NTFS (New Technology File System) est le système de fichiers utilisé par la famille NT (Windows NT, 2000 et XP*), il est le successeur des systèmes FAT et FAT32 qui existaient dans les versions précédentes de Windows (MS-DOS, Windows 3.1, 95, 98 et ME). Le principal avantage qu'offre NTFS par rapport au système de fichiers FAT est la sécurité.
Les principales fonctionnalités intrinsèques à NTFS sont :
- Définir des permissions d'accès aux répertoires et aux fichiers. - Performances accrues pour l'accès aux fichiers, la recherche et la récupération d'informations. - Gestion personnalisée de la quantité d'espace disque disponible pour chaque utilisateur (Uniquement sur Windows XP Professionnel). - Compresser les fichiers afin de réduire l'espace utilisé sur le disque. - Crypter des données stockées sur le disque. (Windows XP Familial ne gère pas cette fonctionnalité).
* Windows XP prend en charge les sytémes de fichiers FAT et NTFS
Les autorisations de base NTFS
Les autorisations NTFS permettent de contrôler l'accès aux fichiers et aux dossiers et les actions possibles sur ces fichiers et ces dossiers. Chaque fichier et dossier stocké sur un volume NTFS est composé d'une liste de contrôle d'accès discrétionnaire (DACL). Cette liste répertorie les comptes utilisateurs et les groupes autorisés à accéder à une ressource et les droits de contrôle sur cette même ressource. Un compte utilisateur ou un groupe inscrit dans cette liste est appelé une entrée de contrôle d'accès (ACE Access Control Entry). Si un compte utilisateur ou un groupe n'est pas répertorié dans la DACL, l'accès à la ressource est refusé.
Les autorisations NTFS sont disponibles depuis l'onglet Sécurité. Si il n'est pas disponible il suffit de désactiver "Utiliser le partage de fichiers simple" dans options des dossiers pour l'afficher. Pour Windows XP Familial allez à la section Le cas Windows XP Familial.
Autorisations de base pour les dossiers NTFS :
Autorisations
Tâches autorisées
Affichage du contenu du dossier
L’utilisateur peut voir les noms des fichiers et des sous-dossiers du dossier, mais cette autorisation ne permet pas d’accéder aux fichiers et aux dossiers
Lecture
L’utilisateur peut voir les noms des fichiers et des sous-dossiers du dossier et afficher ses propriétés, notamment les autorisations, le propriétaire et les attributs de ce dossier
Ecriture
L’utilisateur peut créer de nouveaux fichiers et sous-dossiers au sein du dossier, modifier les attributs du dossier, afficher les autorisations ainsi que le propriétaire du dossier
Lecture et exécution
L’utilisateur peut effectuer toutes les actions autorisées par les autorisations Lecture et Affichage du contenu du dossier et peut également parcourir les sous-dossiers (se déplacer dans le dossier pour atteindre d’autres fichiers et dossiers situés plus bas dans l’arborescence)
Modification
L’utilisateur peut effectuer toutes les actions permises par les autorisations Ecriture et Lecture et exécution mais également supprimer le dossier
Contrôle total
L’utilisateur peut effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, devenir propriétaire du dossier et supprimer les sous-dossiers et les fichiers
Autorisations de base pour les fichiers NTFS :
Autorisations
Tâches autorisées
Lecture
L’utilisateur peut lire le contenu du fichier et afficher ses propriétés, y compris ses autorisations, son propriétaire et ses attributs de fichier
Ecriture
L’utilisateur peut écraser le fichier complètement (mais pas modifier son contenu), modifier ses attributs de fichier, afficher ses autorisations et son propriétaire
Lecture et exécution
L’utilisateur peut effectuer toutes les actions permises par l’autorisation Lecture et exécuter des applications
Modification
L’utilisateur peut effectuer toutes les actions permises par les autorisations Ecriture, Lecture et exécution, modifier le contenu du fichier et supprimer ce dernier
Contrôle total
L’utilisateur peut effectuer toutes les actions permises par les autres autorisations de base, attribuer des autorisations aux autres utilisateurs, et devenir propriétaire du fichier
Utilisateurs et groupes autorisés par défaut dans un volume NTFS
Groupe ou nom d'utilisateur
Autorisation attribuée
Administrateurs
Contrôle total à la racine, sur les sous-dossiers et les fichiers
Créateur Propriétaire
Contrôle total sur les sous-dossiers et les fichiers uniquement
Tout le monde
Lecture et exécution à la racine uniquement
SYSTEM
Contrôle total à la racine, sur les sous-dossiers et les fichiers
Utilisateurs
- Lecture et exécution à la racine, sur les sous-dossiers et les fichiers - Création de dossiers/Ajout de données à la racine et dans les sous-dossiers - Création de fichiers/Ecriture de données dans les sous-dossiers uniquement
Conseil : supprimez les groupes et utilisateurs autorisés par défaut et définissez votre liste d'ACE autorisées, en partant du plus restrictif au moins restrictif, pour ce qui est des actions permises sur la ressource.
