~~SLIDESHOW~~
====== SI5 - Windows 2003 : Accès aux ressources disque ======
TP 07 - mardi 13 mars et jeudi 15 mars 2012

===== Objectifs =====
    * savoir affecter des autorisations d'accès sur des ressources partagées
    * publier un dossier partagé sur le réseau dans l'annuaire Active Directory
    * Autorisations de sécurité NTFS
    * compression et cryptage des fichiers

===== Prérequis =====
    * nous utiliserons le serveur **srv2003PN** et un client Xp installés lors d'un précédent TP

====== ACCÈS AUX RESSOURCES DISQUE ====
Nous allons voir maintenant comment **affecter des autorisations d'accès** à des utilisateurs et des groupes sur des ressources partagées sur le réseau. L'accès à un répertoire, sous-répertoire et fichier peut être autorisé en lecture seule, accès total, lecture, exécution, suppression, etc. et ce pour un groupe, un utilisateur ou un utilisateur d'un groupe.

===== Sécuriser les ressources disque =====
L'accès au disque dur d'un ordinateur Windows Server 2003 peut être sécurisé de différentes manières. La plus simple mais la moins sûre est d'utiliser **les autorisations de partage** (plus sophistiquées qu'en Workgroup) ; elles protègent l'accès à la ressource par un utilisateur du réseau non autorisé mais n'assurent pas la sécurité locale : l'utilisateur connecté localement (disposant du droit ''ouvrir une session localement'' ) sur cette machine passe outre les autorisations de partage définies.

**Les autorisations NTFS** des partitions NTFS permettent d'assurer une sécurité totale, au niveau du réseau ou de la console du serveur. Cela signifie que les seuls utilisateurs qui peuvent accéder à des fichiers protégés sont ceux qui en ont explicitement obtenu le droit.

//NB : Sur une partition NTFS, vous devrez toujours combiner les deux types d'autorisations sauf si vous ne partagez pas la ressource ; les autorisations NTFS seront alors réservées à un accès local//.

===== Partage d'une ressource =====
Partager un répertoire ou un lecteur (disque, CD-Rom...) est l'unique moyen de proposer des ressources sur un réseau Windows. Cela permet aux utilisateurs reconnus du domaine d'y avoir accès sous réserve d'avoir les autorisations requises.
Rappelons l'organisation des disques que nous avons créé précédemment :

{{:si5_-_w2003:si5..c5_g1.png|}}

Nous allons faire en sorte que les volumes **SYSTEME** et **SWAP** ne soient pas accessibles via le réseau ou en local aux utilisateurs du domaine, seuls les volumes **DONNEES**, **LOGICIELS** et **USERS** le seront.

=== CRÉATION D'UN PARTAGE ===

Pour partager un répertoire, il faut comme nous l'avons précédemment, cliquer avec le bouton droit sur le répertoire ou le lecteur et sélectionner **Partager** ou modifier les **Propriétés** (onglet **Partage**) de ce répertoire.
   * Lancez l'**Explorateur Windows** et cliquez avec le bouton droit sur le volume **DONNEES**    
   * Cliquez **Partager...** puis cliquez le bouton **Nouveau partage**.

Pour arrêter le partage d'un répertoire, il faut sélectionner l'option **Ne pas partager ce dossier**, ou s'il y a plusieurs partages, sélectionner le nom du partage avec le sélecteur puis cliquer le bouton **Supprimer le partage**.
   * Tapez **Données** dans la zone **Nom du partage**, ajoutez éventuellement un commentaire, puis cliquez **OK**.
   * À l'aide de **l'Explorateur Windows**, créez un nouveau dossier appelé **Données Comptables** sur le volume **DONNEES**
 
//NB : Un dossier peut être partagé plusieurs fois avec des noms et des autorisations différents.//

Comme nous vous l'avons recommandé, vous avez installer vos applications réseau dans le volume **Logiciels**, **pensez à le partager comme pour le volume Données**. Nous mettrons ensuite en place les autorisations d'accès NTFS sur ces volumes.

