Administration W2k cours 1:

Windows: gestion des utilisateurs et groupes

locaux

Windows: modle de scurit

NTFS: gnralits, A!

"artages, gestion des accs aux partages

Modle groupe de travail
#ase de
$onnes
des comptes
#ase de
$onnes
des comptes
#ase de
$onnes
des comptes
#ase de
$onnes
des comptes
Administration
et Scurit
Les Domaines
Un seul compte + un seul mot de passe
= accs de nombreux serveurs
Modle domaine
Administration
et Scurit
ontr%leur de domaine
ontr%leur de domaine
ontr%leur de domaine
Station
Ser&eur mem're
Station
#ase de
$onnes
de omptes
rpli(ue sur
les contr%leurs
Utilisateurs et groupes sous
windows : Dmonstration

Sur une station de travail windows 2000 pro

Deux outils pour grer les utilisateurs

(prfrer la console de gestion

!ration d"utilisateurs (mot de passe mis par

l"admin mais l"utilisateur doit le c#anger $ la
premire ouverture de session

%&out dans le groupe administrateurs

)odle de contr%le d*accs W2+

Autorisations 'ases sur l*utilisateur

Accs discrtionnaire aux o',ets scurisa'les

-ritage des permissions

"ri&ilges administrati.s

Audit des &nements du s/stme0

!imiter les accs

"rincipal de scurit : utilisateur, groupe,

ordinateur ou ser&ice :

ils ont des comptes

S1$: ils sont identi.is par 1denti.iant de scurit

2S1$3 cr lors de la cration du compte

4eton d5accs :

r lors de l5ou&erture de session ou de la connexion d5un

principal

Fournit un contexte de scurit

4eton cr 6 l*ou&erture de session : les modi.ications sur

les groupes d*utilisateurs ne seront pris en compte (u*6 la
proc7aine ou&erture de session0
Su,et

un utilisateur agit en utilisant un programme

un programme en cours d*excution est un

processus

un m8me programme 2excuta'le sur dis(ue3 peut 8tre

excut plusieurs .ois0 A c7a(ue excution
correspond un processus en mmoire0

un processus s*excute a&ec les droit de l*utilisateur

(ui l*a lanc 2&oca'ulaire microso.t: su,et3

9xemple:

un explorateur de .ic7ier permet de manipuler les .ic7iers

(ue l*on a le droit de manipuler

on peut lancer plusieurs explorateurs

:',ets

:',ets scurisa'les, in.ormations de scurit

2"ermissions3

!istes de contr%le d5accs 2A!3

$Al: liste de contr%le d*accs discrtionnaire:

permissions

SA!: liste de contr%le d*accs S/stme 2Audit3

accs 6 un o',et par un processus:

on compare les in.ormations du ,eton de scurit

2identit utilisateur, appartenances aux groupes3 6
celle contenues dans la $A! de l*o',et0
-ritage

onteneur, parents, en.ants

-ritage des permissions

$roits

$roit du propritaire

"ropritaire initial

7angement de propritaire

"ermissions

$roits utilisateurs

$roits de procdure de connexion

"ri&ilges
NTFS: permissions sur les dossiers et
sur les .ic7iers

;ni(uement dans les partitions NTFS

!iste de contr%le d*accs 2A!3 contenant des

entres 2A93

A9: un couple 2utilisateur ou groupe, permission

ou interdiction3

)odi.ication des A! par :

' !es mem'res du groupe administrateur<
' le propritaire de l*o',et<
' les utilisateurs a/ant ontr%le Total sur l*o',et0
"ermissions sur les .ic7iers

)odi.ier

!ecture et excution

!ecture

=criture

T
"ermissions sur le .ic7iers et dossiers:
dmonstration 213

Sur une station windows 2>>> pro

ration d*un dossier et &isualisation des A!

par d.aut

Notion d*A9

autorisation?re.us
"ermissions par d.aut

Au .ormatage NTFS: T 6 @tout le mondeB

A la cration d*un .ic7ier ou d*un dossier: 7rit des

permissions de son dossier pre

A,out d*une A9 6 l*A! d*un dossier ou d*un

.ic7ier: droit @lecture et excutionB par d.aut
-ritage des permissions

"ar d.aut, les permissions d*un dossier s*appli(uent

aux sous dossiers et aux .ic7iers (u*il contient

C &aleurs possi'les pour les cases 6 coc7er d*une

A9: non coc7, coc7 gris 27rit3 , coc7

1l est possi'le de re.user l*7ritage des A! du pre

Suppression de l*7ritage
"ermissions sur le .ic7iers et dossiers:
dmonstration 223

