Menu Fermer

Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows

Cette entrée fait partie d'une série de 11 sur 22 dans la série Les partages réseaux sur Windows pour transférer des données sur un réseau local LAN

Lorsque vous devez partager un fichier, vous pouvez régler les autorisations.
Cela permet d’autoriser ou interdire l’accès à des fichiers ou dossiers spécifiques au sein d’un partage réseau.
On peut faire cela au niveau du partage ou sur les autorisations NTFS (ACL).
Ces derniers peuvent aussi être utilisées sur les disques locaux pour régler les autorisations au sein des comptes utilisateurs Windows.

Cet article résume le fonctionnement des autorisations NTFS et partage sur Windows.
Comment définir les autorisations dans les partages réseaux de Windows.
Comment autoriser ou interdire l’accès à un partage réseau, dossiers ou fichiers sur Windows.

Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows

Introduction

NTFS est devenu le système de fichiers par défaut depuis Windows 2000.
Ce système de fichiers met en place, par rapport à son ancêtre FAT, une journalisation du système de fichiers mais surtout permet de gérer des autorisations aux fichiers, ou encore compresser les dossiers.

Avec ces derniers vous définissez les accès aux fichiers ou dossiers pour chaque compte utilisateurs ou groupe utilisateurs.

Il existe donc les autorisations et permissions :

  • Sur le partage réseau : L’utilisateur peut il accéder ou modifier le contenu du partage réseau.
  • Dans les dossiers ou fichiers “Droit NTFS” ou ACL : les autorisations sur le dossier ou fichier.

Les autorisations sur les dossiers/fichiers ou partage

Windows permet d’affiner les permissions sur les fichiers ou dossiers.
Cela à travers les ACL.
Ainsi on peut définir des autorisations pour un compte utilisateur ou un groupe d’utilisateur.

Chaque fichier ou dossier du système de fichiers a un SD spécial (Security Descriptor). Chaque descripteur de sécurité contient deux listes de contrôle d’accès :

L’ACL se compose de nombreuses entrées avec trois champs :

  • SID de l’utilisateur ou du groupe auquel s’applique la règle d’accès
  • Access type – Lire, écrire, exécuter, etc
  • ACE type – Autoriser ou refuser

Concrètement pour l’administrateur, cela se traduit par un onglet Sécurité dans le propriétés d’un dossier ou fichier.
Ce dernier peut gérer les autorisations et permissions pour un utilisateur ou groupes d’utilisateurs :

Windows_partage_permissions_NTFS

Les types de permissions et ACL

Ces autorisations permettent d’interdire l’accès en lecture ou modification à certains fichiers ou dossiers à un utilisateur.
Dans un environnement monoposte, vous pouvez donc empêcher à un utilisateur d’accéder à l’un de vos répertoires.
Mais cela est vraiment intéressant dans le cas d’un réseau surtout pour les serveurs de fichiers. Il vous est alors possible d’interdire l’accès à certains fichiers à des utilisateurs sur vos partages réseaux.

Voici les autorisations possibles :

Type d’autorisation Tâches autorisées
LectureVous pouvez lire le fichier, son contenu et ses attributs via clic/droit propriétés
ÉcritureLe compte utilisateur peut écrire dans le fichier dans le cas d’un fichier texte/modifier ses attributs, afficher ses autorisations et son propriétaires.
Lecture et exécutionVous pouvez effectuer toutes les actions permises par l’autorisation Lecture et exécuter des applications.
ModificationL’utilisateur effectue toutes les actions permises par les autorisations Écriture, Lecture et exécution, modifier le contenu du fichier et supprimer ce dernier
Contrôle totalVous pouvez effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, et devenir propriétaire du fichier
Les types de permissions sur les fichiers et dossiers de Windows

Lorsque l’utilisateur n’a pas l’autorisation en lecture, il obtient alors le message accès refusé lors de l’accès à un dossier.
Ainsi même au sein d’un ordinateur monoposte, on utilise ces autorisations pour interdire l’accès à des dossiers spécifiques.
Plus d’informations :

Modifier les permissions sur un dossier

Pour pouvoir modifier les permissions d’un dossier :

  • Faites un clic droit sur le dossier
  • Puis Propriétés
  • Cliquez sur l’onglet Sécurité
  • Dans la partie haute, vous pouvez visualiser la liste des utilisateurs ou groupes qui ont accès à ce fichier ou dossier
  • En bas les autorisations pour l’utilisateur ou groupe sélectionné
Windows_partage_permissions_NTFS

Le bouton “Modifier” permet de modifier les permissions.
Vous pouvez alors modifier les permissions sur l’utilisateur/groupe ou ajouter un nouveau groupe/utilisateur à partir du bouton Ajouter ou en Supprimer.

Windows_partage_permissions_NTFS_2

Lorsque vous cliquez sur le bouton Ajouter, vous obtenez la fenêtre ci-dessous, vous devez alors saisir le nom d’utilisateur ou groupe, que vous souhaitez ajouter.

