webmestre : conception de sites et administration de serveurs

Transcription

WEBMESTRE : CONCEPTION DE SITES ET
ADMINISTRATION DE SERVEURS WEB
Systèmes et réseaux
Module 25775 cours et TP A2 (½ valeur)
Chapitre 14
Partages et Autorisations
Le plus grand soin a été apporté à la réalisation de ce support pédagogique afin de vous fournir une information
complète et fiable. Cependant, le Cnam Champagne-Ardenne n'assume de responsabilités, ni pour son
utilisation, ni pour les contrefaçons de brevets ou atteintes aux droits de tierces personnes qui pourraient résulter
de cette utilisation.
Les exemples ou programmes présents dans cet ouvrage sont fournis pour illustrer les descriptions théoriques.
Ils ne sont en aucun cas destinés à une utilisation commerciale ou professionnelle.
Le Cnam ne pourra en aucun cas être tenu pour responsable des préjudices ou dommages de quelque nature
que ce soit pouvant résulter de l'utilisation de ces exemples ou programmes.
Tous les noms de produits ou autres marques cités dans ce support sont des marques déposées par leurs
propriétaires respectifs.
Ce support pédagogique a été rédigé par Laurent MOREAU, formateur au Cnam Champagne-Ardenne.
Copyright © 2004-2005 Centre d'Enseignement A Distance du Cnam Champagne-Ardenne.
Tous droits réservés.
Toute reproduction, même partielle, par quelque procédé que ce soit, est interdite sans autorisation préalable du
Cnam Champagne-Ardenne. Une copie par xérographie, photographie, film, support magnétique ou autre,
constitue une contrefaçon passible des peines prévues par la loi, du 11 mars 1957 et du 3 juillet 1995, sur la
protection des droits d'auteur.
CONSERVATOIRE NATIONAL DES ARTS ET METIERS
PARTAGES ET AUTORISATIONS
1. LE PARTAGE DES DOSSIERS
Les dossiers partagés vous permettent d’offrir aux utilisateurs du réseau un accès à toutes les
ressources disques disponibles.
Lorsqu’un dossier est partagé, les utilisateurs peuvent se connecter à ce dossier par l’intermédiaire du
réseau, pour accéder ensuite aux fichiers qu’il contient. Toutefois l’accès à ces fichiers n’est possible que s’ils
disposent des autorisations adéquates sur les dossiers partagés. Les autorisations sur les dossiers partagés
s’appliquent à des dossiers, et non à des fichiers individuels.
L’accès à un dossier partagé d’un autre ordinateur s’effectue au moyen de la fenêtre Favoris réseau.
1.1. PARTAGE D’UN DOSSIER VIA L’EXPLORATEUR WINDOWS
La méthode la plus simple pour partager un dossier est d’utiliser l’explorateur Windows.
Procédez comme suit :
o
o
Ouvrez l’explorateur Windows
Recherchez le dossier que vous voulez partager puis clic droit dessus et sélectionnez partage.
o
Choisissez l’onglet partage. Cliquez sur partager ce dossier et entrez un nom de partage et
cliquez sur OK
Systèmes et Réseaux 1
o
Votre dossier est partagé
NB : La représentation graphique de votre dossier a changé : votre dossier est tenu par une main.
1.2. PARTAGE D’UN DOSSIER VIA LA CONSOLE DE GESTION DE
L’ORDINATEUR
L’avantage de cette méthode est que vous pouvez gérer les ressources partagées de tous les
ordinateurs du réseau, si vous en êtes l’administrateur bien sur.
Pour ce faire, cliquez sur le bouton de droite sur le poste de travail et choisissez gérer.
Dans la fenêtre gestion de l’ordinateur, cliquez sur « gestion de l’ordinateur » et sélectionnez se
connecter à un autre ordinateur et choisissez alors l’ordinateur avec lequel vous voulez travailler.
Développez l’arborescence et cliquez sur partage. Vous voyez alors apparaître les dossiers partagés sur
l’ordinateur cible. Cliquez à droite sur partage et choisissez nouveau partage de fichiers.