Sur une station windows 2>>> pro

:n reprend le dossier prcdent (ue l*on complte

&entuellement a&ec d*autres sous dossiers

Suppression de l*7ritage

ration de C utilisateurs test1, test2 et testC, d*un

groupe Dtest au(uel test1 appartient

Eariations sur l*aspect cumulati. des permissions

$roit du propritaire, appropriation

"articularit de l*administrateur
"ermissions sur les .ic7iers

)odi.ier

!ecture et excution

!ecture

=criture

T
"ermissions sur les dossiers

)odi.ier

!ecture et excution

A..ic7er le contenu

!ecture

=criture

T
)ode de .onctionnement des
permissions

!es permissions sont cumulati&es

!es interdictions ont priorit sur les permissions

!es permissions sur les .ic7iers l*emportent sur les

permissions sur les rpertoires

"as de permission F pas d*accs

Algorit7me dterminant l*accs 6 un
o',et

S*il / a une interdiction pour l*utilisateur ou l*un des

groupes au(uel il appartient: Accs re.us

S*il / a une autorisation pour l*utilisateur ou l*un des

groupes au(uel il appartient: accs autoris

Sinon l*accs est re.us

"ermissions sur le .ic7iers et dossiers:
dmonstration 2C3

Suite de la dmonstration prcdente

:n illustre la priorit des re.us

9xemple classi(ue: re.us pour tout le monde, T

pour test1 FG re.us pour test1
9xemple
Doc2
Doc2
Folder2
Folder2
Doc2
Doc2
Folder2
Folder2
Folder2
Dossier2
Folder1
Folder1
Folder1
Folder1
Folder1
Dossier1
Doc1
Doc1
Doc1
Doc1
Droupe
D2
Droupe
D1
;test1
;test 1 appartient 6 D1
et 6 D20
$ans c7acun des 2 cas,
indi(ueH les permissions
de ;test1 sur c7a(ue
dossier et .ic7ier :
D1 a droit de lecture sur
dossier 1<
D2 a droit d*criture sur
dossier 10
1
D1 a droit de lecture sur
dossier 1<
D2 a droit de lecture sur
dossier 20
2
D1 a droit de T sur
dossier 1<
$oc 2 doit 8tre accessi'le
en lecture seule 6 ;test10
omment .aire I
C
onseils mt7odologi(ues

$onner des permissions 6 des groupes plut%t (u*6

des utilisateurs

"lacer les permissions sur les rpertoires plut%t (ue

sur les .ic7iers

;tiliser l*7ritage pour simpli.ier la gestion des

permissions

9&iter d*utiliser les interdictions

!ors de la suppression de l*7ritage, utiliseH

@opierB plut%t (ue @SupprimerB0
"ermissions et copie de .ic7iers

;n .ic7ier ou un dossier copi a les permissions du

rpertoire de destination

FAT 1J?C2: pas de permissions sur la copie

"our prser&er les permissions lors de la copie:

ro'ocop/ 2kit de ressources tec7ni(ues3

!a copie appartient 6 l*utilisateur (ui a ralis la

copie

"our raliser la copie: lecture sur la source, criture

sur le dossier destination0
"ermissions et dplacement de .ic7ier

$placement sur la mme partition: permissions

d*origine conser&es

$placement vers une autre partition: permissions

du rpertoire de destination

"our raliser le dplacement: modi.ication sur la

source et criture sur le dossier destination0
"artages: "rsentations

W2+ ne partage (ue des dossiers 2pas des .ic7iers

indi&iduels3

;n partage est identi.i par un nom de partage 2pas

.orcment identi(ue au nom du dossier3

;n dossier peut a&oir plusieurs partages

"artage cac7: le nom .init par K

"artage de dossiers NTFS ou FAT 1J?C2

"artages: notation ;N

Notation unc 2;ni&ersal Naming on&ention3:

\\serveur\partageLc7eminL.ic7ier

Net use H:LLser&eurLpartage : associe un partage 6

une unit:

Net use H: ?d : annule

Net &iew : liste des ordinateurs du domaine

Net &iew LLser&eur : liste des partages pu'lics du

ser&eur
$ossiers partags: cration

M distance a&ec la )) @gestion de l*ordinateurB

(indows 2000 )rofessionnel

'%dministrateurs
'utilisateurs avec pouvoir

(indows 2000 Server:

' idem
'*prateurs de serveur
Dossiers partags: cration (2
13 "ermissions NTFS
23 cration du partage
C3 autorisations
"artages spciaux

rs automati(uement par le s/stme

$pendent des .onctionnalits prises en c7arge par

l*ordinateur

Nuel(ues partages spciaux:

' K, $K, 000 2un partage par lettre de lecteur3<
' A$)1NK: rpertoire s/stme 2c:Lwinnt3
' 1"K: partage des canaux nomms<
' N9T!:D:N
' "O1NTK
"artages: autorisations

"our accder 6 un partage, il .aut passer 2 .iltres :

' !es autorisations du partage
' !es permissions du s/stme de .ic7ier NTFS

onseils:
' )ettre les restrictions sur les permissions NTFS
' T aux utilisateurs aut7enti.is comme autorisation
autorisations partage &s permissions
NTFS
Doc2
Doc2
Folder2
Folder2
Doc2
Doc2
Folder2
Folder2
Folder2
Dossier2
Folder1
Folder1
Folder1
Folder1
Folder1
Dossier1
Doc1
Doc1
Doc1
Doc1
"artage Accs au partage
Accs local &ia NTFS
1
2
1
Autorisations "artage
"ermissions NTFS