=== CONSEILS PRATIQUES POUR LE PARTAGE DES DOSSIERS ===
   * Utilisez des **noms de partage significatifs**.
   * Utilisez des **noms courts accessibles** à tous les systèmes d'exploitation clients (Windows 200x, NT et 9x : 12 caractères ; MS-DOS et Windows 3.x : format de nom de fichiers 8.3 : ESSAI.REP).
   * **Créez des volumes logiques différents pour chaque type d'information** : une partition système, une partition d'amorçage (éventuellement), une partition pour le fichier d'échange (fortement conseillé), une partition pour les logiciels (simplifie les mises à jour), une partition pour les données (simplifie les sauvegardes).
   * **Organisez les ressources disque** (partitions, dossiers, sous-dossiers...) de façon à ce que les dossiers exigeant les mêmes niveaux de sécurité se trouvent dans une même arborescence (à condition que cela ait du sens).
   * **Créez des raccourcis** (lecteur réseau, favoris) pour les ressources réseau auxquelles les utilisateurs se connecteront souvent.

=== ACCÈS AUX DOSSIERS PARTAGÉS ===
Nous allons décrire plusieurs méthodes pour accéder à un répertoire partagé d'un serveur Windows Server 2003. Vous utiliserez un client XP.

__1 ère méthode : Directement avec les Favoris réseau __ 

   * Lancez **l'Explorateur Windows** (Démarrer/Tous les programmes/Accessoires/Explorateur Windows) puis développez **Favoris réseau**.
   * Développez **Tout le réseau/Réseau Microsoft Windows** puis le domaine **Euromedia**.
   * Double-cliquez sur **Srv2003PN** , l'ordinateur qui partage ses ressources. Les ressources partagées visibles par l'utilisateur connecté, sont affichées, vous pouvez développer le partage désiré.

{{:si5_-_w2003:si5..c5_g2.png|}}

   * Cliquez sur le partage **Données**  pour en lire le contenu.

//NB : Certaines applications n'admettent pas d'être démarrées à partir du voisinage réseau, car elles sont alors incapables de trouver une lettre de lecteur à partir duquel elles s'exécutent. C'est souvent le cas des programmes d'installation//

__2e méthode : En connectant un lecteur réseau__

   * Cliquez avec le bouton droit le **Poste de travail**, puis **Connecter un lecteur réseau...**

{{:si5_-_w2003:si5..c5_g3_0.png|}}

La boîte de dialogue propose une lettre d'unité dans la zone **Lecteur** qui sera utilisée par la suite pour indiquer le répertoire auquel on se connecte. Le fait de se connecter à un répertoire partagé ajoute donc un lecteur au poste de travail. Il est possible de créer un lecteur permanent en cochant la case **Se reconnecter à l'ouverture de session**.

{{:si5_-_w2003:si5..c5_g3_1.png|}}

   * Cliquez **Parcourir...** pour rechercher le nom du partage ou tapez directement le nom UNC dans la zone **Dossier : \\Srv2003PN\données** .
Ou bien :
   * Cliquez avec le bouton droit **Favoris réseau**, puis **Explorer**. Développez jusqu'au dossier auquel vous souhaitez vous connecter puis cliquez avec le bouton droit **Connecter un lecteur Réseau...**
   * Cliquez **Terminer** pour que le lecteur soit créé.

//NB : L'icône d'un lecteur réseau est différente de celle des lecteurs locaux //

{{:si5_-_w2003:si5..c5_g3_2.png|}}

__ 3e méthode : Avec la commande Démarrer/Exécuter__

Cette méthode permet de voir une ressource alors qu'elle n'est pas encore visible dans le Voisinage réseau (temps d'exploration du réseau).
   * Cliquez **Démarrer/Exécuter**,
   * Tapez **\\srv2003PN\données** dans la zone **Ouvrir**,

{{:si5_-_w2003:si5..c5_g3_3.png|}}

   * Validez **OK**.

