Outils pour utilisateurs

Outils du site


windows:acl

NTFS : Windows filesystem

  • NTFS : New Technology File System

Autorisation NTFS

NTFS est un système de fichiers disponible sous Windows Server 2008. Il contrôle l’accès aux fichiers et aux dossiers dont les utilisateurs disposent quand ils accèdent à ceux-ci sur l’ordinateur où ils sont stockés ou via le réseau sur un dossier partagé.

Les autorisations NTFS désignent les utilisateurs, les groupes et les ordinateurs habilités à accéder aux fichiers et dossiers. Elles dictent également ce que les utilisateurs, les groupes et les ordinateurs peuvent faire du contenu des fichiers ou dossiers.

NTFS autorisationNTFS Autorisation spéciale













Les autorisations spéciales permettent de contrôler plus précisément les autorisations d’accès aux objets.

Héritage NTFS

Par défaut, les autorisations que vous octroyez à un dossier parent sont hérités par ses sous-dossiers et fichiers. Windows Server 2008 attribue automatiquement des autorisations NTFS par défaut lors de la création de fichiers et de dossiers et lors du formatage d’une partition NTFS. Les autorisations héritées sont indiquées par des cases à cocher d’autorisation grisées dans l’onglet Sécurité de la fenêtre des propriétés de l’objet.

NTFS Héritage

Vous pouvez empêcher les sous-dossiers et les fichiers d’hériter des autorisations relatives au dossier parent. Quand vous empêchez l’héritage des autorisations, vous pouvez :

  • copier les autorisations héritées à partir du dossier parent ;
  • supprimer les autorisations héritées et conserver uniquement celles qui ont été attribuées de manière explicite.

Le dossier sur lequel vous empêchez l’héritage des autorisations devient le nouveau dossier parent, et les sous-dossiers et fichiers qu’il contient héritent des autorisations qui lui sont affectées. Les autorisations ne peuvent être héritées que d’un parent direct.

Copie et déplacement sur NTFS

Lorsque vous copiez ou déplacez un fichier ou un dossier, il se peut que les autorisations changent en fonction de la destination du fichier ou du dossier. Vous devez avoir conscience des modifications que subissent les autorisations lorsqu’elles sont copiées ou déplacées.

NTFS deplacement & copie

Copie de fichier

Lorsque vous copiez un fichier ou un dossier d’un dossier vers un autre, ou d’une partition vers une autre, les autorisations associées peuvent changer. Lorsque vous copiez un fichier ou un dossier :

  • dans une partition NTFS unique, la copie du dossier ou du fichier hérite des autorisations du dossier de destination ;
  • dans une partition NTFS différente, la copie du dossier ou du fichier hérite des autorisations du dossier de destination ;
  • dans une partition non-NTFS, telle qu’une partition de table d’allocation des fichiers (FAT), la copie du dossier ou du fichier perd ses autorisations NTFS, car les partitions non-NTFS ne prennent pas en charge les partitions NTFS.

Déplacement de fichiers

Lorsque vous déplacez un fichier ou un dossier, les autorisations peuvent changer en fonction des autorisations du dossier de destination. Lorsque vous déplacez un fichier ou un dossier :

  • dans une partition NTFS, le dossier ou le fichier conserve ses autorisations d’origine. Si les autorisations du nouveau dossier parent sont par la suite modifiées, le fichier ou le dossier hérite des nouvelles autorisations. Les autorisations appliquées explicitement au dossier sont conservées. Les autorisations héritées antérieurement sont perdues ;
  • dans une partition NTFS différente, le dossier ou le fichier hérite des autorisations du dossier de destination. Lorsque vous déplacez un dossier ou un fichier entre différentes partitions, Windows Server 2008 copie le dossier ou le fichier au nouvel emplacement et le supprime de l’ancien ;
  • dans une partition non-NTFS, le dossier ou le fichier perd ses autorisations NTFS, car les partitions non-NTFS ne prennent pas en charge les partitions NTFS.

Fonctionnement du contrôle d'accès

  • ACE : Entrées de contrôle d'accès
  • DACL : Liste de contrôle d'accès discrétionnaire (liste d'ACL)
  • ACL : Liste de controle d'accès (Liste d'ACE)
  • SACL : Liste de contrôle d'accès système (contient les paramètres d'audit)

Tous les objets des services de domaine Active Directory et tous les objets sécurisables résidant sur un ordinateur local ou sur le réseau se voient attribuer des descripteurs de sécurité destinés à faciliter le contrôle d’accès aux objets. Les descripteurs de sécurité contiennent des informations sur le propriétaire d’un objet, sur les personnes habilitées à y accéder et selon quel mode, et sur les types d’accès qui sont vérifiés.

Windows ACL

Les descripteurs de sécurité contiennent deux types de listes de contrôle d’accès, discrétionnaire et système :

Listes de contrôle d’accès discrétionnaires (DACL). Les DACL contiennent des listes d’utilisateurs et de groupes qui ont accès à n’importe quelle ressource AD DS donnée. Chaque ressource est associée à une liste DACL. Seul le propriétaire d’un objet ou une personne munie des autorisations requises peut modifier les autorisations octroyées ou refusées dans une liste DACL. Une entrée dans la liste DACL qui octroie des autorisations à un utilisateur ou un groupe est appelée entrée de contrôle d’accès (ACE). Chaque ACE spécifie un SID, des autorisations spéciales, des informations d’héritage et une autorisation Autoriser ou Refuser.

Listes de contrôle d’accès système (SACL). Les listes SACL font partie du descripteur de sécurité d’un objet qui indique les événements audités par utilisateur ou groupe. Les événements d’audit sont, par exemple, l’accès aux fichiers, les tentatives de connexion et les arrêts système.

Bonne pratique


  • Les autorisations sont à affecter au groupe plutôt qu'aux utilisateurs.
  • Le droit “REFUSER” est prioritaire sur “AUTORISER”
  • Les autorisations explicites remplacent les autorisations héritées.
  • Les autorisations explicites “AUTORISER” remplacent les “REFUSER” héritées.

Commande dsacls.exe

  • Visualiser les autorisations d'un objet :

dsacls.exe "OU=User Accounts,DC=contoso,DC=com"

  • Rétablir les autorisations par défaut :

dsacls "OU=User Accounts,DC=contoso,DC=com" /s /t

windows/acl.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page