Implementing File Sharing Permissions should be with care to provide access to a piece of content.
Des autorisations de partage de fichiers arbitraires peuvent vous empêcher d’accéder à un fichier ou à un dossier, ou inversement, et même créer des vulnérabilités.
Sous Windows, vous n’avez pas à vous préoccuper des autorisations car elles sont déjà définies par le système d’exploitation. Chaque utilisateur a son profil et son propre ensemble de permissions, ce qui empêche l’accès non autorisé aux fichiers et aux dossiers.
Les autorisations de partage de fichiers et les autorisations NTFS ont le même objectif dans un environnement Windows, à savoir vous aider à empêcher l’accès non autorisé à vos dossiers importants. Toutefois, certaines différences importantes entre ces deux types de permissions détermineront celle que vous utiliserez.
Permissions NTFS
NTFS (New Technology File System) est un système de fichiers standard pour Microsoft Windows NT et les systèmes d’exploitation ultérieurs. Les autorisations NTFS sont utilisées pour gérer l’accès aux fichiers et aux dossiers stockés sur un volume avec le format de système de fichiers NTFS.
Par défaut, il hérite des autorisations du dossier racine pour les fichiers et les sous-dossiers qu’il contient, mais cet héritage peut être désactivé.
Le principal avantage des autorisations NTFS est qu’elles concernent à la fois les utilisateurs locaux et les utilisateurs distants.
Permissions de type NTFS
| Autorisation | Accès autorisé |
| Read | Les utilisateurs ou les groupes peuvent lire le fichier et visualiser les attributs, la propriété et les autorisations attribuées. |
| Write | Les utilisateurs ou les groupes peuvent ajouter et écrire des fichiers, modifier leurs attributs, voir leur propriété et les paramètres d’autorisation. |
| Read & Execute | Les utilisateurs ou les groupes peuvent exécuter des fichiers exécutables, y compris des scripts. En outre, l’utilisateur peut effectuer toutes les tâches autorisées par le droit de lecture. |
| Modify | L’utilisateur ou le groupe peut modifier et supprimer le fichier, y compris effectuer toutes les actions autorisées par les droits de lecture, d’écriture et de lecture et d’exécution. |
| Full Control | Un utilisateur ou un groupe peut modifier les autorisations attribuées à un fichier, en prendre possession et effectuer les actions autorisées par toutes les autres autorisations de fichiers NTFS. |
Share Permissions
Les autorisations de partage vous permettent de contrôler qui accède au dossier sur le réseau (elles ne s’appliquent pas aux utilisateurs qui y accèdent localement).
Vous ne pouvez pas contrôler l’accès aux sous-dossiers ou aux objets individuels d’un partage. Les autorisations de partage s’appliquent à tous les fichiers et dossiers qu’il contient.
Vous pouvez spécifier le nombre d’utilisateurs autorisés à accéder à un dossier partagé. Les autorisations de partage peuvent être utilisées avec les systèmes de fichiers NTFS, FAT et FAT32.
Share Types permissions
| Autorisation | Accès autorisé |
| Read | Les utilisateurs peuvent lire le contenu des fichiers et des dossiers, ainsi qu’exécuter des programmes. Le groupe « Ev@e@ry@o@n@e@ » bénéficie par défaut de l’autorisation « R@e@@a@d ». |
| Write | Les utilisateurs peuvent lire des fichiers, ainsi qu’ajouter, modifier et supprimer des fichiers et des dossiers. |
| Full Control | Les utilisateurs peuvent créer, lire, mettre à jour et supprimer des fichiers et des dossiers dans les répertoires, ainsi que des fichiers et des dossiers NTFS. Par défaut, le groupe « Adm@i@n@i@str@a@t@o@rs » bénéficie de l’autorisation « F@u@ll C@o@ntr@o@l ». |
Autres articles intéressants
Combinaison des autorisations NTFS et des autorisations de partage
Vous pouvez combiner les autorisations NTFS et les autorisations de partage pour définir l’accès à un fichier ou à un dossier.
Les lignes directrices pour définir le niveau d’accès de l’utilisateur à un fichier ou à un dossier sont les suivantes :
- Accès local, seules les autorisations NTFS sont utilisées pour déterminer le niveau d’accès de l’utilisateur.
- L’accès à distance, l’accès via le réseau s’applique aux autorisations NTFS et aux autorisations de partage. Les autorisations les plus restrictives entre les deux détermineront le niveau d’accès. Par exemple, si les autorisations de partage d’un dossier partagé accordent à l’utilisateur l’accès « Read » et que les autorisations NTFS accordent l’accès « Modify », le niveau d’autorisation effectif de l’utilisateur est Lire lorsqu’il accède au dossier partagé à distance (réseau) et Modifier lorsqu’il accède au dossier localement.
- Les autorisations individuelles de l’utilisateur sont combinées de manière additive avec les autorisations du groupe dont l’utilisateur est membre. Si l’utilisateur a accès à un fichier en lecture, mais qu’il est membre d’un groupe qui a accès au même fichier en modification, le niveau d’autorisation effectif de l’utilisateur est Modifier.
- Les autorisations attribuées directement à un fichier ou à un dossier spécifique (autorisations explicites) prendront effet et seront prioritaires sur les autorisations héritées du dossier parent (autorisations héritées).
- L’autorisation Explicit Deny est prioritaire sur l’autorisation Explicit allows, mais en raison de la règle précédente, l’autorisation Explicit allow est prioritaire sur l’autorisation héritée Deny.
Comprendre la différence entre les autorisations NTFS et les autorisations de partage vous permet de les utiliser conjointement pour sécuriser l’accès aux ressources sur site et partagées.