TP 07 - mardi 13 mars et jeudi 15 mars 2012

• savoir affecter des autorisations d'accès sur des ressources partagées
• publier un dossier partagé sur le réseau dans l'annuaire Active Directory
• Autorisations de sécurité NTFS
• compression et cryptage des fichiers

• nous utiliserons le serveur srv2003PN et un client Xp installés lors d'un précédent TP

Nous allons voir maintenant comment affecter des autorisations d'accès à des utilisateurs et des groupes sur des ressources partagées sur le réseau. L'accès à un répertoire, sous-répertoire et fichier peut être autorisé en lecture seule, accès total, lecture, exécution, suppression, etc. et ce pour un groupe, un utilisateur ou un utilisateur d'un groupe.

L'accès au disque dur d'un ordinateur Windows Server 2003 peut être sécurisé de différentes manières. La plus simple mais la moins sûre est d'utiliser les autorisations de partage (plus sophistiquées qu'en Workgroup) ; elles protègent l'accès à la ressource par un utilisateur du réseau non autorisé mais n'assurent pas la sécurité locale : l'utilisateur connecté localement (disposant du droit ouvrir une session localement ) sur cette machine passe outre les autorisations de partage définies.

Les autorisations NTFS des partitions NTFS permettent d'assurer une sécurité totale, au niveau du réseau ou de la console du serveur. Cela signifie que les seuls utilisateurs qui peuvent accéder à des fichiers protégés sont ceux qui en ont explicitement obtenu le droit.

NB : Sur une partition NTFS, vous devrez toujours combiner les deux types d'autorisations sauf si vous ne partagez pas la ressource ; les autorisations NTFS seront alors réservées à un accès local.

Partager un répertoire ou un lecteur (disque, CD-Rom…) est l'unique moyen de proposer des ressources sur un réseau Windows. Cela permet aux utilisateurs reconnus du domaine d'y avoir accès sous réserve d'avoir les autorisations requises. Rappelons l'organisation des disques que nous avons créé précédemment :

Nous allons faire en sorte que les volumes SYSTEME et SWAP ne soient pas accessibles via le réseau ou en local aux utilisateurs du domaine, seuls les volumes DONNEES, LOGICIELS et USERS le seront.

Pour partager un répertoire, il faut comme nous l'avons précédemment, cliquer avec le bouton droit sur le répertoire ou le lecteur et sélectionner Partager ou modifier les Propriétés (onglet Partage) de ce répertoire.

• Lancez l'Explorateur Windows et cliquez avec le bouton droit sur le volume DONNEES
• Cliquez Partager… puis cliquez le bouton Nouveau partage.

Pour arrêter le partage d'un répertoire, il faut sélectionner l'option Ne pas partager ce dossier, ou s'il y a plusieurs partages, sélectionner le nom du partage avec le sélecteur puis cliquer le bouton Supprimer le partage.

• Tapez Données dans la zone Nom du partage, ajoutez éventuellement un commentaire, puis cliquez OK.
• À l'aide de l'Explorateur Windows, créez un nouveau dossier appelé Données Comptables sur le volume DONNEES

NB : Un dossier peut être partagé plusieurs fois avec des noms et des autorisations différents.

Comme nous vous l'avons recommandé, vous avez installer vos applications réseau dans le volume Logiciels, pensez à le partager comme pour le volume Données. Nous mettrons ensuite en place les autorisations d'accès NTFS sur ces volumes.

• Utilisez des noms de partage significatifs.
• Utilisez des noms courts accessibles à tous les systèmes d'exploitation clients (Windows 200x, NT et 9x : 12 caractères ; MS-DOS et Windows 3.x : format de nom de fichiers 8.3 : ESSAI.REP).
• Créez des volumes logiques différents pour chaque type d'information : une partition système, une partition d'amorçage (éventuellement), une partition pour le fichier d'échange (fortement conseillé), une partition pour les logiciels (simplifie les mises à jour), une partition pour les données (simplifie les sauvegardes).
• Organisez les ressources disque (partitions, dossiers, sous-dossiers…) de façon à ce que les dossiers exigeant les mêmes niveaux de sécurité se trouvent dans une même arborescence (à condition que cela ait du sens).
• Créez des raccourcis (lecteur réseau, favoris) pour les ressources réseau auxquelles les utilisateurs se connecteront souvent.