Choisissez alors le dossier à partager, entrez un nom de partage, une brève description puis cliquez sur
suivant. Choisissez alors l’autorisation de partage que vous souhaitez et cliquez sur Terminer.
Partages et Autorisations 2
Dans cette boite de dialogue, vous pouvez définir des autorisations de partage.
1.3. DEFINIR LES AUTORISATIONS DE PARTAGE
Il est très simple de définir les autorisations de partage sous Windows 2000. De cette manière, seul les
utilisateurs autorisés auront accès, via le réseau, aux dossiers partagés.
Autorisation sur les
dossiers partagés
Permet à l'utilisateur
Lecture
Permet d'afficher les noms de dossiers, les noms de fichiers, les
données contenues dans ces derniers et les attributs, d'exécuter
des fichiers de programme et de modifier des dossiers dans le
dossier partagé
Modifier
Contrôle Total
Permet de créer des dossiers, d'ajouter des fichiers aux dossiers,
de modifier des données dans les fichiers, d'ajouter les données
aux fichiers, de modifier les attributs de fichiers, de supprimer des
dossiers et des fichiers, ou encore effectuer les opérations
permises par l'autorisation Lecture.
Permet de modifier les autorisations au niveau fichier, de
s'approprier des fichiers et d'effectuer toutes les opérations
permises par l'autorisation Modifier
N’oubliez pas l’autorisation « refuser » qui est prioritaire sur toutes les autres autorisations.
Pour voir et définir des autorisations de partage, cliquez avec le bouton de droite sur le dossier partagé,
propriétés et cliquez sur l'onglet partage et sur le bouton autorisations. (Notez que par défaut, l'autorisation
contrôle total est accordé au groupe tout le monde).
Cliquez sur ajouter et sélectionnez les utilisateurs ou groupes auxquelles vous voulez définir des
autorisations de partage.
Windows 2000 partage automatiquement certains dossiers à des fins administratives. Ces partages se
caractérisent par l’ajout d’un signe dollar $, le dossier partagé étant caché pour les utilisateurs qui font des
recherches sur l’ordinateur. La racine de chaque volume, le dossier racine système et l’emplacement des pilotes
d’imprimantes sont des dossiers partagés cachés auxquels vous pouvez accéder par l’intermédiaire du réseau.
Partage
C$, D$, …
Admin$
Print$
Objet
Sur un disque, la racine de chaque volume est automatiquement
partagée. Le nom du partage se composant de la lettre du lecteur
considéré suivie d'un signe $. Lorsque vous vous connectez à un dossier
de ce type, vous pouvez accéder à tout le volume. Vous pouvez utiliser
les partages administratifs pour accéder à un ordinateur distant, en vue
d'effectuer des tâches administratives.
Windows 2000 attribue l'autorisation Contrôle Total au groupe
administrateurs. Windows 2000 partage également automatiquement les
lecteurs CD-ROM et crée le nom du partage en ajoutant un signe dollar à
la lettre du CD-ROM
Le dossier racine système (C:\Winnt) est partagé sous le nom d'Admin$.
Les administrateurs peuvent accéder à ce dossier partagé pour
administrer Windows 2000 sans savoir dans quel dossier il est installé.
Seuls les membres du groupe administrateurs sont habilités à accéder à
ce partage. Windows 2000 attribue le Contrôle Total au groupe
Administrateurs.
Lorsque vous installez la première imprimante partagée, le dossier
racine_systeme\system32\spool\drivers est partagé sous le nom print$.
Ce dossier permet d'accéder aux fichiers du pilote d'imprimante pour des
clients. Seuls les membres du groupes Administrateurs, Opérateurs de
sauvegarde et Opérateurs d'impression bénéficient de l'autorisation de
Contrôle Total. Le groupe tout le monde dispose de l'autorisation de
lecture
1.4. ACCEDER A DES DOSSIERS PARTAGES
