1. Qu'est ce que le système de fichiers NTFS ?

NTFS (New Technology File System) est le système de fichiers utilisé par la famille NT (Windows NT, 2000 et XP*), il est le successeur des systèmes FAT et FAT32 qui existaient dans les versions précédentes de Windows (MS-DOS, Windows 3.1, 95, 98 et ME). Le principal avantage qu'offre NTFS par rapport au système de fichiers FAT est la sécurité.

Les principales fonctionnalités intrinsèques à NTFS sont :

- Définir des permissions d'accès aux répertoires et aux fichiers.
- Performances accrues pour l'accès aux fichiers, la recherche et la récupération d'informations.
- Gestion personnalisée de la quantité d'espace disque disponible pour chaque utilisateur (Uniquement sur Windows XP Professionnel).
- Compresser les fichiers afin de réduire l'espace utilisé sur le disque.
- Crypter des données stockées sur le disque. (Windows XP Familial ne gère pas cette fonctionnalité).

* Windows XP prend en charge les sytémes de fichiers FAT et NTFS

• Les autorisations de base NTFS

Les autorisations NTFS permettent de contrôler l'accès aux fichiers et aux dossiers et les actions possibles sur ces fichiers et ces dossiers. Chaque fichier et dossier stocké sur un volume NTFS est composé d'une liste de contrôle d'accès discrétionnaire (DACL). Cette liste répertorie les comptes utilisateurs et les groupes autorisés à accéder à une ressource et les droits de contrôle sur cette même ressource. Un compte utilisateur ou un groupe inscrit dans cette liste est appelé une entrée de contrôle d'accès (ACE Access Control Entry). Si un compte utilisateur ou un groupe n'est pas répertorié dans la DACL, l'accès à la ressource est refusé.

Les autorisations NTFS sont disponibles depuis l'onglet Sécurité. Si il n'est pas disponible il suffit de désactiver "Utiliser le partage de fichiers simple" dans options des dossiers pour l'afficher. Pour Windows XP Familial allez à la section Le cas Windows XP Familial.

Autorisations de base pour les dossiers NTFS :

Autorisations de base pour les fichiers NTFS :

Utilisateurs et groupes autorisés par défaut dans un volume NTFS

Conseil : supprimez les groupes et utilisateurs autorisés par défaut et définissez votre liste d'ACE autorisées, en partant du plus restrictif au moins restrictif, pour ce qui est des actions permises sur la ressource.

• Relations entre les autorisations de base

Quand vous activez certaines autorisations les actions qui leur sont liées sont automatiquement activées :

L’activation de cette autorisation … … inclut automatiquement ces autorisations Lecture et exécution L’Affichage du contenu du dossier (dossier uniquement) et Lecture Modification Lecture et exécution, Affichage du contenu du dossier (dossier uniquement), Lecture et Ecriture Contrôle total Modification, Lecture et exécution, Affichage du contenu du dossier (dossier uniquement), Lecture et Ecriture

• Comprendre l'effet des autorisations Refuser

Comment connaître l’effet des autorisations Refuser ?

Les autorisations Refuser sont prioritaires sur les autorisations Autoriser. Si une autorisation Refuser a été attribuée à un utilisateur ou à un groupe auquel il appartient, cette autorisation est refusée. Lorsqu’une autorisation est refusée, toutes les autorisations en relation avec celle-ci sont également refusées. (Cf. tableau de l'intertitre Relations entre les autorisations de base)

Le tableau suivant répertorie les effets des autorisations Refuser :

Exemple 1 L’autorisation Lecture est refusée au groupe Comptabilité. L’autorisation Contrôle total attribuée au groupe Tout le monde est également refusée car l’autorisation Lecture est reliée à l’autorisation Contrôle total. L’autorisation Ecriture accordée à John est autorisée car elle est n’est pas reliée à l’autorisation Lecture. L’autorisation effective est donc l’autorisation Ecriture.

Exemple 2 L’autorisation Contrôle total est refusée à John. L’autorisation Ecriture attribuée au groupe Comptabilité et l’autorisation Lecture attribuée au groupe Tout le monde sont également refusées car elles sont reliées à l’autorisation Contrôle total. L’accès à la ressource est refusé car aucune autorisation n’a été accordée.

Il est recommandé de n’attribuer les autorisations Refuser que lorsque l’on n'a pas d’autre alternative.

Dans un réseau il est fréquent qu'un utilisateur appartiennent à plusieurs groupes ayant des autorisations différentes. Chaque groupe disposant de droits distincts il est parfois difficile de savoir quelles sont les autorisations qui sont prioritaires. On utilise dans ce cas les autorisations NTFS effectives.

• Les règles d’évaluation des autorisations effectives

Les règles d’évaluation des autorisations effectives sont les suivantes :

- Les autorisations Autoriser de toutes les sources sont combinées, et l’utilisateur bénéficie du niveau d’autorisation le plus élevé.
- Les autorisations Refuser supplantent les autorisations Autoriser.
- Si aucune source n’a attribué d’autorisation à l’utilisateur, l’accès est refusé.

Le résultat combiné de ces autorisations donne l'autorisation effective.

Dans cet exemple l’autorisation Modification correspond au niveau le plus élevé d’autorisation attribuée à l’utilisateur ou au groupe dont l’utilisateur est membre, c’est donc l’autorisation qui est effective.

Les autorisations de dossier partagé permette de définir des autorisations d'accès à des ressources partagés dans un réseau. Elles sont surtout utilisées dans le cas de réseau hétérogène Microsoft , équipés de versions anciennes de Windows (95, 98, ME, ...) qui n'utilisent pas le système de fichiers NTFS. Ainsi pour contrôler l'accès aux ressources depuis une version de Windows antérieure à la famille NT il est nécessaire d'activer les autorisations de dossier partagé.

Remarque : Si tous les ordinateurs du réseau sont équipés de Windows 2000 ou de Windows XP, vous pouvez utiliser seulement les autorisations NTFS et ne plus vous soucier des autorisations de partage. Ces dernières étant seulement nécessaires pour les versions de Windows antérieures à Windows NT (n’utilisant pas le système de fichiers NTFS).

Autorisations de dossier partagé

Utilisateurs et groupes autoriser par défaut dans un partage NTFS :

• Evaluer les autorisations de dossiers partagées effectives

Les règles d’évaluation des autorisations de dossier partagé effectives sont les mêmes que celles utilisées pour les autorisations NTFS effective.

• Evaluer des autorisations effectives de dossier partagé sur des volumes NTFS

Lorsque des utilisateurs se connectent aux dossiers partagés situés sur des volumes NTFS, les autorisations de partage et les autorisations NTFS se combinent afin de contrôler les actions que l’utilisateur peut effectuer. L’évaluation des autorisations effectives peut être rendue difficile lorsque les autorisations NTFS et les autorisations de partage sont toutes les deux impliquées.

L’évaluation des autorisations concernant les ressources situées dans un dossier partagé au sein d’une partition NTFS s'effectue en 3 étapes :

1. L’évaluation des autorisations NTFS effectives pour l’utilisateur.
2. L’évaluation des autorisations de partage effectives pour l’utilisateur.
3. L’analyse des résultats des étapes 1 et 2, puis la sélection du résultat le plus restrictif des deux. Ce résultat sera l’autorisation effective de l’utilisateur quant au dossier partagé

Exemple :

Exemple 1 L’autorisation de partage effective de l’utilisateur est l’autorisation Contrôle total, et l’autorisation NTFS effective est l’autorisation Lecture. La plus restrictive de ces deux autorisations est l’autorisation Lecture, il s’agit donc de l’autorisation effective. Même si l’autorisation de partage permet un Contrôle total, l’autorisation NTFS empêche un accès plus permissif à la ressource.

Exemple 2 L’autorisation de partage effective de l’utilisateur est l’autorisation Lecture, et l’autorisation NTFS effective est l’autorisation Contrôle total. La plus restrictive de ces deux autorisations est l’autorisation Lecture, il s’agit donc de l’autorisation effective. Même si l’autorisation NTFS permet un Contrôle total, l’utilisateur ne bénéficie jamais de plus de pouvoir que ne le permet l’autorisation de partage.

Par défaut l'onglet Sécurité n'est pas disponible dans Windows XP Familial, vous pouvez seulement le voir en démarrant en mode sans échec depuis le compte Administrateur, ce qui est fastidieux. Pour l'afficher de façon permanente il vous suffit de télécharger le "Security Configuration Manager" de Windows NT4.

Ensuite suivez les étapes suivantes :

1. Décompressez le fichier dans un dossier que vous aurez choisi

2. Faites un clic droit sur le fichier "SETUP.INF" et choisissez Installer

3. Un message apparaît alors vous indiquant si vous voulez remplacer le fichier esent.dll. Répondez Non. Une fois l'installation terminée l'onglet Sécurité sera disponible.

Si vous êtes amateur de lignes de commandes vous pouvez utiliser l'outil Xcacls.exe.

L'outil Xcacls.exe vous permet d'afficher et modifier les listes de contrôle d'accès discrétionnaire (DACL) des fichiers en ligne de commande via l'Invité de commande.

Pour connaître la syntaxe de xcalcls.exe tapez la ligne de commande suivante : xcacls /?

Pour plus d'informations sur cet outil allez à l'adresse suivante : http://support.microsoft.com/?kbid=318754 (Utiliser Xcacls.exe pour modifier des autorisations NTFS)

Le système de fichiers NTFS représente une évolution majeure. Il permet au système d'exploitation une meilleure stabilité et un meilleur contrôle des autorisations d'accès et des droits que l'on a sur les diffèrentes ressources.