Nous allons décrire plusieurs méthodes pour accéder à un répertoire partagé d'un serveur Windows Server 2003. Vous utiliserez un client XP.

1 ère méthode : Directement avec les Favoris réseau

• Lancez l'Explorateur Windows (Démarrer/Tous les programmes/Accessoires/Explorateur Windows) puis développez Favoris réseau.
• Développez Tout le réseau/Réseau Microsoft Windows puis le domaine Euromedia.
• Double-cliquez sur Srv2003PN , l'ordinateur qui partage ses ressources. Les ressources partagées visibles par l'utilisateur connecté, sont affichées, vous pouvez développer le partage désiré.

• Cliquez sur le partage Données pour en lire le contenu.

NB : Certaines applications n'admettent pas d'être démarrées à partir du voisinage réseau, car elles sont alors incapables de trouver une lettre de lecteur à partir duquel elles s'exécutent. C'est souvent le cas des programmes d'installation

2e méthode : En connectant un lecteur réseau

• Cliquez avec le bouton droit le Poste de travail, puis Connecter un lecteur réseau…

La boîte de dialogue propose une lettre d'unité dans la zone Lecteur qui sera utilisée par la suite pour indiquer le répertoire auquel on se connecte. Le fait de se connecter à un répertoire partagé ajoute donc un lecteur au poste de travail. Il est possible de créer un lecteur permanent en cochant la case Se reconnecter à l'ouverture de session.

• Cliquez Parcourir… pour rechercher le nom du partage ou tapez directement le nom UNC dans la zone Dossier : \\Srv2003PN\données .

Ou bien :

• Cliquez avec le bouton droit Favoris réseau, puis Explorer. Développez jusqu'au dossier auquel vous souhaitez vous connecter puis cliquez avec le bouton droit Connecter un lecteur Réseau…
• Cliquez Terminer pour que le lecteur soit créé.

NB : L'icône d'un lecteur réseau est différente de celle des lecteurs locaux

3e méthode : Avec la commande Démarrer/Exécuter

Cette méthode permet de voir une ressource alors qu'elle n'est pas encore visible dans le Voisinage réseau (temps d'exploration du réseau).

• Cliquez Démarrer/Exécuter,
• Tapez \\srv2003PN\données dans la zone Ouvrir,

• Validez OK.

NB : En tapant le nom UNC de l'ordinateur (ex : \\SRV2003PN), on peut voir tous ses partages. Par défaut, aucun dossier (à part les dossiers système) n'est partagé et donc aucun dossier n'est accessible via le réseau.

Comme nous l'avons déjà précédemment, la racine de chaque lecteur (C$…) est partagée d'office par Windows 2003 pour l'administrateur mais ces partages sont tout à fait invisibles et inaccessibles pour les autres utilisateurs. Les administrateurs peuvent accéder à ces partages administratifs en utilisant leur chemin UNC (ex : \\srv2003PN\C$). Les partages suivants (« dossiers partagés spéciaux ») sont également créés :

• ADMIN$ correspond à \%Systemroot%\ (par défaut : Windows) et est utilisé pour l'administration à distance d'une station ou d'un serveur.
• PRINT$ est utilisé pour l'administration à distance des imprimantes.
• FAX$ est utilisé pour partager des pages de garde et stocker les fichiers temporaires de télécopies.
• SYSVOL est utilisé par le système pour stocker les dossiers publics du système notamment les stratégies de groupe qui seront répliquées vers les autres contrôleurs de domaines Windows 2003. On peut y mettre également le fichier de stratégies NTCONFIG.POL de NT 4 pour les clients NT.
• NETLOGON contient les scripts et les stratégies, le système l'utilise pour valider les ouvertures de session sur un domaine. Ce dossier fait partie de SYSVOL, et sera donc répliqué automatiquement vers tous les contrôleurs du domaine.

