Forum Clubic

Droits et sécurités sous XP/NT - Matez le ntfs !

DROITS ET SECURITES SOUS XP/NT

1 - Introduction

Bonjour à tous et à toutes

J’écris aujourd’hui ce (Long) Topic afin, je l’espère lever un peu le voile sur les « mystères » des Droits et Sécurités de Windows XP et plus généralement du Système NTFS. Libre aux modérateurs d en faire un [TO] ou non.

Pour un premier post, celui ci peut sembler un peu indigeste, ca fait un moment que je lis Clubic sans participer, mais je pense que cette petite contribution peut répondre a certains sujets que j ai vu ouverts ici et la. Les utilisateurs confirmés n’apprendront sans doute rien, mais les autres trouveront surement quelques infos que je n’ai trouvés nul part synthetisées en un seul post.

De manière plus ou moins directe, ce petit tutorial répond a des question telles que,

  • Comment mettre un mot de passe sur mon dossier
  • Comment Bloquer le Bureau pour tel ou tel utilisateur
  • Comment rendre des données consultables par certain et modifiable par d’autres etc, etc etc

Si vous avez plusieurs utilisateurs a gérer, et que vous ne savez pas comment gerer leur accès aux données, vous êtes au bon endroit.

2 - Pré requis

- Ce tutorial a été écrits pour Windows XP pro. Il devrait fonctionner sur la version familiale mais je n’en ai pas sous la main et je n ai pas tester
  • Je ferais référence au Windows 2003 / Windows 2000 Serveur, l’active directory et les annuaires LDAP, mais, tout ceci ne sera qu a titre d’information, rassurez vous, vous n’en avez pas besoin pour gérer une seule machine.

/ !\ ATTENTION : Jouer avec les paramètres de droits des fichiers et dossiers peut s’avérer dangereux, je vous suggère de vous entraîner sur des dossiers fictifs et des fichiers sans importance jusqu’à ce que vous maîtrisiez totalement les manipulations. En aucun cas ne touchez au repertoires systeme tel que Windows ou Program files à moin de savoir rigoureusement ce que vous faites !! / !\

3 - C’est partit !!

Bien nous allons commencer par créer des utilisateurs sous Windows XP. (si vous en avez déjà, c’est encore mieux ^^ )

– > Panneau de configuration / Compte d’utilisateurs / créer un nouveau compte

Sur le Screen, vous constaterez que j ai 3 comptes (Les noms sont bidons. Toutes ressemblance avec des personnes existantes ne serait absolument pas une coïncidence
Aller quoi, on connaît tous ce genre de cas ^^ )

- Amig : C’est moi le compte administrateur, celui créer a l’installation de Windows
- Tata : Tata Danielle qui a le clique fébrile et qui AIME effacer les données vitales !!
  • Fouine : qui s’invite souvent sur mon PC et aime aller absolument partout, surtout si le répertoire s’appelle Perso, ou Privé : )

Vous noterez que, dans mon exemple, j’ai créé des comptes de types administrateurs. Gardez bien présent a l’esprit que, des comptes administrateurs, peuvent défaire ce que vous faite en matière de sécurité dans cette configuration monoposte. Certes, ça ne serai pas facile, ça laisserai de grosses « traces » (car ils devraient devenir « propriétaires des répertoires) mais c est toujours possible. Si en revanche vous faites des comptes limités, vos administrés seront totalement impuissant à aller la ou vous ne voulez pas

NB : Nous sommes ici sous la session Amig, ou, peut importe le nom de la session principale administrateur qui est la votre

Bien ceci étant fait. Créez un répertoire sur votre Disque dur que l’on appellera Essai. Placez une image dedans ou tout autre document de votre choix.

Tout d’abord, et par défaut, XP cache l’onglet sécurité si vous faites Clic Droit propriété sur le dossier Essai vous obtenez ceci :

Dans le poste de travail donc, allez dans le menu Outils / Options des dossiers / Affichage. Descendez l’assenceur jusqu en bas et décochez la case : Utiliser le partage de fichiers simple

Faites Ok

A présent, retourner vous placer sur votre répertoire essai et clic droit propriété ! Le nouvel onglet sécurité est apparu !!

Il mérite qu on s’y arrete un instant.

Tout d’abord, Athena est le nom de la machine.

Comme vous pouvez le voir sur cet écran XP donne des droits a des utilisateurs (tel qu’amig) ou des Groupes d’utilisateurs (tel que le groupe Administrateurs ou Utilisateurs). Ces derniers étant respectivement représenté avec Un seul ou bien 2 petits personnages selon qu il s’agisse d un compte seul ou d un groupe.