Vous pouvez accéder à des dossiers d’autres ordinateurs si ces dossiers sont partagés et si vous
disposez des autorisations nécessaires.
L’icône Favoris réseau vous aide à trouver les dossiers partagés. Parcourez ce dossier jusqu’à
l’ordinateur sur lequel vous recherchez les dossiers partagés. Ils s’affichent tous à l’exception de ceux qui sont
explicitement cachés.
Une fois que vous avez choisi l'ordinateur à consulter, vous pouvez naviguer sur l'ensemble des dossiers
partagés
Si vous connaissez le nom de l'ordinateur, il existe une méthode plus rapide : choisissez la commande
Démarrer/ Exécuter, tapez dans la zone de saisie la commande \\monordinateur et validez avec Entrée ou OK.
monordinateur représente ici le nom de l'ordinateur sur lequel vous recherchez des dossiers partagés. Vous
pouvez également utiliser ce principe et écrire le nom de votre ordinateur dans la zone d'adresse de la fenêtre
des Favoris réseau. Enfin, il est possible d'être encore plus rapide, en indiquant le dossier partagé de l'ordinateur
concerné sur une seule ligne tel que par exemple : \\Dvd\Documents
1.5. CONNEXION A UN DOSSIER PARTAGE
Il est également possible de convertir un dossier réseau en « lecteur local ». Le dossier réseau se
comporte comme un disque dur et il apparaît en tant que tel dans la fenêtre du poste de travail.
Pour ce faire sélectionnez le dossier que vous voulez transformer en lecteur réseau. Puis cliquez sur le
bouton de droite et choisissez connecter un lecteur réseau. Il suffit juste ensuite d’indiquer une lettre pour ce
lecteur et de choisir, ou pas, l’option « se reconnecter à l’ouverture de la session » (pour avoir quelque chose de
durable).
Pour vous connecter à un dossier partagé en utilisant l'Assistant Connecter un lecteur réseau, procédez
comme suit :
1. Parcourez le dossier Favoris réseau jusqu'à l'ordinateur contenant le dossier partagé.
2. Cliquez avec le bouton droit de la souris sur le dossier partagé et choisissez la commande
Connecter un lecteur réseau
3. Indiquez une lettre de lecteur et décidez si la connexion doit être momentanée ou durable. Si
l'option Se reconnecter à l'ouverture de session est cochée, le dossier sera affecté à la même
lettre de lecteur même après le redémarrage de Windows.
4. Cliquez sur Terminer. Ouvrez ensuite le dossier Poste de travail. Le dossier réseau y figure sous
sa propre lettre de lecteur, à côté des lecteurs locaux.
Lorsque l'ordinateur n'est plus disponible sur le réseau, vous voyez apparaître une croix sur le
lecteur réseau indiquant la déconnexion
1.6. ACCES DIRECT A DES DOSSIERS PARTAGES
Les dossiers qu’ils soient locaux ou partagés sur le réseau, sont accessibles par un chemin. Pour les
dossiers normaux, on parle communément de chemin d’accès. Celui-ci inclut la lettre du lecteur suivie de la
séquence de dossiers à parcourir pour aboutir au sous-dossier à ouvrir.
Sur le réseau, on parle de chemin UNC (Universal Naming Convention). C’est une forme spécialisée
d’accès à des ressources réseau.
Cela signifie concrètement que si vous connaissez le chemin UNC d’un dossier, vous pouvez l’ouvrir
directement à partir d’une boite de dialogue.
2. LES AUTORISATIONS NTFS
Les autorisations permettent de définir les possibilités d’accès aux fichiers, aux imprimantes et aux
partages des utilisateurs.
Pour assurer la sécurité d’accès aux fichiers, il est nécessaire d’utiliser le système de fichiers NTFS.
Mais attention, seul Windows 2000 et Windows NT peuvent accéder à une partition NTFS.
Pour convertir un volume en NTFS il suffit d’utiliser la commande : CONVERT x: /FS:NTFS (où x désigne la
lettre du lecteur à convertir).
