-vous faire pour affecter uniquement l'autorisation de lecture au groupe Ventes sur le fichier 2 ? Empêcher l'héritage des autorisations pour le dossier 2 ou le fichier 2. Supprimez les autorisations sur le dossier 2 ou le fichier 2 qui ont été transmises au dossier 2 par le dossier 1. N'accordez que l'autorisation de lecture au groupe Ventes sur le dossier 2 ou le fichier 2. ____________________________________________________________

____________________________________________________________


Procédure d'identification des autorisations effectives sur les fichiers et les dossiers NTFS


Effectuez la procédure suivante pour afficher les autorisations effectives sur les fichiers et les dossiers.

Pour afficher les autorisations effectives sur les fichiers et les dossiers, procédez comme suit :

1. Dans l'Explorateur Windows, cliquez avec le bouton droit sur le fichier ou dossier dont vous voulez afficher les autorisations effectives, puis cliquez sur Propriétés.


3. Dans la boîte de dialogue Paramètres de sécurité avancé, cliquez sur Sélectionner dans l'onglet Autorisations effectives.

4. Dans la zone Entrez le nom de l'objet à sélectionner de la boîte de dialogue Sélectionnez Utilisateur, Ordinateur ou Groupe, tapez le nom de l'utilisateur ou du groupe, puis cliquez sur OK. Les cases à cocher actives dans la boîte de dialogue Paramètres de sécurité avancé indiquent les autorisations effectives de l'utilisateur ou du groupe sur le fichier ou le dossier.

5. Pour plus d'informations sur les autorisations effectives, consultez l'article

« Effective Permission tool » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/acl_effective_perm.asp.

Introduction

Procédure



Application pratique : Identification des autorisations effectives sur les fichiers et les dossiers NTFS


Dans cette application pratique, vous allez identifier les autorisations effectives NTFS.



Vous ne pouvez pas utiliser la commande Exécuter en tant que avec l'Explorateur Windows. Vous devez donc vous connecter en tant que NomOrdinateurAdmin pour disposer des autorisations nécessaires qui vous permettront de terminer cet exercice.

! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche.

Objectif

Instructions

Remarque


Le chef du service des Ressources Humaines de votre ville vous demande de lui indiquer si son service dispose de l'autorisation de créer des documents dans le dossier \\NomOrdinateur\Public\HR, ainsi que l'autorisation dont dispose l'utilisateur TelemarketingUser sur le dossier HR.

! Déterminer les autorisations effectives du chef de service des Ressources Humaines

1. Accédez au dossier \\NomOrdinateur\Public\HR. 2. Déterminez les autorisations effectives du compte d'utilisateur HRManager. 3. Notez les autorisations les plus élevées accordées à HRManager

Le compte d'utilisateur du chef de service doit disposer de l'autorisation Contrôle total. ____________________________________________________________

____________________________________________________________

! Déterminer les autorisations effectives de l'utilisateur TelemarketingUser

1. Accédez au dossier \\NomOrdinateur\Public\HR. 2. Déterminez les autorisations effectives du compte d'utilisateur

TelemarketingUser. 3. Notez les autorisations les plus élevées de l'utilisateur TelemarketingUser.

Le compte d'utilisateur TelemarketingUser ne doit pas avoir d'autorisations sur le dossier HR. ____________________________________________________________

____________________________________________________________

Scénario



Impact de la combinaison des autorisations de dossier partagé et des autorisations NTFS


Lorsque vous autorisez l'accès aux ressources du réseau sur un volume NTFS, il est recommandé d'utiliser les autorisations NTFS les plus restrictives pour contrôler les accès aux dossiers et aux fichiers, combinées avec les autorisations de dossier partagé les plus restrictives qui contrôlent l'accès au réseau.

Lorsque vous créez un dossier partagé dans une partition NTFS, les autorisations de dossier partagé et NTFS sont combinées pour protéger les fichiers. Les autorisations NTFS s'appliquent lorsque l'accès à la ressource s'effectue localement ou via un réseau.

Lorsque vous accordez des autorisations de dossier partagé sur un volume NTFS, les règles suivantes s'appliquent :

! Des autorisations NTFS sont nécessaires sur les volumes NTFS. Par défaut, le groupe Tout le monde dispose de l'autorisation de lecture.

! Les utilisateurs doivent disposer d'autorisations NTFS sur chaque fichier et sous-dossier d'un dossier partagé, en plus des autorisations de dossier partagé, pour pouvoir accéder à ces ressources.

! Lorsque vous combinez les autorisations NTFS et les autorisations de dossier partagé, l'autorisation résultante correspond à l'autorisation la plus restrictive des autorisations de dossier partagé et des autorisations NTFS combinées.

Introduction

Description des autorisations combinées


Procédure d'identification des autorisations effectives résultant de la combinaison des autorisations de dossier partagé et des autorisations NTFS


Utilisez l'Explorateur Windows pour afficher les autorisations effectives sur les dossiers partagés. Pour déterminer les autorisations effectives, vous devez en premier lieu déterminer les autorisations NTFS maximales et les autorisations de dossier partagé, puis comparer les autorisations.

Pour déterminer les autorisations NTFS maximales d'un utilisateur sur un fichier d'un volume NTFS, procédez comme suit :

1. Dans l'Explorateur de Windows, recherchez le fichier ou le dossier dont vous voulez afficher les autorisations.

2. Cliquez avec le bouton droit sur le fichier ou le dossier, puis sur Propriétés. 3. Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans

l'onglet Sécurité. 4. Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez sur

Sélectionner dans l'onglet Autorisations effectives. 5. Dans le champ Entrez le nom de l'objet à sélectionner de la boîte de

dialogue Sélectionnez Utilisateur, Ordinateur ou Groupe, entrez le nom d'un utilisateur ou d'un groupe, puis cliquez sur OK. Les cases à cocher actives indiquent les autorisations NTFS maximales d'un utilisateur ou d'un groupe sur un fichier ou un dossier.

Introduction

Procédure d'identification des autorisations NTFS maximales


Pour déterminer les autorisations maximales d'un utilisateur sur un dossier partagé, procédez comme suit :

1. Ouvrez la boîte de dialogue Propriétés du dossier partagé. 2. Recherchez les autorisations maximales dont dispose l'utilisateur sur le

dossier partagé en déterminant à quel groupe l'utilisateur appartient.

Pour déterminer les autorisations effectives sur un dossier partagé, procédez comme suit :

1. Comparez les autorisations NTFS maximales avec les autorisations maximales de dossier partagé.

2. L'autorisation la plus restrictive de l'utilisateur entre l'autorisation NTFS maximales et les autorisations de dossier partagé est l'autorisation effective.

Procédure d'identification des autorisations maximales sur un dossier partagé

Procédure d'identification des autorisations effectives


Application pratique : Identification des autorisations NTFS et de dossier partagé effectives


Dans cette application pratique, vous allez identifier les autorisations NTFS et de dossier partagé effectives.

Le graphique de cette page représente deux dossiers partagés qui contiennent des dossiers ou des fichiers auxquels ont été affectées des autorisations NTFS. Observez chaque exemple et déterminez les autorisations effectives d'un utilisateur.

1. Dans le premier exemple, le dossier Utilisateurs est partagé et le groupe Utilisateurs dispose de l'autorisation Contrôle total sur ce dossier. L'utilisateur 1, l'utilisateur 2 et l'utilisateur 3 disposent de l'autorisation NTFS de contrôle uniquement sur leur dossier. Ces utilisateurs sont tous membres du groupe Utilisateurs. Les membres du groupe Utilisateurs disposent-ils de l'autorisation Contrôle total sur tous les dossiers de base du dossier Utilisateurs dès qu'ils se connectent au dossier partagé Utilisateurs ? Non, parce que cette autorisation est accordée seulement à l'utilisateur individuel sur son dossier de base. Donc, seul l'utilisateur individuel détient l'autorisation Contrôle total sur son dossier de base. ____________________________________________________________

____________________________________________________________

Objectif

Discussion de classe


2. Dans le second exemple, le dossier Données est partagé. Le groupe Ventes dispose de l'autorisation de lecture sur ce dossier et de l'autorisation NTFS Contrôle complet sur le dossier Vente. Quelles sont les autorisations effectives du groupe Ventes lorsqu'il accède au dossier Ventes en se connectant au dossier partagé Données ? Il dispose de l'autorisation de lecture car lorsque les autorisations de dossier partagé sont combinées aux autorisations NTFS, c'est l'autorisation la plus restrictive qui s'applique. ____________________________________________________________

____________________________________________________________


Leçon : Administration des accès aux dossiers partagés en utilisant la mise en cache hors connexion


Dans cette leçon, vous allez acquérir les connaissances et les compétences nécessaires à l'administration des accès aux fichiers partagés en utilisant la mise en cache hors connexion.


! expliquer ce que sont les fichiers hors connexion ; ! expliquer comment les fichiers hors connexion sont

Module 4 : Administration des accŁs aux ressources...autorisations sur les dossiers partagØs, des...

Documents

Transcript of Module 4 : Administration des accŁs aux ressources...autorisations sur les dossiers partagØs, des...