Pour créer des partages « secrets » pour les outils administratifs que vous partagez, il suffit de faire suivre le nom du partage du caractère $. Exemple : utils$.

Tout dossier partagé sur le réseau peut être publié dans l'annuaire, ce qui facilite son accès car alors son emplacement physique n'a pas besoin d'être connu explicitement.

Nous allons publier le volume Données au niveau de l'unité d'organisation Siège EUROMEDIA France.

• Allez dans Démarrer/Outils d'administration, choisissez Utilisateurs et ordinateurs Active Directory.
• Développez euromedia.local , puis cliquez avec le bouton droit l'unité d'organisation Siège EUROMEDIA France et sélectionnez Nouveau/Dossier partagé.

• Tapez Données dans la zone Nom.
• Tapez \\srv2003PN\données dans la zone Chemin réseau puis OK.

Le dossier partagé apparaît dans le volet droit( Données Dossier partagé). Il est accessible depuis un client Active Directory en explorant Active Directory dans les Favoris réseau.

• Lancez l'Explorateur Windows et cliquez avec le bouton droit sur le volume DONNEES.
• Cliquez Propriétés.
• Sélectionnez l'onglet Partage et cliquez le bouton Autorisations. Les autorisations par défaut pour tout nouveau partage s'affichent :

L'autorisation par défaut pour le groupe système Tout le monde est Lecture pour les ressources partagées.

Vous pouvez éventuellement ajouter des autorisations d'accès aux dossiers partagés pour des groupes et/ou des utilisateurs.

Les autorisations de partage sont les suivantes :

• Lecture : Possibilité de parcourir un dossier, de lire ou d'exécuter un fichier.
• Modifier : Lecture plus écrire et effacer mais pas d'accès aux autorisations.
• Contrôle total : Modifier plus accès aux autorisations du partage.

Remarque : Pour attribuer des autorisations, il faut être propriétaire du dossier ou bien disposer de l'autorisation Contrôle total.

Vous avez dû remarquer que chaque autorisation possède deux valeurs (Autoriser et Refuser) qui peuvent prendre deux états chacune. Pour chaque autorisation, il faudra donc choisir Autoriser ou Refuser en cochant la case appropriée.

• Si la case Autoriser est cochée, l'autorisation qu'elle concerne est affectée à la ressource.
• Si la case Autoriser n'est pas cochée, l'autorisation n'est pas accordée sauf par héritage d'autorisations, et l'accès dépend de l'état de la case Refuser.
• Si la case Refuser est cochée, l'autorisation ne sera jamais accordée, quelles que soient les autorisations liées au dossier parent ou à l'appartenance à un groupe.
• Si la case Refuser n'est pas cochée, l'autorisation n'est pas refusée et l'accès dépend de l'état de la case Autoriser.

Les autorisations de partage ne peuvent être définies que sur des répertoires et que pour un accès via le réseau ; si l'on veut avoir une sécurité plus fine au niveau des fichiers et également au niveau de la console du serveur (en local), il faut utiliser les autorisations de sécurité NTFS (onglet Sécurité). Nous avons choisi d'utiliser exclusivement les autorisations de sécurité NTFS, qui seules garantissent la sécurité des accès.

Nous allons donc définir comme autorisation de partage Contrôle total pour Tout le monde sur tous les partages que nous allons créer. En effet, comme lors de la combinaison des autorisations NTFS et de partage, l'autorisation la plus restrictive est appliquée, il n'est pas gênant d'avoir une autorisation de partage Contrôle total pour Tout le monde si, derrière, les autorisations de sécurité (NTFS) sont suffisamment restrictives.

• Dans la fenêtre Autorisations pour Données, cochez la case Contrôle total Autoriser pour le groupe Tout le monde.

Renouvelez l'opération sur les autres partages créés.

Un dossier hérite par défaut des autorisations du dossier ou volume parent. Il est possible de lui affecter des autorisations plus restrictives mais celles-ci ne seront appliquées que si l'on partage également ce dossier et uniquement sur l'accès à travers le second partage. Ainsi l'utilisateur pourra néanmoins accéder aux données à travers le partage du parent, les restrictions posées sur le sous-dossier ne seront alors pas appliquées !

Les autorisations de partage sont aussi bien disponibles sur les partitions FAT que NTFS. C'est le seul moyen de protéger l'accès via le réseau aux données d'une partition FAT.

Un utilisateur qui crée un fichier ou un dossier en devient le propriétaire sous Windows Server 2003, et il devient alors membre du groupe spécial Créateur Propriétaire.

Les autorisations de sécurité par défaut sur les répertoires systèmes sont en principe bonnes : il ne faut pas y toucher !

Avant de pouvoir attribuer des autorisations NTFS à une ressource, il est nécessaire soit d'être le propriétaire de l'objet, soit de disposer du droit Modifier les autorisations soit enfin de s'être approprié la ressource. Lorsque vous créez des sous-répertoires, les autorisations de ceux-ci sont par défaut héritées du répertoire parent. Il est donc recommandé de bien poser d'emblée les autorisations des répertoires racines que vous créez. Signalons que dans Windows Server 2003, les autorisations par défaut sur les partages et en NTFS ont été modifiées par rapport aux versions précédentes de Windows.

• Cliquez avec le bouton droit le volume SYSTEME (C:) puis Propriétés Sécurité, pour visualiser les autorisations NTFS.
• Vous constatez que le groupe Administrateurs a par défaut l'autorisation Contrôle total sur le volume Données.

NB : L'autorisation Contrôle total va au-delà de pouvoir écrire, modifier ou supprimer des données. Il permet également de modifier les autorisations, les attributs… Il faut donc réserver le Contrôle total aux seuls administrateurs et donner des autorisations plus restreintes aux utilisateurs afin de réduire les risques d'erreurs ou de malveillance.

• Cliquez le groupe Tout le monde dans la zone Nom d'utilisateurs. Vous constatez que la zone Autorisations spéciales est cochée et grisée.

Nous allons supprimer sur chaque volume racine, les autorisations accordées au groupe Tout le monde car il comporte des utilisateurs non authentifiés.

• Sélectionnez Tout le monde puis cliquez le bouton Supprimer.
• Cliquez le groupe Utilisateurs dans la zone Nom d'utilisateurs.

Vous constatez que le groupe Utilisateurs a, par défaut, des autorisations permettant de lire, exécuter et afficher le contenu du volume Système. Comme ce volume n'est pas partagé, ces autorisations ne s'appliqueront qu'en accès local ou via le service Terminal Server. A priori, il n'est pas souhaitable qu'un utilisateur ait accès au volume Système pas plus qu'au volume Swap.

• Sélectionnez Utilisateurs dans la zone Nom d'utilisateurs puis cliquez le bouton Supprimer.

Ainsi, seuls les administrateurs et les utilisateurs système prédéfinis auront accès à la racine du volume Système. En effet, le fait de ne pas avoir donné d'autorisation (en les supprimant) revient à ne pas autoriser l'accès à la ressource (tant qu'une autorisation d'accès n'est pas transmise par héritage).

Répétez ces opérations sur le volume Swap et tous les volumes dont vous souhaitez contrôler finement l'accès.

• Cliquez avec le bouton droit le volume DONNEES puis Propriétés Sécurité, pour modifier les autorisations NTFS.
• Sélectionnez Tout le monde puis cliquez le bouton Supprimer.

Nous laisserons en revanche les autorisations par défaut pour le groupe Utilisateurs car contrairement au volume Système, le volume Données a vocation à être accessible via le réseau. Procédez de même pour les volumes Logiciels et Users.