Attention, il est possible de convertir une partition de FAT vers NTFS, mais pas l'inverse.
Il est possible de vérifier les autorisations d’un objet à l’aide de l’onglet Sécurité des propriétés de l’objet (clic
droit sur l’objet, puis Propriétés).
Grâce aux autorisations NTFS, vous pourrez définir qui peut accéder, ou pas, à vos fichiers ou dossiers.
Contrairement aux autorisations de partage, la sécurité NTFS peut s'appliquer aux fichiers et aux dossiers (pour
le partage, uniquement aux dossiers), et de plus, que l'utilisateur accède à la ressource protégé en local, ou sur
le réseau, les autorisations NTFS s'appliquent toujours.
Il est important aussi de noter que les autorisations NTFS ne seront pas les mêmes que vous les
appliquiez au niveau d'un dossier ou d'un fichier.
Quelques règles à connaître :
¾
¾
¾
Le refus l'emporte sur toutes les autres autorisations. Ce concept peut paraître simple et évident,
mais il ne l'est pas tant que ça, surtout quand on parle de groupe... en effet, si un utilisateur est
membre d'un groupe qui a l'autorisation "écriture" pour un fichier X, et que ce même utilisateur
est membre d'un groupe 2 qui a le REFUS de l'autorisation "écriture"pour ce même fichier X, il
ne pourra pas écrire dans le fichier.
Les autorisations sont cumulatives. un exemple encore vaut mieux qu'un long discours.
Imaginons un utilisateur qui a l'autorisation "lecture" pour un fichier, ce même utilisateur est aussi
membre d'un groupe qui lui a l'autorisation "modifier" pour ce même fichier, l'utilisateur aura alors
les deux autorisations "lecture" et "modifier".
Autorisations héritées du parent... Lorsque vous définissez une autorisation pour un dossier, par
défaut, cette autorisation se propage à tous les sous-dossiers et fichiers qu'il contient. Vous
pouvez empêcher cette propagation (plutôt appelée héritage) en cliquant sur "permettre aux
autorisations pouvant être héritées du parent d'être propagées à cet objet" dans les paramètres
de sécurité du ficher/dossier visé. Dans le cas d'un dossier, ce dossier devient alors le dossier
parent de ses sous-dossiers. pensez donc à vérifier leurs sécurités.
2.1. DEFINIR DES AUTORISATIONS NTFS
C'est très simple, parcourez votre disque à la recherche du dossier ou fichier sur lequel définir
l'autorisation, cliquez à droite sur celui-ci, propriétés et onglet sécurité :
Vous voyez alors les options de sécurité NTFS du dossier, cliquez sur ajouter et choisissez les
utilisateurs, ou groupes sur lesquels définir les propriétés NTFS. (Notez au passage la différence entre utilisateur
et groupe, un utilisateur est représenté par un icône en forme de tête, un groupe, en forme de 2 têtes).
Voici la fenêtre que vous avez lorsque vous cliquez sur "ajouter".
2.2. AUTORISATIONS NTFS SUR LES FICHIERS
2.3. AUTORISATIONS NTFS SUR LES DOSSIERS
2.4. AUTORISATIONS NTFS SPECIALES
Plusieurs autorisations d'accès spéciales existent pour permettre aux utilisateurs de modifier certaines
autorisations, ou bien pour prendre possession de fichiers ou dossiers.
Pour définir ces autorisations, procédez comme suit :
¾ Sous l'onglet sécurité de la boite de dialogue de propriétés d'un dossier/fichier, cliquez sur
avancé.
¾ Sous l'onglet autorisations, choisissez l'utilisateur (ou le groupe) auquel vous voulez définir des
autorisations spéciales, et cliquez sur afficher/modifier.
¾ Une fenêtre s'ouvre alors, intitulé "entrée d'autorisation pour nom du dossier", choisissez alors le
type d'autorisation spéciale que vous souhaitez définir.
2.5. COPIE ET DEPLACEMENT DE FICHIERS ET DE DOSSIERS
Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le déplacement vers la
même partition permet le maintien des autorisations.
