acces aux ressources

Jenny's picture
Submitted by Jenny on Thu, 04/18/2013 - 17:29

Essentiel 70-290 2003 - part 2 - acces aux ressources

Gestion d’accès aux ressources: SID et DACL

Contrôle d’accès

basé sur trois composants:

  • Les entités de sécurité
  • Le SID
  • DACL – Discretionary Access Control List
    associées à chaque objet sur lequel on va définir un contrôle d’accès
    Les DACL sont composées d’ACE (Access Control Entry)

Les ACE se composent de la façon suivante :
· Le SID de l’entité à qui l’on va donner ou refuser un accès.
· Les informations sur l’accès (ex : Lecture, Ecriture, …)
· Les informations d’héritage.
· L’indicateur de type d’ACE (Autoriser ou refuser).

Autorisations

  • Les autorisations standards : pour de fixer le niveau d’accès qu’ont les entités de sécurité (pour un compte user, groupe d’utilisateurs ou ordinateur) sur une ressource.
    Les ressources utilisant ce système d’autorisations pour réguler leurs accès sont multiples (Registre, Fichiers, Imprimantes, Active Directory, …)
    Les autorisations standards sont limitées aux actions de base sur un objet (ex : Lecture, Modifier, Contrôle Total, …).
  • Autorisations spéciales Aussi pour pouvoir granuler de façon plus précise les autorisations, vous avez accès via le bouton « Avancé » à une liste étendue d’autorisations.

Administration des accès aux dossiers partagés

  • lors de la création d’un partage, le groupe « Tout le monde » bénéficie de l’autorisation Lecture
  • \\nom_du_serveur\nom_du_partage$ caché, obligatoire de spécifier le chemin UNC complet
  • Windows 2003 crée automatiquement des partages administratifs ($): Admin$, racine de chaque volume (c$, d$, …). Seuls les membres du groupe « Administrateurs » peuvent accéder à ces partages en accès Contrôle Total.
  • partage IPC$ permet l’affichage des ressources partagées (dossiers partagés, imprimantes partagées).
Création de dossiers partagés
  • Windows 2003 Server en mode autonome ou serveur membre: user doit etre dans groupes Administrateurs et Utilisateurs avec pouvoirs
  • sur CD 2003: user doit etre dans groupes  Administrateurs et Opérateurs de serveurs

net share NomDossierPartagé=Unité:Chemin

Publication des dossiers partagés -> recherche par mot clef

Pour mettre en place cette fonctionnalité, il suffit de créer un objet « Dossier partagé » à l’aide de la
console « Utilisateurs et ordinateurs Active Directory » et de spécifier lors de sa création, le chemin UNC permettant d’accéder physiquement à ce partage.

Autorisations sur dossiers partagés (via ACL)
  • Lecture : Permet d’afficher les données et d’exécuter les logiciels.
  • Modifier : + créer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.
  • Contrôle total : + modifier aux travers le réseau les autorisations NTFS des fichiers et dossiers.

disponibles en « Autoriser » ou en « Refuser » - Refus est prioritaire

 

Administration des accès aux fichiers, dossiers NTFS

  • Fiabilité : NTFS est un système de fichiers journalisé.
  • Sécurité: cryptage de fichiers avec EFS.
  • compression de données transparente, gestion de quotas
Autorisations NTFS
Sur fichiers:
  • Lire: lire le fichier, afficher ses attributs, son propriétaire et ses autorisations
  • Ecriture : Permet d’écraser le fichier, de changer ses attributs et d’afficher le propriétaire.
  • Lecture et exécutions : lire les fichiers et exécuter les applications.
  • Modification : modifier, supprimer, lire et écrire les fichiers.
  • CT: + prise de possession + modifier les autorisations du fichier.
Sur dossiers:
  • Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.
  • Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propriétaire et autorisations du dossier.
  • Lecture et exécutions : afficher le contenu du dossier et d’exécuter les applications.
  • Ecriture : créer des fichiers et sous-dossiers, de modifier ses attributs et d’afficher le propriétaire.
  • Modification : + supprimer le dossier.
  • Contrôle total : + prise de possession + modifier les autorisations du dossier.

 

Copie / déplacement
  • Copie: héritage du dossier cible.
  • Déplacement vers la meme partition: autorisations concervées
     
  • Copier à l’intérieur d’une partition : hérite des permissions du répertoire de destination.
  • Déplacer à l’intérieur d’une partition : mise à jour des pointeurs du dossier (garde les perm d’origine).
  • Déplacer vers une autre partition : Crée un nouveau fichier identique à l’original et détruit le fichier original. hérite des permissions du répertoire de destination.

 

autorisations effectives: paramètres de sécurité avancé/l’onglet Autorisations effectives

  • les autorisations se cumulent et il en résulte l’autorisations la plus forte
  • si user n'existe pas pas dans la DACL de l’objet, il n’a aucune autorisation dessus
  • autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers
  • autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex :
    contrôle total + refuser lecture -> La lecture sera bien refusée).
  • Le propriétaire à la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il est le
    propriétaire même si il n’a pas d’autorisations contrôle total dessus.
  • Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout d’abord se
    l’approprier.

 

 

Cumul des autorisations NTFS et des autorisations de partage

permissions effectives = combiner le niveau maximum d’autorisations indépendamment pour les autorisations NTFS et pour les autorisations de partage

Une fois les deux autorisations définies, il suffit de prendre la plus restrictive des deux.

 

 

Fichiers Hors connexion

  • Cache manuel pour les documents : réglage par défaut. Les utilisateurs doivent spécifier quels documents ils souhaitent rendre disponibles hors connexion.
  • Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur son disque dur pour une utilisation hors connexion – les versions anciennes du document sur le disque sont automatiquement remplacées par des versions plus récentes du partage quand elles existent.
  • Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les fichiers dont les modifications des utilisateurs doivent être ignorées (ex : tarifs, applications, …). Elle permet notamment un gain de performance car les fichiers sont alors consultés en local et non pas sur le réseau. Elle est activée via l’option « Optimisé pour les performances ».