Chapitre 3 Administration des accès aux ressources Module S42 Chapitre 3 Administration des accès aux ressources
Plan du cours Vue d'ensemble de l'administration des accès aux ressources Administration des accès aux dossiers partagés Administration des accès aux fichiers et aux dossiers en utilisant des autorisations NTFS Identification des autorisations effectives Administration des accès aux dossiers partagés en utilisant la mise en cache hors connexion
1. Vue d'ensemble de l'administration des accès aux ressources Contrôle d'accès dans Microsoft Windows Server 2003 Description des autorisations Description des autorisations standard et spéciales États des autorisations
Contrôle d'accès dans Microsoft Windows Server 2003 Les entités de sécurité : Peuvent être un compte utilisateur, d’ordinateur ou un groupe. Ils permettent d’affecter l’accès à un objet Le SID : Toutes les entités de sécurité sont identifiées par un numéro unique appelé SID. Il est lié à la vie de l’objet DACL - Discretionary Access Control List: Associées à chaque objet sur lequel on va définir un contrôle d’accès. Ils sont composés d’ACE (Access Control Entry) qui définissent les accès à l’objet: Informations sur l’accès (Lecture, Ecriture, …) SID de l’entité Les informations d’héritage. L’indicateur de type d’ACE (Autoriser ou refuser).
Description des autorisations C’est quoi? C’est le type d'accès accordé à un utilisateur, un groupe ou un ordinateur sur un objet Sur Quoi? Sur des objets tels que les fichiers, les dossiers, les fichiers partagés et les imprimantes A qui? aux utilisateurs et aux groupes dans Active Directory ou sur un ordinateur local
Description des autorisations standard et spéciales Autorisations spéciales Actions de base Actions plus précises
2. Administration des accès aux dossiers partagés Description des dossiers partagés Description des dossiers d'administration partagés Qui peut accéder aux dossiers partagés ? Procédure de création d'un dossier partagé Description des dossiers partagés publiés Procédure de publication d'un dossier partagé Autorisations sur les dossiers partagés Procédure de connexion à un dossier partagé
Description des dossiers partagés Copier un dossier partagé Le dossier partagé d'origine est toujours partagé, mais pas sa copie Déplacer un dossier partagé Le dossier n'est plus partagé Cacher un dossier partagé Mettez un $ à la fin du nom du dossier partagé Les utilisateurs peuvent accéder à un dossier partagé caché en tapant son UNC, par exemple \\serveur\secrets$
Description des dossiers d'administration partagés
Qui peut créer des dossiers partagés ? Contrôleur de domaine Windows Server 2003 Groupe Administrateurs Groupe Opérateurs de serveur Serveur membre ou serveur autonome qui exécute Windows Server 2003 Groupe Utilisateurs avec pouvoir
Procédure de création d'un dossier partagé Créer un dossier partagé avec net share net share NomDossierPartagé=Unité:Chemin NomDossierPartagé=Unité:Chemin C’est le nom de réseau du dossier partagé et de son chemin absolu.
Description des dossiers partagés publiés Un dossier partagé publié est un objet Dossier partagé dans Active Directory Les clients peuvent rechercher dans Active Directory les dossiers partagés qui sont publiés Les clients n'ont pas besoin de connaître le nom du serveur pour se connecter à un dossier partagé
Procédure de publication d'un dossier partagé
Autorisations sur les dossiers partagés Action Lecture (par défaut, appliqué au groupe Tout le monde) Afficher les données des fichiers et les attributs Afficher les noms des fichiers et des sous-dossiers Exécuter des programmes Modification (inclut toutes les autorisations de lecture) Ajouter des fichiers et des sous-dossiers Modifier les données des fichiers Supprimer des sous-dossiers et des fichiers Contrôle total Inclut toutes les autorisations de lecture et de modification Permet de modifier les autorisations NTFS sur les fichiers et dossiers
Procédure de connexion à un dossier partagé
Autorisations sur les fichiers et les dossiers NTFS 3. Administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS Description de NTFS Autorisations sur les fichiers et les dossiers NTFS Impact des autorisations NTFS sur la copie et le déplacement des fichiers et des dossiers Description des autorisations d'héritage NTFS Procédure de copie et d'annulation des autorisations héritées Recommandations relatives à l'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS Procédure d'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS
Description de NTFS Fiabilité : En cas de secteur défectueux, NTFS reconfigure dynamiquement le cluster du secteur et alloue un nouveau cluster aux données. NTFS marque aussi ce cluster comme étant inutilisable. Sécurité au niveau des fichiers et des dossiers: NTFS utilisent le système de cryptage de fichiers EFS Permet de définir des autorisations d’accès Administration améliorée de la croissance du stockage: NTFS prend en charge les quotas de disque NTFS prend en charge des fichiers plus volumineux Autorisations utilisateur multiples
Autorisations sur les fichiers et les dossiers NTFS Autorisations sur les dossiers Contrôle total Modification Lecture et exécution Écriture Lecture Contrôle total Modification Lecture et exécution Écriture Lecture Affichage du contenu du dossier
Impact des autorisations NTFS sur la copie et le déplacement des fichiers et des dossiers Copier Partition NTFS E:\ Partition NTFS C:\ Copier ou Déplacer Déplacer Partition NTFS D:\ Lorsque vous copiez des fichiers et des dossiers, ils héritent des autorisations du dossier de destination Lorsque vous déplacez des fichiers et des dossiers dans la même partition, ils conservent leurs autorisations Lorsque vous déplacez des fichiers et des dossiers dans une autre partition, ils héritent des autorisations du dossier de destination
Description des autorisations d'héritage NTFS Héritage des autorisations Lecture/écriture DossierA DossierB Accès à DossierB Blocage de l'héritage DossierA Lecture/écriture DossierB Accès à DossierB interdit DossierC
Groupez les ressources pour simplifier l'administration Recommandations relatives à l'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS Accordez des autorisations aux groupes de domaine local plutôt qu'aux utilisateurs Groupez les ressources pour simplifier l'administration N'accordez aux utilisateurs que le niveau d'accès dont ils ont besoin Accordez l'autorisation de lecture et d'exécution sur les dossiers des applications Accordez l'autorisation de lecture, d'exécution et d'écriture sur les dossiers de données
Procédure d'administration des accès aux fichiers et aux dossiers en utilisant les autorisations NTFS
4. Identification des autorisations effectives Description des autorisations effectives sur les fichiers et les dossiers NTFS Procédure d'identification des autorisations effectives sur les fichiers et les dossiers NTFS Impact de la combinaison des autorisations de dossier partagé et des autorisations NTFS Procédure d'identification des autorisations effectives résultant de la combinaison des autorisations de dossier partagé et des autorisations NTFS
Description des autorisations effectives sur les fichiers et les dossiers NTFS Les autorisations sont cumulables Les autorisations sur les fichiers NTFS sont prioritaires par rapport aux autorisations sur les dossiers. L'option Refuser remplace toutes les autorisations Option Prendre possession Un administrateur Tout utilisateur ou groupe qui dispose de l’autorisation Appropriation sur l’objet Un utilisateur bénéficiant du privilège Restaurer les fichiers et répertoires
Application des autorisations NTFS Groupe Utilisateurs Écriture pour Dossier1 Groupe Ventes Lecture pour Dossier1 1 Partition NTFS Fichier2 Dossier1 Dossier2 Fichier1 Groupe Utilisateurs Groupe Utilisateurs Lecture pour Dossier1 Groupe Ventes Écriture pour Dossier2 2 Utilisateur1 Groupe Utilisateurs Modifier pour Dossier1 Dossier2 doit être accessible au groupe Ventes uniquement et avec l'autorisation Lecture uniquement 3 Groupe Ventes
Impact de la combinaison des autorisations de dossier partagé et des autorisations NTFS Public CT Volume NTFS Groupe Utilisateurs Lecture Lorsque vous combinez les autorisations NTFS et les autorisations de dossier partagé, l’autorisation résultante correspond à l’autorisation la plus restrictive des autorisations de dossier partagé et des autorisations NTFS combinées. Fichier1 Modification Fichier2
Application pratique : Identification des autorisations NTFS et de dossier partagé effectives Volume NTFS Groupe Utilisateurs CT Utilisateur 3 2 1 Les membres du groupe Utilisateurs disposent-ils de l’autorisation Contrôle total sur tous les dossiers de base du dossier Utilisateurs dès qu’ils se connectent au dossier partagé Utilisateurs ? Non, parce que cette autorisation est accordée seulement à l’utilisateur individuel sur son dossier de base. Donc, seul l’utilisateur individuel détient l’autorisation Contrôle total sur son dossier de base.