Les fichiers déplacés depuis une partition NTFS vers une partition FAT ne gardent pas leurs attributs et
leurs descripteurs de sécurité, mais ils conservent leur nom de fichier long.
Les attributs de fichiers pendant la copie/le déplacement d’un fichier à l’intérieur d’une partition ou entre
deux partitions sont gérés ainsi :
2.6. APPROPRIATION
Tout objet (qu’il se trouve dans l’Active Directory ou dans un volume NTFS) a un propriétaire. Le
propriétaire contrôle comment les autorisations sont définies et à qui elles sont accordées.
Lors de la création d’un objet, c’est le créateur qui en devient automatiquement le propriétaire. Les
administrateurs créent et possèdent la plupart des objets de l’Active Directory et des serveurs réseau (lorsqu’ils
installent les programmes sur le serveur). Les utilisateurs créent et possèdent les fichiers de données de leur
répertoire de base et certains fichiers de données sur le serveur réseau.
L’appropriation peut être transférée de plusieurs manières :
¾ L’actuel propriétaire peut accorder l’autorisation Appropriation aux autres utilisateurs, ce qui
permet à ces derniers de procéder à une appropriation lorsqu’ils le souhaitent.
¾ Un administrateur peut s’approprier un objet quelconque situé sous son contrôle. Par exemple, si
un employé quitte subitement la société, l’administrateur peut prendre le contrôle de ces fichiers
qui lui appartenaient.
Bien qu’un administrateur puisse s’approprier des fichiers, il ne peut pas transmettre une appropriation à
d’autres utilisateurs. Grâce à cette restriction, les administrateurs restent redevables de leurs actions.
2.7. LA COMBINAISON DES PERMISSIONS
Nous allons maintenant examiner la combinaison des permissions de partage ET des autorisations
NTFS.
Tout d’abord, penchons nous sur un problème qui peut survenir quand vous essayez de sécuriser une
hiérarchie de dossiers en utilisant seulement les autorisations de partage. Imaginons le dossier partagé
« public » contenant les sous dossiers « Planning » et « Données ». Vous voulez que tous les utilisateurs aient la
permission de Modifier pour le dossier « Public », pour qu’ils puissent créer, modifier et supprimer les fichiers. En
même temps, vous voulez que tous les utilisateurs aient seulement la permission de lire le dossier « Planning ».
Mais nous l’avons vu, les utilisateurs ayant la permission de Modifier pour le dossier « Public » auront également
la permission de Modifier le dossier « Planning » puisqu’il se trouve dans la même hiérarchie. La hiérarchie n’est
donc pas sécurisée par les droits de partage. Attribuer des autorisations NTFS peut résoudre ce problème.
Tout d’abord, partagez le dossier « Public » et attribuez à tous les utilisateurs la permission de Modifier.
Ensuite, attribuez à tous les utilisateurs l’autorisation NTFS de Lire le dossier « Planning ».
Désormais, tous les utilisateurs ont la permission de Modifier le dossier « Public », mais sont limités à la
permission de Lire le dossier « Planning ». Ceci parce que quand vous combinez une permission de partage
avec une permission NTFS, la permission la plus restrictive devient la permission effective.
De même si les utilisateurs ont la permission de partage Lire pour « Public »et la permission NTFS
Modifier pour « Planning », la permission effective est la permission de partage Lire puisque c’est la plus
restrictive.
3. LA NOTION D’HERITAGE
Une fois défini les autorisations d’un dossier parent, tous les fichiers et sous-dossier créés dans le
dossier héritent de ces autorisations. Si vous ne souhaitez pas qu’ils héritent des autorisations, sélectionnez ce