Relations entre les autorisations de base
Quand vous activez certaines autorisations les actions qui leur sont liées sont automatiquement activées :
L’activation de cette autorisation …
… inclut automatiquement ces autorisations
Lecture et exécution
L’Affichage du contenu du dossier (dossier uniquement) et Lecture
Modification
Lecture et exécution, Affichage du contenu du dossier (dossier uniquement), Lecture et Ecriture
Contrôle total
Modification, Lecture et exécution, Affichage du contenu du dossier (dossier uniquement), Lecture et Ecriture
Comprendre l'effet des autorisations Refuser
Comment connaître l’effet des autorisations Refuser ?
Les autorisations Refuser sont prioritaires sur les autorisations Autoriser. Si une autorisation Refuser a été attribuée à un utilisateur ou à un groupe auquel il appartient, cette autorisation est refusée. Lorsqu’une autorisation est refusée, toutes les autorisations en relation avec celle-ci sont également refusées. (Cf. tableau de l'intertitre Relations entre les autorisations de base)
Le tableau suivant répertorie les effets des autorisations Refuser :
Utilisateur ou groupe
Autorisation Autoriser attribuée à l’utilisateur ou au groupe
Autorisation effectivement appliquée à John
John (utilisateur) Comptabilité (groupe) Informatique (groupe) Tout le monde (groupe)
Exemple 1 L’autorisation Lecture est refusée au groupe Comptabilité. L’autorisation Contrôle total attribuée au groupe Tout le monde est également refusée car l’autorisation Lecture est reliée à l’autorisation Contrôle total. L’autorisation Ecriture accordée à John est autorisée car elle est n’est pas reliée à l’autorisation Lecture. L’autorisation effective est donc l’autorisation Ecriture.
Exemple 2 L’autorisation Contrôle total est refusée à John. L’autorisation Ecriture attribuée au groupe Comptabilité et l’autorisation Lecture attribuée au groupe Tout le monde sont également refusées car elles sont reliées à l’autorisation Contrôle total. L’accès à la ressource est refusé car aucune autorisation n’a été accordée.
Il est recommandé de n’attribuer les autorisations Refuser que lorsque l’on n'a pas d’autre alternative.
2. Les autorisations NTFS effectives
Dans un réseau il est fréquent qu'un utilisateur appartiennent à plusieurs groupes ayant des autorisations différentes. Chaque groupe disposant de droits distincts il est parfois difficile de savoir quelles sont les autorisations qui sont prioritaires. On utilise dans ce cas les autorisations NTFS effectives.
Les règles d’évaluation des autorisations effectives
Les règles d’évaluation des autorisations effectives sont les suivantes :
- Les autorisations Autoriser de toutes les sources sont combinées, et l’utilisateur bénéficie du niveau d’autorisation le plus élevé. - Les autorisations Refuser supplantent les autorisations Autoriser. - Si aucune source n’a attribué d’autorisation à l’utilisateur, l’accès est refusé.
Le résultat combiné de ces autorisations donne l'autorisation effective.
Utilisateur ou groupe
Autorisation Autoriser attribuée à l’utilisateur ou au groupe
Autorisation effectivement appliquée à John
John (utilisateur) Comptabilité (groupe) Informatique (groupe) Tout le monde (groupe)
(Aucune) Modification Ecriture Lecture
Modification
Dans cet exemple l’autorisation Modification correspond au niveau le plus élevé d’autorisation attribuée à l’utilisateur ou au groupe dont l’utilisateur est membre, c’est donc l’autorisation qui est effective.
3. Les autorisations de dossier partagé
Les autorisations de dossier partagépermette de définir des autorisations d'accès à des ressources partagés dans un réseau. Elles sont surtout utilisées dans le cas de réseau hétérogène Microsoft , équipés de versions anciennes de Windows (95, 98, ME, ...) qui n'utilisent pas le système de fichiers NTFS. Ainsi pour contrôler l'accès aux ressources depuis une version de Windows antérieure à la famille NT il est nécessaire d'activer les autorisations de dossier partagé.
Remarque : Si tous les ordinateurs du réseau sont équipés de Windows 2000 ou de Windows XP, vous pouvez utiliser seulement les autorisations NTFS et ne plus vous soucier des autorisations de partage. Ces dernières étant seulement nécessaires pour les versions de Windows antérieures à Windows NT (n’utilisant pas le système de fichiers NTFS).
