Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows

Dernière Mise à jour le

Lorsque vous devez partager un fichier, vous pouvez régler les autorisations.
Cela permet d’autoriser ou interdire l’accès à des fichiers ou dossiers spécifiques au sein d’un partage réseau.
On peut faire cela au niveau du partage ou sur les autorisations NTFS (ACL).
Ces derniers peuvent aussi être utilisées sur les disques locaux pour régler les autorisations au sein des comptes utilisateurs Windows.

Cet article résume le fonctionnement des autorisations NTFS (ACL) et partage sur Windows.
Comment définir les autorisations au seins des partages réseaux de Windows.
Comment autoriser ou interdire l’accès à un partage réseau, dossiers ou fichiers sur Windows.

Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows

Introduction

NTFS est devenu le système de fichiers par défaut depuis Windows 2000.
Ce système de fichiers met en place, par rapport à son ancêtre FAT, une journalisation du système de fichiers mais surtout permet de gérer des autorisations aux fichiers, ou encore compresser les dossiers.

Avec ces derniers vous définissez les accès aux fichiers ou dossiers pour chaque compte utilisateurs ou groupe utilisateurs.

Il existe donc les autorisations et permissions :

  • Sur le partage réseau : L’utilisateur peut il accéder ou modifier le contenu du partage réseau.
  • Dans les dossiers ou fichiers « Droit NTFS » ou ACL : les autorisations sur le dossier ou fichier.

Partager un dossier

Le partage d’une ressource permet de donner accès à cette ressource par le réseau.
Vous pouvez partager une imprimante, un dossier, un disque etc..
Concrètement, lorsque vous partagez un dossier, ce dernier peut-être accessible depuis n’importe quel ordinateur du réseau.
Enfin on définit des autorisations sur les partages réseaux pour limiter l’accès à certains utilisateurs.

Toutes les opérations pour créer des partages de dossiers sur Windows est décrit sur la page suivant : Comment partager un dossier entre ordinateur Windows 

Si vous désirez partager un dossier :

  • Faites un clic droit sur le dossier en question
  • Sélectionnez l’onglet propriétés sur le dossier
  • Cliquez sur l’onglet Partage
  • Vous avez alors le bouton Partager qui permet de créer un partage et modifier les autorisations.

Vous ne pouvez pas choisir le nom du partage.

Partage_fichiers_dossiers
Partage_avances_fichiers_dossiers

Enfin le bouton Partage avancé permet de donner le nom du Partage et des autorisations avancées sur ce Partage.

  • Le contrôle Total permet de modifier la configuration du Partage.
  • Lecture/Modifier permet de modifier les fichiers du partage (selon les permissions NTFS – voir paragraphe suivant).

L’article suivant détaille le partage de dossier entre ordinateur sur Windows.

Accéder aux aux partages réseau

Les partages sont accessibles depuis l’onglet Réseau ou directement avec l’UNC : \\nomDeLordinateurOuAdresseIP\nomDuPartage

Exemple ci-dessous \\WIN-C98ULFR9QGO\FRST

Windows_partage_dossier

Les Autorisations sur les dossiers/fichiers ou partage

En plus des autorisations sur le partage, Windows permet d’affiner les permissions sur les fichiers ou dossiers.
Cela à travers les ACL.
Ainsi on peut définir des autorisations pour un compte utilisateur ou un groupe d’utilisateur.

Ces autorisations permettent d’interdire l’accès à certains fichiers ou dossiers à un utilisateur.
Dans un environnement monoposte, vous pouvez donc empêcher à un utilisateur d’accéder à l’un de vos répertoires.
Mais cela est vraiment intéressant dans le cas d’un réseau surtout pour les serveurs de fichiers. Il vous est alors possible d’interdire l’accès à certains fichiers à des utilisateurs sur vos partages réseaux.

Voici les autorisations possibles :

Type d’autorisation Tâches autorisées
LectureVous pouvez lire le fichier, son contenu et ses attributs via clic/droit propriétés
ÉcritureLe compte utilisateur peut écrire dans le fichier dans le cas d’un fichier texte/modifier ses attributs, afficher ses autorisations et son propriétaires.
Lecture et exécutionVous pouvez effectuer toutes les actions permises par l’autorisation Lecture et exécuter des applications.
ModificationL’utilisateur effectue toutes les actions permises par les autorisations Écriture, Lecture et exécution, modifier le contenu du fichier et supprimer ce dernier
Contrôle totalVous pouvez effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, et devenir propriétaire du fichier

Lorsque l’utilisateur n’a pas l’autorisation en lecture, il obtient alors le message accès refusé lors de l’accès à un dossier.
Ainsi même au sein d’un ordinateur monoposte, on utilise ces autorisations pour interdire l’accès à des dossiers spécifiques.
Plus d’informations :

Définir les autorisation du partage réseau

Voici comment modifier ou définir les autorisations d’un partage réseau sur Windows.

  • Faites un clic droit sur le dossier
  • Puis Partages
  • Ensuite cliquez sur partage avancé
  • En bas cliquez sur Autorisations
  • Enfin vous arrivez sur la page des autorisations du partage
Définir les autorisation du partage réseau

On trouve alors en liste les groupes utilisateurs ou compte utilisateur.
Lorsque vous cliquez dessus, les autorisations en bas apparaissent.
On retrouve celle du tableau précédent.
Enfin la colonne Autoriser ou Refuser permet de définir les autorisations.