Application pratique : Identification des autorisations NTFS et de dossier partagé effectives Volume NTFS Données Groupe Ventes R Pubs HR Ventes CT 2 Quelles sont les autorisations effectives du groupe Ventes lorsqu’il accède au dossier Ventes en se connectant au dossier partagé Données ? Il dispose de l’autorisation de lecture car lorsque les autorisations de dossier partagé sont combinées aux autorisations NTFS, c’est l’autorisation la plus restrictive qui s’applique.
Description des fichiers hors connexion 5. Administration des accès aux dossiers partagés en utilisant la mise en cache hors connexion Description des fichiers hors connexion Procédure de synchronisation des fichiers hors connexion
Description des fichiers hors connexion Les fichiers hors connexion sont une fonction d'administration des documents qui permet à l'utilisateur d'accéder de manière cohérente aux fichiers en ligne et hors connexion Avantages de l'utilisation des fichiers hors connexion : Prise en change des utilisateurs itinérants Synchronisation automatique Avantages en termes de performances Avantages de sauvegarde
Procédure de synchronisation des fichiers hors connexion Déconnectés du réseau Windows Server 2003 synchronise les fichiers réseau avec une copie localement mise en cache des fichiers L'utilisateur travaille avec la copie en cache local Connectés au réseau Windows Server 2003 synchronise les fichiers hors connexion que l'utilisateur a modifiés avec la version des fichiers sur le réseau Si un fichier a été modifié dans les deux emplacements L'utilisateur est invité à choisir la version du fichier à conserver ou à renommer le fichier pour conserver les deux versions
Modification + Lecture Groupe Recherche et Développement Exercices Groupe Marketing A.NTFS: Modification Autorisation NTFS = Modification + Lecture Modification Fichier.doc Ahmed A. NTFS: Lecture Groupe Recherche et Développement
Exercices Autorisation NTFS = Modification + Lecture Modification Groupe Marketing A. héritée: Refuser en lecture Autorisation héritée = R. lecture + Modification Refus en lecture A. NTFS: Modification A. NTFS: Lecture Fichier.doc Mona Groupe Recherche et Développement Autorisation effective = Modification A. héritée: Modification Groupe Vente
Exercices Fichier.doc Hicham Autorisation effective = Refuser en CT Autorisation NTFS = Modification + Lecture + R. en CT Refuser en CT Groupe Marketing A. héritée: Refuser en lecture Autorisation héritée = R. lecture + Ecriture R. Lecture A. NTFS: Lecture G. Recherche et Développement A. NTFS: Modification A. NTFS: Refuser en CT Fichier.doc Autorisation effective = Refuser en CT Hicham A. héritée: Ecriture Groupe Vente G. Support informatique
Exercices Fichier.doc Hicham Autorisation effective = Autorisation NTFS = Modification + Ecriture + CT CT Groupe Marketing Autorisation partage = Modification A. NTFS: CT G. Recherche et Développement A. NTFS: Modification A. NTFS: Ecriture Fichier.doc Autorisation effective = CT + Modification Modification Hicham A. partage: Modification G. Support informatique Utilisateurs authentifiés