//NB : En tapant le nom UNC de l'ordinateur (ex : \\SRV2003PN), on peut voir tous ses partages. Par défaut, aucun dossier (à part les dossiers système) n'est partagé et donc aucun dossier n'est accessible via le réseau.//

===== Partages système===== 
Comme nous l'avons déjà précédemment, la racine de chaque lecteur (C$...) est partagée d'office par Windows 2003 pour l'administrateur mais ces partages sont tout à fait invisibles et inaccessibles pour les autres utilisateurs.
Les administrateurs peuvent accéder à ces partages administratifs en utilisant leur chemin UNC (ex : \\srv2003PN\C$).
Les partages suivants (« dossiers partagés spéciaux ») sont également créés :
   * ADMIN$ correspond à \%Systemroot%\ (par défaut : Windows) et est utilisé pour l'administration à distance d'une station ou d'un serveur.
   * PRINT$ est utilisé pour l'administration à distance des imprimantes.
   * FAX$ est utilisé pour partager des pages de garde et stocker les fichiers temporaires de télécopies.
   * SYSVOL est utilisé par le système pour stocker les dossiers publics du système notamment les stratégies de groupe qui seront répliquées vers les autres contrôleurs de domaines Windows 2003. On peut y mettre également le fichier de stratégies NTCONFIG.POL de NT 4 pour les clients NT.
   * NETLOGON contient les scripts et les stratégies, le système l'utilise pour valider les ouvertures de session sur un domaine. Ce dossier fait partie de SYSVOL, et sera donc répliqué automatiquement vers tous les contrôleurs du domaine.
//Pour créer des partages « secrets » pour les outils administratifs que vous partagez, il suffit de faire suivre le nom du partage du caractère $. Exemple : **utils$**.//

===== Publication d'un dossier partagé dans l'annuaire AD =====
Tout dossier partagé sur le réseau peut être publié dans l'annuaire, ce qui facilite son accès car alors son emplacement physique n'a pas besoin d'être connu explicitement.

Nous allons publier le volume **Données** au niveau de l'unité d'organisation **Siège EUROMEDIA France**.
   * Allez dans **Démarrer/Outils d'administration**, choisissez **Utilisateurs et ordinateurs Active Directory**.
   * Développez **euromedia.local** , puis cliquez avec le bouton droit l'unité d'organisation **Siège EUROMEDIA France** et sélectionnez **Nouveau/Dossier partagé**.

{{:si5_-_w2003:si5..c5_g4.png|}}  

   * Tapez **Données** dans la zone Nom.
   * Tapez **\\srv2003PN\données** dans la zone **Chemin réseau** puis **OK**. 

Le dossier partagé apparaît dans le volet droit( **Données Dossier partagé**). Il est accessible depuis un client Active Directory en explorant **Active Directory** dans les **Favoris réseau**.

===== Autorisations de partage =====
   * Lancez **l'Explorateur Windows** et cliquez avec le bouton droit sur le volume **DONNEES**. 
   * Cliquez **Propriétés**.
   * Sélectionnez l'onglet **Partage** et cliquez le bouton **Autorisations**. Les autorisations par défaut pour tout nouveau partage s'affichent :

{{:si5_-_w2003:si5..c5_g5.png|}}

//L'autorisation par défaut pour le groupe système **Tout le monde** est **Lecture** pour les ressources partagées.//

Vous pouvez éventuellement ajouter des autorisations d'accès aux dossiers partagés pour des groupes et/ou des utilisateurs.

**Les autorisations de partage** sont les suivantes :
   * **Lecture** : Possibilité de parcourir un dossier, de lire ou d'exécuter un fichier. 
   * **Modifier : Lecture** plus écrire et effacer mais pas d'accès aux autorisations. 
   * **Contrôle total : Modifier** plus accès aux autorisations du partage.

//Remarque : Pour attribuer des autorisations, il faut être propriétaire du dossier ou bien disposer de l'autorisation **Contrôle total**.//

Vous avez dû remarquer que chaque autorisation possède deux valeurs (**Autoriser** et **Refuser**) qui peuvent prendre deux états chacune. Pour chaque autorisation, il faudra donc choisir Autoriser ou Refuser en cochant la case appropriée.
   * Si la case **Autoriser** est cochée, l'autorisation qu'elle concerne est affectée à la ressource.
   * Si la case **Autoriser** n'est pas cochée, **l'autorisation n'est pas accordée** sauf par héritage d'autorisations, et l'accès dépend de l'état de la case **Refuser**.
   * Si la case **Refuser** est cochée, **l'autorisation ne sera jamais accordée**, quelles que soient les autorisations liées au dossier parent ou à l'appartenance à un groupe.
   * Si la case **Refuser** n'est pas cochée, l'autorisation n'est pas refusée et l'accès dépend de l'état de la case **Autoriser**.