Dans l’état actuel des choses, on voit que le groupe Administrateurs a le Contrôle total sur les fichier. Comme les comptes Tata et Fouine sont des compte « Administrateurs » et qu il font donc partis de ce groupe, ils ont également par « héritage » tout les droits sur ce répertoire.

Tata et Fouines sont également membre du groupe Utilisateurs puisque, évidemment, ils sont utilisateurs de la machine.

Ca veut dire quoi ?

Et bien, tant que les groupes administrateurs ou Utilisateurs auront des droits sur ce répertoire, Tata et Fouine en auront aussi. Et ça, c est mal ! : )

(a titre d’info, je schématise et il est inutile de retenir cela. System est le compte de XP, qui permet a Windows de gérer le répertoire et Créateur propriétaire est celui qui a créé le répertoire, ici évidemment, Amig)

Nous allons tout d’abords nous débarrasser des droits hérités car, dans l’immédiat, si vous essayez de supprimer les droit à Administrateurs ou Utilisateurs, vous constaterez que vous ne pourrez pas.

Cliquer sur Paramètres avancés

Un nouvel écran s’affiche :

Décochez la case

Hérite de l’objet parent bla bla bla
.

Il vous affiche ceci :

Faites copier, puis OK.

Bien nous sommes de retour la :

Vous pouvez a présent sélectionner successivement Administrateurs et Utilisateurs pour les supprimer !

Vous obtenez ceci :

Notez que l’on va cocher des cases autoriser pour amig. Selectionnez Contrôle total, ce qui aura effet de tout cocher, ou, dit autrement, de donner tout les droits à amig et à lui seulement.

[color=blue]
A ce stade. Faites OK, puis fermer la session Amig pour vous rendre sous la session Fouine et/ou Tata.[/color]

Vous constaterez que le système refuse de les laisser pénétrer dans le répertoire essai.

[color=blue]
Retournez sous la session Amig, vous y avez à nouveau Accès[/color].

Faites bouton droit sur le Dossier Essai/Onglet sécurité.

Faites ajouter.

Taper le nom du compte a ajouter, ici : Tata puis OK.

Vous obtenez ceci

Donnez à présent les droits de lectures et exécution, d’affichages, et de lecture comme sur le screen puis faites OK.

Si vous loguez la session Tata, vous constaterez qu elle peut désormais accéder au répertoire, regarder l’image qu’il contient, mais en aucun cas le supprimer, le modifier ni même le renommer

Voila, j’imagine que vous aurez compris les bases, on peut donner autant de droit que l on veut (ou en retirer) à autant de comptes que l’on veut. Par extension, on peut évidemment créer des groupes, à qui l’on attribue des droits et dans lesquels on met les membres en masse pour éviter d’avoir à tout configurer personne par personne

Et c est la que ca se corse ^^

4 – Droits a travers le réseau

Tout le problème est la. Imaginons que vous ayez 2 machines. Athéna et Zeus. Si vous donnez des droits a un répertoire (disons a amig seulement) sur Athena et que vous le partager, que ce passera t’il sur Zeus quand vous tenterez d’y accéder ?

Et bien il ne se passera rien. Ca sera tout simplement impossible, même si vous avez créé un utilisateur qui s’appelle amig également sur la machine Zeus.

Car vous avez la 2 utilisateurs différents

Amig(ATHENA\amig) et Amig(ZEUS\amig)

Ce ne sont pas les mêmes entités et leurs droits ne sont pas communs !

La solution pour faire valoir les droits a travers un réseau est de concentrer les utilisateurs dans un annuaire Ldap, autrement dit, d’utiliser l’Active directory et donc, un Windows Serveur.

Votre groupe de machine devient alors un domaine (Active directory) et un compte ou groupe que vous créez est utilisable sur toutes les machines liés a ce domaine.

Voila je vais arreter la la premiere partie de ce topic en esperant que ca tienne en un seul Bloc. Si ca interesse du monde, je continuerai sur les Annuaires Active Directory et la gestion des droits en réseau.

Et si vous avez trouvé tout ceci inepte et indigeste, je ne vous en voudrais pas le moin du monde ^^

réservé.

:clap:

très bonne initiative Discor !
C’est vrai que dans la création des comptes et des droits, il y a de quoi s’y perdre !

En tous cas, j’ai appris pleins de trucs :love: et j’attends avec impatience la partie consacrée au réseau :bounce: car j’ai régulièrement des petits soucis quand je fais un LAN avec mon frêrot et qu’on veut se partager des fichiers :frowning: