Lorsque vous devez partager un fichier, vous pouvez régler les autorisations.
Cela permet d’autoriser ou interdire l’accès à des fichiers ou dossiers spécifiques au sein d’un partage réseau.
On peut faire cela au niveau du partage ou sur les autorisations NTFS (ACL).
Ces derniers peuvent aussi être utilisés sur les disques locaux pour régler les autorisations au sein des comptes utilisateurs Windows.
Cet article résume le fonctionnement des autorisations NTFS et partage sur Windows.
Comment définir les autorisations dans les partages réseaux de Windows.
Comment autoriser ou interdire l’accès à un partage réseau, dossiers ou fichiers sur Windows.
Table des matières
Introduction
NTFS est devenu le système de fichiers par défaut depuis Windows 2000.
Ce système de fichiers met en place, par rapport à son ancêtre FAT, une journalisation du système de fichiers, mais surtout permet de gérer des autorisations aux fichiers, ou encore compresser les dossiers.
Avec ces derniers, vous définissez les accès aux fichiers ou dossiers pour chaque compte utilisateur ou groupe utilisateurs.
Il existe donc les autorisations et permissions :
- Sur le partage réseau : L’utilisateur peut il accéder ou modifier le contenu du partage réseau.
- Dans les dossiers ou fichiers « Droit NTFS » ou ACL : les autorisations sur le dossier ou fichier.
Les autorisations sur les dossiers/fichiers ou partage
Windows permet d’affiner les permissions sur les fichiers ou dossiers.
Cela à travers les ACL.
Ainsi on peut définir des autorisations pour un compte utilisateur ou un groupe d’utilisateur.
Chaque fichier ou dossier du système de fichiers a un SD spécial (Security Descriptor). Chaque descripteur de sécurité contient deux listes de contrôle d’accès :
- System Access-Control List (SACL) – Géré par Windows et utilisé pour fournir l’audit de l’accès des objets du système de fichiers
- Discretionary Access-Control List (DACL) – contient un ACL (liste de contrôle d’accès) qui définit les autorisations d’accès d’un objet
L’ACL se compose de nombreuses entrées avec trois champs :
- SID de l’utilisateur ou du groupe auquel s’applique la règle d’accès
- Access type – Lire, écrire, exécuter, etc
- ACE type – Autoriser ou refuser
Concrètement, pour l’administrateur, cela se traduit par un onglet Sécurité dans le propriétés d’un dossier ou fichier.
Ce dernier peut gérer les autorisations et permissions pour un utilisateur ou groupes d’utilisateurs :
Les types de permissions et ACL
Ces autorisations permettent d’interdire l’accès en lecture ou modification à certains fichiers ou dossiers à un utilisateur.
Dans un environnement monoposte, vous pouvez donc empêcher à un utilisateur d’accéder à l’un de vos répertoires.
Mais, cela est vraiment intéressant dans le cas d’un réseau, surtout pour les serveurs de fichiers. Il vous est alors possible d’interdire l’accès à certains fichiers à des utilisateurs sur vos partages réseaux.
Voici les autorisations possibles :
| Type d’autorisation | Tâches autorisées |
| Lecture | Vous pouvez lire le fichier, son contenu et ses attributs via clic/droit propriétés |
| Écriture | Le compte utilisateur peut écrire dans le fichier dans le cas d’un fichier texte/modifier ses attributs, afficher ses autorisations et son propriétaire. |
| Lecture et exécution | Vous pouvez effectuer toutes les actions permises par l’autorisation Lecture et exécuter des applications. |
| Modification | L’utilisateur effectue toutes les actions permises par les autorisations Écriture, Lecture et exécution, modifier le contenu du fichier et supprimer ce dernier |
| Contrôle total | Vous pouvez effectuer toutes les actions autorisées par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, et devenir propriétaire du fichier |
Lorsque l’utilisateur n’a pas l’autorisation en lecture, il obtient alors le message accès refusé lors de l’accès à un dossier.
Ainsi, même au sein d’un ordinateur monoposte, on utilise ces autorisations pour interdire l’accès à des dossiers spécifiques.
Plus d’informations :
Modifier les permissions sur un dossier
Pour pouvoir modifier les permissions d’un dossier :
- Faites un clic droit sur le dossier
- Puis Propriétés
- Cliquez sur l’onglet Sécurité
- Dans la partie haute, vous pouvez visualiser la liste des utilisateurs ou groupes qui ont accès à ce fichier ou dossier
- En bas les autorisations pour l’utilisateur ou groupe sélectionné
Le bouton « Modifier » permet de modifier les permissions.
Vous pouvez alors modifier les permissions sur l’utilisateur/groupe ou ajouter un nouveau groupe/utilisateur à partir du bouton Ajouter ou en Supprimer.
Lorsque vous cliquez sur le bouton Ajouter, vous obtenez la fenêtre ci-dessous, vous devez alors saisir le nom d’utilisateur ou groupe, que vous souhaitez ajouter.
Par exemple, si vous saisissez Administrateurs, vous pourrez ajouter le groupe administrateurs.