Ainsi, seuls les administrateurs et les utilisateurs authentifiés pourront accéder maintenant aux volumes Données, Logiciels et Users. Ainsi, même si l'autorisation au niveau du partage est Contrôle total pour le groupe Tout le monde, la ressource ne sera pas accessible à un utilisateur non authentifié sur le domaine, le message sera : « Accès refusé ».

Nous allons maintenant donner les autorisations spécifiques pour le dossier Données Comptables. Tout d'abord nous allons créer les groupes pour les utilisateurs du service Comptabilité.

• Cliquez Démarrer/Outils d'administration/Utilisateurs et Ordinateurs Active Directory.
• Sélectionnez l'unité d'organisation Siège Euromédia France puis Comptabilité.
• Cliquez le menu Action/Nouveau Groupe. Tapez Comptables dans la zone Nom de groupe puis OK.

Ajoutons un utilisateur à notre groupe global Comptables.

• Cliquez avec le bouton droit le groupe Comptables dans le volet droit, puis cliquez Propriétés.
• Cliquez sur l'onglet Membres puis cliquez Ajouter.
• Faites défiler les informations jusqu'à Christophe Durant, sélectionnez-le et cliquez Ajouter, puis validez

Créons maintenant le groupe de domaine local auquel appartiendra le groupe global.

• Cliquez le menu Action/Nouveau Groupe.
• Tapez Accès Données Comptables dans la zone Nom de groupe.
• Cliquez Domaine local dans la zone Étendue du groupe puis validez.
• Cliquez avec le bouton droit le groupe Accès Données Comptables dans le volet droit, puis cliquez Propriétés.
• Cliquez l'onglet Membres puis cliquez Ajouter…
• Faites défiler les informations jusqu'au groupe Comptables, sélectionnez-le et cliquez Ajouter, puis OK.

Les autorisations que nous allons définir vont permettre à tous les utilisateurs d'afficher le contenu du partage Données et d'accéder seulement aux dossiers qui les concernent en tant que membre des services concernés.

Nous affecterons ces autorisations au groupe de domaine local. Nous allons commencer par empêcher l'accès du groupe Utilisateurs du domaine au dossier Données Comptables.

• Au besoin, cliquez Démarrer/Tous les programmes/Accessoires/Explorateur Windows.
• Développez le Poste de travail puis le volume DONNEES
• Cliquez avec le bouton droit le dossier Données Comptables puis Propriétés/Sécurité puis le bouton Paramètres Avancés.
• Décochez l'option Permettre aux autorisations pouvant être héritées du parent…

On peut choisir de copier ou de supprimer les autorisations héritées du dossier parent. Ainsi nous allons supprimer l'autorisation Afficher le contenu du dossier des Utilisateurs du domaine et conserver l'autorisation Contrôle total des Administrateurs qui existe sur le volume parent Données.

• Cliquez Copier puis OK pour fermer la fenêtre Paramètres de sécurité avancé.
• Sélectionnez Utilisateurs dans la zone Nom puis cliquez Supprimer.

Nous allons maintenant autoriser le groupe de domaine local Accès Données Comptables à lire, exécuter et écrire dans les fichiers du dossier Données Comptables.

• Cliquez Ajouter… puis Avancé…
• Cliquez le bouton Rechercher et sélectionnez le groupe Accès Données Comptables dans le début de la liste Nom puis cliquez OK puis OK.

Par défaut, les autorisations concernent la lecture et l'exécution, rajoutons l'écriture :

• Cochez Écriture Autoriser puis OK.

Ainsi, un utilisateur du service Commercial peut voir l'arborescence des dossiers à la racine de Données mais ne peut visualiser le contenu du dossier Données Comptables. Il ne pourra en fait accéder qu'aux fichiers du dossier Données Commerciales.