Autorisations de dossier partagé
Autorisation
Permet les actions suivantes
Lecture
L’utilisateur peut afficher les noms des fichiers et des dossiers, exécuter des applications, ouvrir et lire des fichiers de données, afficher les attributs des fichiers et des dossiers, et naviguer dans l’arborescence en aval du dossier partagé
Modifier
L’utilisateur peut effectuer toutes les actions permises par l’autorisation Lecture et créer et supprimer des fichiers et des dossiers, modifier des fichiers, et modifier les attributs des fichiers et des dossiers
Contrôle total
L’utilisateur peut effectuer toutes les actions permises par l’autorisation Modifier, modifier les attributions d’autorisation, et s’octroyer la propriété des objets
Utilisateurs et groupes autoriser par défaut dans un partage NTFS :
Groupe ou nom d'utilisateur
Autorisation attribuée
Tout le monde
Lecture et exécution à la racine uniquement
Evaluer les autorisations de dossiers partagées effectives
Les règles d’évaluation des autorisations de dossier partagé effectives sont les mêmes que celles utilisées pour les autorisations NTFS effective.
Evaluer des autorisations effectives de dossier partagé sur des volumes NTFS
Lorsque des utilisateurs se connectent aux dossiers partagés situés sur des volumes NTFS, les autorisations de partage et les autorisations NTFS se combinent afin de contrôler les actions que l’utilisateur peut effectuer. L’évaluation des autorisations effectives peut être rendue difficile lorsque les autorisations NTFS et les autorisations de partage sont toutes les deux impliquées.
L’évaluation des autorisations concernant les ressources situées dans un dossier partagé au sein d’une partition NTFS s'effectue en 3 étapes :
1. L’évaluation des autorisations NTFS effectives pour l’utilisateur. 2. L’évaluation des autorisations de partage effectives pour l’utilisateur. 3. L’analyse des résultats des étapes 1 et 2, puis la sélection du résultat le plus restrictif des deux. Ce résultat sera l’autorisation effective de l’utilisateur quant au dossier partagé
Exemple :
Utilisateur ou groupe
Autorisations de partage Autoriser
Autorisations NTFS Autoriser
Autorisation effective
John (utilisateur) Comptabilité (groupe) Informatique (groupe) Tout le monde (groupe)
(Aucune) (Aucune) (Aucune) Contrôle total
(Aucune) (Aucune) (Aucune) Lecture
Lecture
John (utilisateur) Comptabilité (groupe) Informatique (groupe) Tout le monde (groupe)
(Aucune) (Aucune) (Aucune) Lecture
(Aucune) (Aucune) Ecriture Contrôle total
Lecture
Exemple 1 L’autorisation de partage effective de l’utilisateur est l’autorisation Contrôle total, et l’autorisation NTFS effective est l’autorisation Lecture. La plus restrictive de ces deux autorisations est l’autorisation Lecture, il s’agit donc de l’autorisation effective. Même si l’autorisation de partage permet un Contrôle total, l’autorisation NTFS empêche un accès plus permissif à la ressource.
Exemple 2 L’autorisation de partage effective de l’utilisateur est l’autorisation Lecture, et l’autorisation NTFS effective est l’autorisation Contrôle total. La plus restrictive de ces deux autorisations est l’autorisation Lecture, il s’agit donc de l’autorisation effective. Même si l’autorisation NTFS permet un Contrôle total, l’utilisateur ne bénéficie jamais de plus de pouvoir que ne le permet l’autorisation de partage.
4. Le cas Windows XP Familial
Par défaut l'onglet Sécurité n'est pas disponible dans Windows XP Familial, vous pouvez seulement le voir en démarrant en mode sans échec depuis le compte Administrateur, ce qui est fastidieux. Pour l'afficher de façon permanente il vous suffit de télécharger le "Security Configuration Manager" de Windows NT4.
Ensuite suivez les étapes suivantes :
1. Décompressez le fichier dans un dossier que vous aurez choisi
2. Faites un clic droit sur le fichier "SETUP.INF" et choisissez Installer
3. Un message apparaît alors vous indiquant si vous voulez remplacer le fichier esent.dll. Répondez Non. Une fois l'installation terminée l'onglet Sécurité sera disponible.
Si vous êtes amateur de lignes de commandes vous pouvez utiliser l'outil Xcacls.exe.
5. L'outils Xcacls.exe
L'outil Xcacls.exe vous permet d'afficher et modifier les listes de contrôle d'accès discrétionnaire (DACL) des fichiers en ligne de commande via l'Invité de commande.
Pour connaître la syntaxe de xcalcls.exe tapez la ligne de commande suivante : xcacls /?
Pour plus d'informations sur cet outil allez à l'adresse suivante : http://support.microsoft.com/?kbid=318754 (Utiliser Xcacls.exe pour modifier des autorisations NTFS)
6. Conclusion
Le système de fichiers NTFS représente une évolution majeure. Il permet au système d'exploitation une meilleure stabilité et un meilleur contrôle des autorisations d'accès et des droits que l'on a sur les diffèrentes ressources.