Si vous tapez, « tout le monde », vous ajoutez le groupe « Tout le monde », n’importe quel utilisateur de n’importe quel ordinateur pourra alors manipuler les fichiers (selon les permissions sur le partage).
Onglet Avancé
- Le bouton Avancé ouvre les Paramètres de sécurité avancés, vous pouvez à nouveau modifier les permissions de manières beaucoup plus fines.
- Le bouton en bas Remplacer toutes les autorisations des objets enfants par des autorisations pouvant être héritées de cet objet permet de réattribuer toutes les permissions actuelles à tous les fichiers et sous-dossiers.
L’option « Inclure les autorisations pouvant être héritées du parent de cet objet » permet ne plus hérité des permissions du dossier parent.
Ainsi vous dissocier les permissions du dossier du parant afin de lui définir ses propres autorisations.
Onglet Audit
L’onglet Audit permet d’auditer les accès aux fichiers/dossiers.
L’onglet Propriétaires permet de changer le Propriétaires du dossier/fichiers.
Concrètement, si vous donnez à un utilisateur les droits en lecture sur un partage et contrôle total sur tous les fichiers, il ne pourra lire que les fichiers. Faites donc bien attention lorsque vous définissez les droits.
Modifier les permissions et autorisations en ligne de commande (CACLS)
La commande CACLS permet de modifier les permissions en ligne de commandes.
Cette commande CALCS est disponible depuis Windows Vista.
Notez que vous devez démarrer l’invite de commandes en administrateur :
- Windows Vista/Seven : Dans le menu Démarrer, tapez invite et sur l’icône de l’invite de commandes clic droit puis ‘exécuté en tant qu’administrateur’
- Windows 8 / Windows 10 : Clic droit sur le menu Démarrer puis invite de commandes (admin)
Voici quelques exemples d’utilisation de la commande CACLs
Modifier les permissions en lecteure seule pour un fichier
CACLS monfichier.txt /E /G "Utilisateurs":RModifier accès complet sur un fichier pour le groupe utilisateurs :
CACLS monfichier.txt /E /G "Utilisateurs":FRévoquer les permissions sur le groupe Utilisateurs :
CACLS myfile.txt /E /R "Utilisateurs"Donne l’accès complet aux groupes Utilisateurs à un dossier et tous les sous-dossiers :
CACLS c:\dossier /E /T /C /G "FinanceUsers":FExemple pour donner l’accès au dossier System Volume Information pour l’utilisateur Vincent PC :
CACLS "C:\System Volume Information" /E /T /C /G "VincentPC":F
La commande CALCS ne permet de modifier le Propriétaire (owner), pour cela, vous devez utiliser la commande subinacl
"C:\Program Files\Windows Resource Kits\Tools\subinacl.exe" /subdirectories "C:\System Volume Information\" /setowner=VincentPCLa commande CALCS est remplacé sur les versions récentes de Windows par ICALCS :
Réinitialiser les permissions de fichiers par un clic droit
Il est possible d’ajouter un menu contextuel qui permet de réinitialiser les permissions de fichiers.
Ceci afin de pouvoir supprimer facilement un dossier qui n’auraient pas les bonnes permissions.
- Télécharger takeown_clic_droit.reg.zip
- Ouvrez le contenu du zip et double-cliquez sur le fichier REG à l’intérieur. Acceptez l’exécution et le contrôle de comptes.
Un menu « Réinitialiser les permissions » est maintenant disponible lors d’un clic droit sur un fichier ou dossier :
Ce menu permet de lancer la commande takeown pour devenir propriétaire des fichiers.
Comment modifier les autorisations d’un partage de dossier Windows
Le tutoriel suivant détaille le partage de dossier entre ordinateur sur Windows.
Voici comment modifier ou définir les autorisations d’un partage réseau sur Windows.
- Faites un clic droit sur le dossier
- Puis Partages
- Ensuite cliquez sur partage avancé
- En bas cliquez sur Autorisations
- Enfin vous arrivez sur la page des autorisations du partage
Pour autoriser un nouvel utilisateur ou groupe d’utilisateurs :
- Saisissez le nom puis cliquez sur Ajouter.
- Enfin définissez les autorisations.
Enfin le bouton Partage avancé permet de donner le nom du Partage et des autorisations avancées sur ce Partage.
- Le contrôle Total permet de modifier la configuration du Partage.
- Lecture/Modifier permet de modifier les fichiers du partage (selon les permissions NTFS – voir paragraphe suivant).
Liens
- Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows
- Accès refusé lors de l’accès à un dossier
- Retirer les autorisations Trustedinstaller
- SetACL – Outils pour modifier les permissions et autorisations
- Comment réinitialiser les permissions sur le disque C
- Le lecteur n’est pas accessible « Accès refusé » dans Windows 11 : 5 solutions
- Comment utiliser ICACLS pour voir et modifier les autorisations de fichiers et dossiers
- Comment partager un dossier entre ordinateur Windows
- La gestion des utilisateurs sur Windows
- Comment supprimer un fichier insupprimable