**Les autorisations de partage** ne peuvent être **définies** que sur des **répertoires et que pour un accès via le réseau** ; si l'on veut avoir une sécurité plus fine au niveau des fichiers et également au niveau de la console du serveur (en local), il faut utiliser les autorisations de sécurité NTFS (onglet **Sécurité**). Nous avons choisi d'utiliser **exclusivement les autorisations de sécurité NTFS**, qui seules garantissent la sécurité des accès.

Nous allons donc définir comme autorisation de partage **Contrôle total** pour **Tout le monde** sur tous les partages que nous allons créer. En effet, comme lors de la combinaison des autorisations NTFS et de partage, **l'autorisation la plus restrictive est appliquée**, il n'est pas gênant d'avoir une autorisation de partage **Contrôle total** pour **Tout le monde** si, derrière, les autorisations de sécurité (NTFS) sont suffisamment restrictives.
   * Dans la fenêtre **Autorisations pour Données**, cochez la case **Contrôle total Autoriser** pour le groupe **Tout le monde**.

Renouvelez l'opération sur les autres partages créés.

**Un dossier hérite par défaut des autorisations du dossier ou volume parent**. Il est possible de lui affecter des autorisations plus restrictives mais celles-ci ne seront appliquées que si l'on partage également ce dossier et uniquement sur l'accès à travers le second partage. Ainsi l'utilisateur pourra néanmoins accéder aux données à travers le partage du parent, les restrictions posées sur le sous-dossier ne seront alors pas appliquées !

//Les autorisations de partage sont aussi bien disponibles sur les partitions FAT que NTFS. C'est le seul moyen de protéger l'accès via le réseau aux données d'une partition FAT.//

===== Autorisations de sécurité NTFS =====
Un utilisateur qui crée un fichier ou un dossier en devient le propriétaire sous Windows Server 2003, et il devient alors membre du groupe spécial **Créateur Propriétaire**.

Les autorisations de sécurité par défaut sur les **répertoires systèmes** sont en principe bonnes : il ne faut pas y toucher !

Avant de pouvoir attribuer des autorisations NTFS à une ressource, il est nécessaire soit d'être le propriétaire de l'objet, soit de disposer du droit **Modifier les autorisations** soit enfin de s'être approprié la ressource. **Lorsque vous créez des sous-répertoires, les autorisations de ceux-ci sont par défaut héritées du répertoire parent**. Il est donc recommandé de bien **poser d'emblée les autorisations des répertoires racines** que vous créez. Signalons que dans Windows Server 2003, les autorisations par défaut sur les partages et en NTFS ont été modifiées par rapport aux versions précédentes de Windows.

    * Cliquez avec le bouton droit le volume **SYSTEME (C:)** puis **Propriétés Sécurité**, pour visualiser les autorisations NTFS.
   * Vous constatez que le groupe **Administrateurs** a par défaut l'autorisation **Contrôle total** sur le volume **Données**.

//NB : L'autorisation **Contrôle total va au-delà de pouvoir écrire, modifier ou supprimer des données**. Il permet également de modifier les autorisations, les attributs... Il faut donc réserver le **Contrôle total** aux seuls administrateurs et donner des autorisations plus restreintes aux utilisateurs afin de réduire les risques d'erreurs ou de malveillance.//

{{:si5_-_w2003:si5..c5_g6.png|}}

   * Cliquez le groupe **Tout le monde** dans la zone **Nom d'utilisateurs**. Vous constatez que la zone **Autorisations spéciales** est cochée et grisée.
Nous allons supprimer sur chaque volume racine, les autorisations accordées au groupe **Tout le monde** car il comporte des utilisateurs non authentifiés.
   * Sélectionnez **Tout le monde** puis cliquez le bouton **Supprimer**.
   * Cliquez le groupe **Utilisateurs** dans la zone **Nom d'utilisateurs**.

{{:si5_-_w2003:si5..c5_g7.png|}}

Vous constatez que le groupe Utilisateurs a, par défaut, des autorisations permettant de lire, exécuter et afficher le contenu du volume Système. Comme ce volume n'est pas partagé, ces autorisations ne s'appliqueront qu'en accès local ou via le service Terminal Server. A priori, il n'est pas souhaitable qu'un utilisateur ait accès au volume Système pas plus qu'au volume Swap.

   * Sélectionnez **Utilisateurs** dans la zone **Nom d'utilisateurs** puis cliquez le bouton **Supprimer**.

Ainsi, seuls les administrateurs et les utilisateurs système prédéfinis auront accès à la racine du volume Système. En effet, le fait de ne pas avoir donné d'autorisation (en les supprimant) revient à ne pas autoriser l'accès à la ressource (tant qu'une autorisation d'accès n'est pas transmise par héritage).

Répétez ces opérations sur le volume **Swap** et tous les volumes dont vous souhaitez contrôler finement l'accès.
   * Cliquez avec le bouton droit le volume **DONNEES** puis **Propriétés Sécurité**, pour modifier les autorisations NTFS.
   * Sélectionnez **Tout le monde** puis cliquez le bouton **Supprimer**.

Nous laisserons en revanche les autorisations par défaut pour le groupe **Utilisateurs** car contrairement au volume **Système**, le volume **Données** a vocation à être accessible via le réseau. Procédez de même pour les volumes **Logiciels** et **Users**.

Ainsi, seuls les administrateurs et les utilisateurs authentifiés pourront accéder maintenant aux volumes **Données, Logiciels et Users**. Ainsi, même si l'autorisation au niveau du partage est **Contrôle total** pour le groupe **Tout le monde**, la ressource ne sera pas accessible à un utilisateur non authentifié sur le domaine, le message sera : « Accès refusé ».

Nous allons maintenant donner les autorisations spécifiques pour le dossier **Données Comptables**. Tout d'abord nous allons créer les groupes pour les utilisateurs du service Comptabilité.

   * Cliquez **Démarrer/Outils d'administration/Utilisateurs et Ordinateurs Active Directory**.
   * Sélectionnez l'unité d'organisation **Siège Euromédia France** puis **Comptabilité**.
   * Cliquez le menu **Action/Nouveau Groupe**. Tapez **Comptables** dans la zone **Nom de groupe** puis **OK**.

Ajoutons un utilisateur à notre groupe global **Comptables**.
   * Cliquez avec le bouton droit le groupe **Comptables** dans le volet droit, puis cliquez **Propriétés**.
   * Cliquez sur l'onglet **Membres** puis cliquez **Ajouter**.
   * Faites défiler les informations jusqu'à **Christophe Durant**, sélectionnez-le et cliquez **Ajouter**, puis validez

Créons maintenant le groupe de domaine local auquel appartiendra le groupe global.
   * Cliquez le menu **Action/Nouveau Groupe**. 
   * Tapez **Accès Données Comptables** dans la zone **Nom de groupe**.
   * Cliquez **Domaine local** dans la zone **Étendue du groupe** puis validez.
   * Cliquez avec le bouton droit le groupe **Accès Données Comptables** dans le volet droit, puis cliquez **Propriétés**.
   * Cliquez l'onglet **Membres** puis cliquez **Ajouter...**
   * Faites défiler les informations jusqu'au groupe **Comptables**, sélectionnez-le et cliquez **Ajouter**, puis **OK**.

{{:si5_-_w2003:si5..c5_g8.png|}}

Les autorisations que nous allons définir vont permettre à tous les utilisateurs d'afficher le contenu du partage **Données** et d'accéder seulement aux dossiers qui les concernent en tant que membre des services concernés.

Nous affecterons ces autorisations au groupe de domaine local. Nous allons commencer par empêcher l'accès du groupe **Utilisateurs du domaine** au dossier **Données Comptables**.

   * Au besoin, cliquez **Démarrer/Tous les programmes/Accessoires/Explorateur Windows**.
   * Développez le **Poste de travail** puis le volume **DONNEES**
   * Cliquez avec le bouton droit le dossier **Données Comptables** puis **Propriétés/Sécurité** puis le bouton **Paramètres Avancés**.
   * Décochez l'option **Permettre aux autorisations pouvant être héritées du parent...**

{{:si5_-_w2003:si5..c5_g9.png|}}

On peut choisir de copier ou de supprimer les autorisations héritées du dossier parent. Ainsi nous allons supprimer l'autorisation **Afficher le contenu du dossier** des **Utilisateurs du domaine** et conserver l'autorisation **Contrôle total** des **Administrateurs** qui existe sur le volume parent **Données**.

   * Cliquez Copier puis OK pour fermer la fenêtre Paramètres de sécurité avancé.
   * Sélectionnez **Utilisateurs** dans la zone **Nom** puis cliquez **Supprimer**.

Nous allons maintenant autoriser le groupe de domaine local **Accès Données Comptables** à lire, exécuter et écrire dans les fichiers du dossier **Données Comptables**.

   * Cliquez** Ajouter...** puis **Avancé...**
   * Cliquez le bouton **Rechercher** et sélectionnez le groupe **Accès Données Comptables** dans le début de la liste **Nom** puis cliquez **OK** puis **OK**.

Par défaut, les autorisations concernent la lecture et l'exécution, rajoutons l'écriture :
   * Cochez **Écriture Autoriser** puis **OK**.

Ainsi, un utilisateur du service Commercial peut voir l'arborescence des dossiers à la racine de **Données** mais ne peut visualiser le contenu du dossier **Données Comptables**. Il ne pourra en fait accéder qu'aux fichiers du dossier **Données Commerciales**.

===== Autorisations NTFS standard sur les dossiers =====

{{:si5_-_w2003:si5..c5_g10.png|}}

**Les autorisations NTFS** que nous avons vues précédemment sont les **autorisations standard**, ce sont celles les plus couramment utilisées. En réalité, elles sont une combinaison **d'autorisations de base (ou spéciales)** pour les dossiers et les fichiers et vous permettent de simplifier l'administration des autorisations d'accès.

Le tableau ci-après répertorie les autorisations standard sur les dossiers.

^ Autorisation standard            ^ Type d'accès au dossier et aux fichiers qu'il contient                      |
| Lecture		           | Parcourir le dossier + Lecture + Lecture des attributs.                     |
| Affichage du contenu du dossier  | Parcourir le dossier et les sous-dossiers.                                  |
| Lecture et exécution		   | Idem que **Lecture** + Exécution des fichiers + **Afficher le contenu du dossier.** |
| Écriture		           | Création de dossiers et fichiers + Modification des attributs + Affichage des autorisations et du propriétaire. |
| Modification		           | Lecture et exécution + Écriture + Supprimer le dossier, les sous-dossiers et les fichiers. |
| Contrôle total (toutes les autorisations)| **Modification** + Modifier les autorisations + Appropriation du dossier. |
| Autorisations spéciales		| Permet de savoir qu'il y a d'autres autorisations qui ont été mises sur la ressource. Pour les visualiser cliquez Paramètres avancés. |

=== AUTORISATIONS NTFS STANDARD SUR LES FICHIERS ===
Il est possible de poser à l'intérieur d'un répertoire des autorisations NTFS sur un fichier particulier, l'autorisation posée sur le fichier prendra alors le pas sur celle du répertoire.

^**Autorisation standard**	^**Type d'accès au fichier**       |
| Lecture	                | Lecture + Lecture des attributs. |
| Lecture et exécution	        | Idem que **Lecture** + Exécution du fichier. |
| Écriture	                | Écriture et Ajout de données + Modification des attributs + Affichage des autorisations et du propriétaire. |
| Modification	                | **Lecture et exécution + Ecriture** + Supprimer. |
| Contrôle total (toutes les autorisations)	| **Modification** + Modifier les autorisations + Appropriation du fichier. |

=== AUTORISATIONS NTFS SPÉCIALES (ACCÈS SPÉCIAL) ===

En cliquant sur le bouton **Paramètres Avancés** de l'onglet Sécurité des **Propriétés** du répertoire, on peut lui attribuer un accès spécial personnalisé. Nous allons affiner les autorisations **Lecture et exécution** et **Écriture** du dossier **Données Comptables** , en supprimant tout ce qui concerne l'accès aux attributs des fichiers et des dossiers.
    * Au besoin, développez le volume .7.4. DONNEES à l'aide de l'Explorateur.
    * Cliquez avec le bouton droit ** Données Comptables** puis **Propriétés Sécurité**.
    * Cliquez le bouton Paramètres Avancés.

{{:si5_-_w2003:si5..c5_g11.png|}}

Au bas de la fenêtre, deux cases à cocher apparaissent :
    * Permettre aux autorisations pouvant être héritées du parent... : permet comme
vu précédemment de bloquer l'héritage des autorisations provenant des répertoires parents.
    * Remplacer les entrées d'autorisations de tous les objets enfants... : permet à
l'inverse de réinitialiser les autorisations posées sur les répertoires enfants et de forcer l'héritage.
   * Cliquez le groupe **Accès Données Comptables** puis **Modifier..**.

{{:si5_-_w2003:si5..c5_g12.png|}}

Dans cette fenêtre apparaissent les autorisations NTFS de base (ou spéciales) à partir desquelles sont construites les autorisations standard qui ont été sélectionnées.
    * Décochez les options comme dans la fenêtre ci-dessus puis cliquez OK.
    * Cliquez à nouveau OK pour que vos modifications soient prises en compte.

Vous observerez que Autorisations spéciales est maintenant cochée dans le bas de la liste des autorisations pour Accès Données Comptables.

//NB : Les autorisations NTFS ou de partage ne peuvent être accordées que par l'utilisateur qui a créé la ressource (il en est le propriétaire) ou par l'administrateur.//

=== APPROPRIATION DE DOSSIERS ET DE FICHIERS ===
Comme nous l'avons vu au chapitre précédent, si on utilise la variable % user-mime% pour créer le répertoire privé d'un utilisateur, celui-ci en devient automatiquement le propriétaire et possède l'autorisation **Contrôle total** sur celui-ci de même que le groupe **Administrateurs**. L'utilisateur pourrait donc avoir supprimé l'autorisation **Contrôle total** du groupe **Administrateurs**. Si, par exemple, cet utilisateur tombe malade, personne (y compris l'administrateur) ne pourrait alors accéder à son répertoire privé pour lequel il serait le seul à avoir des autorisations d'accès.

Si néanmoins il faut pouvoir accéder à ces données, l'administrateur peut à tout moment, bien qu'il n'ait pas d'autorisation sur le dossier, s'approprier le dossier pour en modifier les autorisations d'accès.

Pour s'approprier un fichier/dossier, il faut soit être **Administrateur**, soit disposer d'une des autorisations suivantes : **Appropriation, Modifier les autorisations, Contrôle total**.

   * Lancez **l'Explorateur Windows** et développez le volume-lm Uses ,
   * Cliquez avec le bouton droit le dossier **Valentin** puis **Propriétés Sécurité**.
   * Cliquez le bouton **Paramètres Avancés** puis cliquez l'onglet **Propriétaire**.

(graphique)

Le propriétaire actuel de la ressource s'affiche et vous avez la possibilité de sélectionner un nouveau propriétaire, par exemple le groupe **Administrateurs**, et de cocher la case **Remplacer le propriétaire...** Vous pouvez ainsi accéder aux autorisations du fichier.

===== Copie ou déplacement et autorisations NTFS =====
Pour **copier** un fichier ou un dossier il faut disposer de l'autorisation **Création de fichiers** sur le dossier destinataire. L'objet **hérite** toujours des autorisations NTFS du dossier **destinataire**.

Pour déplacer un fichier ou un dossier, il faut disposer de l'autorisation **Création de fichiers** sur le dossier destinataire et **Supprimer** sur le dossier source.