Windows_partage_permissions_NTFS_ajout

Par exemple, si vous saisissez Administrateurs, vous pourrez ajouter le groupe administrateurs.
Si vous tapez, “tout le monde”, vous ajoutez le groupe “Tout le monde”, n’importe quel utilisateur de n’importe quel ordinateur pourra alors manipuler les fichiers (selon les permissions sur le partage).

Onglet Avancé

  • Le bouton Avancé ouvre les Paramètres de sécurité avancés, vous pouvez à nouveau modifier les permissions de manières beaucoup plus fines.
  • Le bouton en bas Remplacer toutes les autorisations des objets enfants par des autorisations pouvant être héritées de cet objet permet de réattribuer toutes les permissions actuelles à tous les fichiers et sous-dossiers.
Windows_partage_permissions_NTFS_4

L’option “Inclure les autorisations pouvant être héritées du parent de cet objet” permet ne plus hérité des permissions du dossier parent.
Ainsi vous dissocier les permissions du dossier du parant afin de lui définir ses propres autorisations.

Onglet Audit

L’onglet Audit permet d’auditer les accès aux fichiers/dossiers.
L’onglet Propriétaires permet de changer le Propriétaires du dossier/fichiers.

Windows_partage_permissions_NTFS_3
Lorsque vous définissez les permissions sur les dossiers & partages, la plus restrictifs des autorisations est appliquées.
Concrètement, si vous donnez à un utilisateur les droits en lecture sur un partage et contrôle total sur tous les fichiers, il ne pourra lire que les  fichiers. Faites donc bien attention lorsque vous définissez les droits.

Modifier les permissions et autorisations en ligne de commande (CACLS)

La commande CACLS permet de modifier les permissions en ligne de commandes.
Cette commande CALCS est disponible depuis Windows Vista.
Notez que vous devez démarrer l’invite de commandes en administrateur :

  • Windows Vista/Seven : Dans le menu Démarrer, tapez invite et sur l’icône de l’invite de commandes clic droit puis ‘exécuté en tant qu’administrateur’
  • Windows 8 / Windows 10 : Clic droit sur le menu Démarrer puis invite de commandes (admin)

Voici quelques exemples d’utilisation de la commande CACLs

Modifier les permissions en lecteure seule pour un fichier

CACLS monfichier.txt /E /G "Utilisateurs":R

Modifier accès complet sur un fichier pour le groupe utilisateurs :

CACLS monfichier.txt /E /G "Utilisateurs":F

Révoquer les permissions sur le groupe Utilisateurs :

CACLS myfile.txt /E /R "Utilisateurs"

Donne l’accès complet aux groupes Utilisateurs à un dossier et tous les sous-dossiers :

CACLS c:\dossier /E /T /C /G "FinanceUsers":F

Exemple pour donner l’accès au dossier System Volume Information pour l’utilisateur Vincent PC :

CACLS "C:\System Volume Information" /E /T /C /G "VincentPC":F

La commande CALCS ne permet de modifier le Propriétaire (owner), pour cela, vous devez utiliser la commande subinacl

"C:\Program Files\Windows Resource Kits\Tools\subinacl.exe" /subdirectories "C:\System Volume Information\" /setowner=VincentPC

La commande CALCS est remplacé sur les versions récentes de Windows par ICALCS :

Réinitialiser les permissions de fichiers par un clic droit

Il est possible d’ajouter un menu contextuel qui permet de réinitialiser les permissions de fichiers.
Ceci afin de pouvoir supprimer facilement un dossier qui n’auraient pas les bonnes permissions.

Un menu “Réinitialiser les permissions” est maintenant disponible lors d’un clic droit sur un fichier ou dossier :

Ce menu permet de lancer la commande takeown pour devenir propriétaire des fichiers.

Comment modifier les autorisations d’un partage de dossier Windows

Le tutoriel suivant détaille le partage de dossier entre ordinateur sur Windows.

Voici comment modifier ou définir les autorisations d’un partage réseau sur Windows.

  • Faites un clic droit sur le dossier
  • Puis Partages
  • Ensuite cliquez sur partage avancé
  • En bas cliquez sur Autorisations
  • Enfin vous arrivez sur la page des autorisations du partage
Définir les autorisation du partage réseau

Pour autoriser un nouvel utilisateur ou groupe d’utilisateurs :

  • Saisissez le nom puis cliquez sur Ajouter.
  • Enfin définissez les autorisations.

Enfin le bouton Partage avancé permet de donner le nom du Partage et des autorisations avancées sur ce Partage.

  • Le contrôle Total permet de modifier la configuration du Partage.
  • Lecture/Modifier permet de modifier les fichiers du partage (selon les permissions NTFS – voir paragraphe suivant).
Naviguer dans la série<< net share : gérer les partages réseau en invite de commandes sur WindowsComment connecter/mapper un lecteur réseau sur Windows 10, 11, 7 >>