Les autorisations NTFS que nous avons vues précédemment sont les autorisations standard, ce sont celles les plus couramment utilisées. En réalité, elles sont une combinaison d'autorisations de base (ou spéciales) pour les dossiers et les fichiers et vous permettent de simplifier l'administration des autorisations d'accès.

Le tableau ci-après répertorie les autorisations standard sur les dossiers.

Il est possible de poser à l'intérieur d'un répertoire des autorisations NTFS sur un fichier particulier, l'autorisation posée sur le fichier prendra alors le pas sur celle du répertoire.

En cliquant sur le bouton Paramètres Avancés de l'onglet Sécurité des Propriétés du répertoire, on peut lui attribuer un accès spécial personnalisé. Nous allons affiner les autorisations Lecture et exécution et Écriture du dossier Données Comptables , en supprimant tout ce qui concerne l'accès aux attributs des fichiers et des dossiers.

• Au besoin, développez le volume .7.4. DONNEES à l'aide de l'Explorateur.
• Cliquez avec le bouton droit Données Comptables puis Propriétés Sécurité.
• Cliquez le bouton Paramètres Avancés.

Au bas de la fenêtre, deux cases à cocher apparaissent :

• Permettre aux autorisations pouvant être héritées du parent… : permet comme

vu précédemment de bloquer l'héritage des autorisations provenant des répertoires parents.

• Remplacer les entrées d'autorisations de tous les objets enfants… : permet à

l'inverse de réinitialiser les autorisations posées sur les répertoires enfants et de forcer l'héritage.

• Cliquez le groupe Accès Données Comptables puis Modifier...

Dans cette fenêtre apparaissent les autorisations NTFS de base (ou spéciales) à partir desquelles sont construites les autorisations standard qui ont été sélectionnées.

• Décochez les options comme dans la fenêtre ci-dessus puis cliquez OK.
• Cliquez à nouveau OK pour que vos modifications soient prises en compte.

Vous observerez que Autorisations spéciales est maintenant cochée dans le bas de la liste des autorisations pour Accès Données Comptables.

NB : Les autorisations NTFS ou de partage ne peuvent être accordées que par l'utilisateur qui a créé la ressource (il en est le propriétaire) ou par l'administrateur.

Comme nous l'avons vu au chapitre précédent, si on utilise la variable % user-mime% pour créer le répertoire privé d'un utilisateur, celui-ci en devient automatiquement le propriétaire et possède l'autorisation Contrôle total sur celui-ci de même que le groupe Administrateurs. L'utilisateur pourrait donc avoir supprimé l'autorisation Contrôle total du groupe Administrateurs. Si, par exemple, cet utilisateur tombe malade, personne (y compris l'administrateur) ne pourrait alors accéder à son répertoire privé pour lequel il serait le seul à avoir des autorisations d'accès.

Si néanmoins il faut pouvoir accéder à ces données, l'administrateur peut à tout moment, bien qu'il n'ait pas d'autorisation sur le dossier, s'approprier le dossier pour en modifier les autorisations d'accès.

Pour s'approprier un fichier/dossier, il faut soit être Administrateur, soit disposer d'une des autorisations suivantes : Appropriation, Modifier les autorisations, Contrôle total.

• Lancez l'Explorateur Windows et développez le volume-lm Uses ,
• Cliquez avec le bouton droit le dossier Valentin puis Propriétés Sécurité.
• Cliquez le bouton Paramètres Avancés puis cliquez l'onglet Propriétaire.

(graphique)

Le propriétaire actuel de la ressource s'affiche et vous avez la possibilité de sélectionner un nouveau propriétaire, par exemple le groupe Administrateurs, et de cocher la case Remplacer le propriétaire… Vous pouvez ainsi accéder aux autorisations du fichier.

Pour copier un fichier ou un dossier il faut disposer de l'autorisation Création de fichiers sur le dossier destinataire. L'objet hérite toujours des autorisations NTFS du dossier destinataire.