Pour autoriser un nouvel utilisateur ou groupe, cliquez sur ajouter.
Saisissez le nom puis cliquez sur Ajouter.
Enfin définissez les autorisations.

Modifier les permissions sur un dossier

Pour pouvoir modifier les permissions d’un dossier :

  • Faites un clic droit sur le dossier
  • Puis Propriétés
  • Cliquez sur l’onglet Sécurité. Vous arrivez alors sur la fenêtre ci-dessous.
  • Dans la partie haute, vous pouvez visualiser la liste des utilisateurs ou groupes qui ont accès à ce fichier ou dossier.
  • En bas les autorisations pour l’utilisateur ou groupe sélectionné.
Windows_partage_permissions_NTFS

Le bouton « Modifier » permet de modifier les permissions.
Vous pouvez alors modifier les permissions sur l’utilisateur/groupe ou ajouter un nouveau groupe/utilisateur à partir du bouton Ajouter ou en Supprimer.

Windows_partage_permissions_NTFS_2

Lorsque vous cliquez sur le bouton Ajouter, vous obtenez la fenêtre ci-dessous, vous devez alors saisir le nom d’utilisateur ou groupe, que vous souhaitez ajouter.

Windows_partage_permissions_NTFS_ajout

Par exemple, si vous saisissez Administrateurs, vous pourrez ajouter le groupe administrateurs.
Si vous tapez, « tout le monde », vous ajoutez le groupe « Tout le monde », n’importe quel utilisateur de n’importe quel ordinateur pourra alors manipuler les fichiers (selon les permissions sur le partage).

Onglet Avancé

  • Le bouton Avancé ouvre les Paramètres de sécurité avancés, vous pouvez à nouveau modifier les permissions de manières beaucoup plus fines.
  • Le bouton en bas « Remplacer toutes les autorisations des objets enfants par des autorisations pouvant être héritées de cet objet » permet de réattribuer toutes les permissions actuelles à tous les fichiers et sous-dossiers.
Windows_partage_permissions_NTFS_4

L’option « Inclure les autorisations pouvant être héritées du parent de cet objet » permet ne plus hérité des permissions du dossier parent.
Ainsi vous dissocier les permissions du dossier du parant afin de lui définir ses propres autorisations.

Onglet Audit

L’onglet Audit permet d’auditer les accès aux fichiers/dossiers.
L’onglet Propriétaires permet de changer le Propriétaires du dossier/fichiers.

Windows_partage_permissions_NTFS_3
Lorsque vous définissez les permissions sur les dossiers & partages, la plus restrictifs des autorisations est appliquées.
Concrètement, si vous donnez à un utilisateur les droits en lecture sur un partage et contrôle total sur tous les fichiers, il ne pourra lire que les  fichiers. Faites donc bien attention lorsque vous définissez les droits.

Modifier les permissions et autorisations en ligne de commande (CACLS)

La commande CACLS permet de modifier les permissions en ligne de commandes.
Cette commande CALCS est disponible depuis Windows Vista.
Notez que vous devez démarrer l’invite de commandes en administrateur :

  • Windows Vista/Seven : Dans le menu Démarrer, tapez invite et sur l’icône de l’invite de commandes clic droit puis ‘exécuté en tant qu’administrateur’
  • Windows 8 / Windows 10 : Clic droit sur le menu Démarrer puis invite de commandes (admin)

Voici quelques exemples d’utilisation de la commande CACLs

Modifier les permissions en lecteure seule pour un fichier

CACLS monfichier.txt /E /G "Utilisateurs":R

Modifier accès complet sur un fichier pour le groupe utilisateurs :

CACLS monfichier.txt /E /G "Utilisateurs":F

Révoquer les permissions sur le groupe Utilisateurs :

CACLS myfile.txt /E /R "Utilisateurs"

Donne l’accès complet aux groupes Utilisateurs à un dossier et tous les sous-dossiers :

CACLS c:\dossier /E /T /C /G "FinanceUsers":F

Exemple pour donner l’accès au dossier System Volume Information pour l’utilisateur Vincent PC :

CACLS "C:\System Volume Information" /E /T /C /G "VincentPC":F

La commande CALCS ne permet de modifier le Propriétaire (owner), pour cela, vous devez utiliser la commande subinacl

"C:\Program Files\Windows Resource Kits\Tools\subinacl.exe" /subdirectories "C:\System Volume Information\" /setowner=VincentPC

Réinitialiser les permissions par un clic droit

Il est possible d’ajouter un menu contextuel qui permet de réinitialiser les permissions de fichiers.
Ceci afin de pouvoir supprimer facilement un dossier qui n’auraient pas les bonnes permissions.

Un menu « Réinitialiser les permissions » est maintenant disponible lors d’un clic droit sur un fichier ou dossier :

Ce menu permet de lancer la commande takeown pour devenir propriétaire des fichiers.

Liens

Quelques liens autour des partages de dossiers, permissions et utilisateurs.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Les autorisations NTFS (ACL) sur les fichiers et partage réseau de Windows mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum
Tags:

Laisser un commentaire

3 Partages
Tweetez
Partagez3
Enregistrer
Partagez