Si le fichier ou le dossier est **déplacé d'une partition à une autre**, il y a copie puis suppression de l'objet, l'objet **hérite** des autorisations du dossier **destinataire**.

Au sein d'une **même partition seulement, l'objet (le fichier ou le dossier) déplacé conserve ses autorisations d'origine**.

**L'utilisateur qui copie un fichier ou un dossier devient propriétaire de la copie**.

//NB : Un fichier ou un dossier copié sur une partition FAT perd ses autorisations NTFS.//

===== Attributs de compression et de cryptage =====

Sur une partition NTFS, il est possible de compresser et de crypter des fichiers ou des dossiers. En plus des attributs usuels d'une partition FAT (Lecture seule et Caché), un objet compressé ou crypté affiche en plus des attributs de compression et de cryptage.
   * Lancez l'Explorateur Windows et développez le volume **DONNEES**
   * Cliquez avec le bouton droit le dossier l Données Comptables puis **Propriétés**.
   * Cliquez **Avancé...** dans l'onglet **Général**.

(graphique)

**Compression :** l'accès aux données n'est pas sensiblement ralenti par leur compression.
Lors de la copie ou du déplacement de fichiers ou de dossiers au niveau de partitions NTFS, les attributs de compression se comportent de la même manière que les autorisations NTFS.
Lorsqu'on copie un objet vers une partition NTFS compressée,
   * l'objet est d'abord copié puis ensuite compressé, il faut donc faire attention à la taille de l'objet non compressé.
   * **Cryptage EFS** (//Encrypting File System//) : les données ne sont alors accessibles que par les utilisateurs possédant la clé et ceux-ci y accèdent de manière transparente. En cas de perte des clés, le premier administrateur à s'être connecté au domaine ou à l'ordinateur Windows Server 2003 autonome, a le rôle d'agent de récupération et peut grâce à sa clé privée décrypter les données.

Lors de la copie ou du déplacement de fichiers ou de dossiers au niveau de partitions NTFS, un dossier ou un fichier crypté le restera. Un fichier non crypté copié ou déplacé vers un dossier crypté le deviendra.

//NB : Lors de la copie ou du déplacement de fichiers ou de dossiers cryptés sur un autre système de fichiers que NTFS (FAT par exemple) le cryptage disparaît. Il en va de même pour la compression.//

===== Application des autorisations NTFS et de partage =====
L'héritage des autorisations d'accès se fait de manière identique sur les deux types de partition, un fichier ou un dossier héritant toujours par défaut des autorisations de son parent. Néanmoins on peut lui attribuer des autorisations plus restrictives.
Les règles suivantes s'appliquent pour l'application des autorisations :
    * **Les autorisations effectives (réelles) d'un utilisateur** sont une combinaison des autorisations de l'utilisateur et de celles des groupes auxquels il appartient dans chaque type d'autorisation. Elles sont dites cumulatives : **l'autorisation la plus large s'applique toujours sauf pour Refuser qui l'emporte toujours**.
**Sur une partition NTFS, les autorisations de fichier prennent le pas sur les autorisations de dossier**.
    * Combinaison des **autorisations NTFS** et de **partage : l'autorisation la plus restrictive est appliquée**.
//Remarque : Lors des opérations courantes d'administration, il est fréquent que les problèmes soient liés à des accès insuffisants : il est conseillé de porter une attention toute particulière à cet aspect.//

===== Conseils pratiques pour l'attribution d'autorisations =====
    * **Supprimez l'autorisation NTFS** par défaut **Contrôle total** du groupe **Tout le monde** créée lors du formatage ou de la conversion NTFS sur la racine du volume, puis attribuez-la au groupe **Administrateurs**.
    * Attribuez des autorisations NTFS AVANT de partager la ressource.
    * N'attribuez pas l'autorisation Écrire sur les exécutables pour les protéger des virus sauf si cela est requis.
    * Affectez des permissions **Contrôle total ou Modification** seulement aux groupes qui seront responsables de la mise à jour et de la résolution de problèmes liés aux logiciels.
    * Affectez des autorisations **Lecture et exécution** au groupe **Utilisateurs**, et une autorisation **Créateur propriétaire** pour les dossiers contenant des données.