dossier seulement et « Appliquer à » lors de la définition des autorisations spéciales du dossier parent. Pour
empêcher qu’uniquement certains fichiers ou sous-dossier héritent de ces autorisations, cliquez avec le bouton
droit sur le fichier ou sous-dossier concerné, cliquez successivement sur Propriétés, sur l’onglet Sécurité, puis
désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d’être propagées à cet
objet.
Si les cases à cocher sont grisées, le fichier ou le sous-dossier a hérité des autorisations du dossier
parent. Les modifications des autorisations héritées peuvent s’effectuer de trois manières :
1. Exécutez les modifications sur le dossier parent, à la suite de quoi le fichier ou le dossier héritera
de ces autorisations
2. Sélectionnez l’autorisation opposé (Autoriser ou Refuser) pour substituer l’autorisation héritée.
3. Désactivez la case à cocher Permettre aux autorisations pouvant être héritées d’être propagées
à cet objet. Vous pouvez à présent modifier les autorisations ou supprimer l’utilisateur ou le
groupe de la liste des autorisations. Toutefois, le fichier ou le dossier n’héritera plus des
autorisations du dossier parent.
Si aucune des deux options Autoriser ou Refuser n’est sélectionnée pour une autorisation, il est possible
que le groupe ou l’utilisateur ait obtenu cette autorisation du fait de leur appartenance à un groupe. Si le groupe
ou l’utilisateur n’a pas obtenu l’autorisation par appartenance à un autre groupe, alors cette autorisation leur est
implicitement refusée. Pour octroyer ou refuser de façon explicite l’autorisation, activez la case à cocher
appropriée.
4. RESUME
LES AUTORISATIONS DE PARTAGE
¾
¾
¾
¾
Offrent l’accès aux ressources du réseau
S’appliquent à tous les dossiers de la hiérarchie
Les permissions effectives sont la combinaison des permissions de l’utilisateur et des groupes
dont il est membre
La propriété « Refuser » est prioritaire sur la propriété « Autoriser »
LES AUTORISATIONS NTFS
¾
¾
¾
¾
¾
¾
Offrent une sécurité sur les dossiers et les fichiers
S’héritent sauf si l’héritage est explicitement brisé
Les permissions effectives sont la combinaison des permissions de l’utilisateur et des groupes
dont il est membre
Le propriétaire d’une ressource peut toujours modifier les droits, même s’il ne figure pas
explicitement dans la liste des groupes ou utilisateurs possédant le droit « Contrôle totale »
La propriété « Refuser » est prioritaire sur la propriété « Autoriser »
Peuvent être attribuées de manière différente à d’autres dossiers et fichiers dans la même
hiérarchie
COMBINAISON DES AUTORISATIONS DE PARTAGE ET DES AUTORISATIONS NTFS
¾
La permission la plus restrictive devient la permission effective
Vous devriez maintenant comprendre pourquoi, dans la pratique, la plupart des administrateurs n’utilisent
pas les droits de partage conjointement avec les droits NTFS. Ils se contentent de laisser les droits de partage
« Contrôle Total » et spécifient les droits d’accès avec les autorisations NTFS qui sont plus précises et
bénéficient de l’héritage.

webmestre : conception de sites et administration de serveurs

Transcription

Documents pareils

Partager son calendrier Exchange à un autre utilisateur

Partage de fichiers sous windows

Demande d`autorisation de transport du contingent multilatéral

Autorisations spéciales d`absence pour évenements

ARRETE PORTANT ATTRIBUTION D`AUTORISATION D`ABSENCE

REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET

Le Service des Autorisations d`Urbanisme vous renseigne

Conscientes des enjeux et des questions spécifiques du territoire

Jours enfants malades. - Syndicat Sud Santé de l`hôpital Robert

Les autorisations d`absence