Pour déplacer un fichier ou un dossier, il faut disposer de l'autorisation Création de fichiers sur le dossier destinataire et Supprimer sur le dossier source.

Si le fichier ou le dossier est déplacé d'une partition à une autre, il y a copie puis suppression de l'objet, l'objet hérite des autorisations du dossier destinataire.

Au sein d'une même partition seulement, l'objet (le fichier ou le dossier) déplacé conserve ses autorisations d'origine.

L'utilisateur qui copie un fichier ou un dossier devient propriétaire de la copie.

NB : Un fichier ou un dossier copié sur une partition FAT perd ses autorisations NTFS.

Sur une partition NTFS, il est possible de compresser et de crypter des fichiers ou des dossiers. En plus des attributs usuels d'une partition FAT (Lecture seule et Caché), un objet compressé ou crypté affiche en plus des attributs de compression et de cryptage.

• Lancez l'Explorateur Windows et développez le volume DONNEES
• Cliquez avec le bouton droit le dossier l Données Comptables puis Propriétés.
• Cliquez Avancé… dans l'onglet Général.

(graphique)

Compression : l'accès aux données n'est pas sensiblement ralenti par leur compression. Lors de la copie ou du déplacement de fichiers ou de dossiers au niveau de partitions NTFS, les attributs de compression se comportent de la même manière que les autorisations NTFS. Lorsqu'on copie un objet vers une partition NTFS compressée,

• l'objet est d'abord copié puis ensuite compressé, il faut donc faire attention à la taille de l'objet non compressé.
• Cryptage EFS (Encrypting File System) : les données ne sont alors accessibles que par les utilisateurs possédant la clé et ceux-ci y accèdent de manière transparente. En cas de perte des clés, le premier administrateur à s'être connecté au domaine ou à l'ordinateur Windows Server 2003 autonome, a le rôle d'agent de récupération et peut grâce à sa clé privée décrypter les données.

Lors de la copie ou du déplacement de fichiers ou de dossiers au niveau de partitions NTFS, un dossier ou un fichier crypté le restera. Un fichier non crypté copié ou déplacé vers un dossier crypté le deviendra.

NB : Lors de la copie ou du déplacement de fichiers ou de dossiers cryptés sur un autre système de fichiers que NTFS (FAT par exemple) le cryptage disparaît. Il en va de même pour la compression.

L'héritage des autorisations d'accès se fait de manière identique sur les deux types de partition, un fichier ou un dossier héritant toujours par défaut des autorisations de son parent. Néanmoins on peut lui attribuer des autorisations plus restrictives. Les règles suivantes s'appliquent pour l'application des autorisations :

• Les autorisations effectives (réelles) d'un utilisateur sont une combinaison des autorisations de l'utilisateur et de celles des groupes auxquels il appartient dans chaque type d'autorisation. Elles sont dites cumulatives : l'autorisation la plus large s'applique toujours sauf pour Refuser qui l'emporte toujours.

Sur une partition NTFS, les autorisations de fichier prennent le pas sur les autorisations de dossier.

• Combinaison des autorisations NTFS et de partage : l'autorisation la plus restrictive est appliquée.

Remarque : Lors des opérations courantes d'administration, il est fréquent que les problèmes soient liés à des accès insuffisants : il est conseillé de porter une attention toute particulière à cet aspect.

• Supprimez l'autorisation NTFS par défaut Contrôle total du groupe Tout le monde créée lors du formatage ou de la conversion NTFS sur la racine du volume, puis attribuez-la au groupe Administrateurs.
• Attribuez des autorisations NTFS AVANT de partager la ressource.
• N'attribuez pas l'autorisation Écrire sur les exécutables pour les protéger des virus sauf si cela est requis.
• Affectez des permissions Contrôle total ou Modification seulement aux groupes qui seront responsables de la mise à jour et de la résolution de problèmes liés aux logiciels.
• Affectez des autorisations Lecture et exécution au groupe Utilisateurs, et une autorisation Créateur propriétaire pour les dossiers contenant des données.