DROITS ET SECURITES SOUS XP/NT
1 - Introduction
Bonjour à tous et à toutes
Jécris aujourdhui ce (Long) Topic afin, je lespère lever un peu le voile sur les « mystères » des Droits et Sécurités de Windows XP et plus généralement du Système NTFS. Libre aux modérateurs d en faire un [TO] ou non.
Pour un premier post, celui ci peut sembler un peu indigeste, ca fait un moment que je lis Clubic sans participer, mais je pense que cette petite contribution peut répondre a certains sujets que j ai vu ouverts ici et la. Les utilisateurs confirmés n’apprendront sans doute rien, mais les autres trouveront surement quelques infos que je n’ai trouvés nul part synthetisées en un seul post.
De manière plus ou moins directe, ce petit tutorial répond a des question telles que,
- Comment mettre un mot de passe sur mon dossier
- Comment Bloquer le Bureau pour tel ou tel utilisateur
- Comment rendre des données consultables par certain et modifiable par dautres etc, etc etc
Si vous avez plusieurs utilisateurs a gérer, et que vous ne savez pas comment gerer leur accès aux données, vous êtes au bon endroit.
2 - Pré requis
- Ce tutorial a été écrits pour Windows XP pro. Il devrait fonctionner sur la version familiale mais je nen ai pas sous la main et je n ai pas tester
- Je ferais référence au Windows 2003 / Windows 2000 Serveur, lactive directory et les annuaires LDAP, mais, tout ceci ne sera qu a titre dinformation, rassurez vous, vous nen avez pas besoin pour gérer une seule machine.
/ !\ ATTENTION : Jouer avec les paramètres de droits des fichiers et dossiers peut savérer dangereux, je vous suggère de vous entraîner sur des dossiers fictifs et des fichiers sans importance jusqu’à ce que vous maîtrisiez totalement les manipulations. En aucun cas ne touchez au repertoires systeme tel que Windows ou Program files à moin de savoir rigoureusement ce que vous faites !! / !\
3 - Cest partit !!
Bien nous allons commencer par créer des utilisateurs sous Windows XP. (si vous en avez déjà, c’est encore mieux ^^ )
– > Panneau de configuration / Compte dutilisateurs / créer un nouveau compte
Sur le Screen, vous constaterez que j ai 3 comptes (Les noms sont bidons. Toutes ressemblance avec des personnes existantes ne serait absolument pas une coïncidence
Aller quoi, on connaît tous ce genre de cas ^^ )
- Amig : Cest moi le compte administrateur, celui créer a linstallation de Windows
- Tata : Tata Danielle qui a le clique fébrile et qui AIME effacer les données vitales !!
- Fouine : qui sinvite souvent sur mon PC et aime aller absolument partout, surtout si le répertoire sappelle Perso, ou Privé : )
Vous noterez que, dans mon exemple, jai créé des comptes de types administrateurs. Gardez bien présent a lesprit que, des comptes administrateurs, peuvent défaire ce que vous faite en matière de sécurité dans cette configuration monoposte. Certes, ça ne serai pas facile, ça laisserai de grosses « traces » (car ils devraient devenir « propriétaires des répertoires) mais c est toujours possible. Si en revanche vous faites des comptes limités, vos administrés seront totalement impuissant à aller la ou vous ne voulez pas
NB : Nous sommes ici sous la session Amig, ou, peut importe le nom de la session principale administrateur qui est la votre
Bien ceci étant fait. Créez un répertoire sur votre Disque dur que lon appellera Essai. Placez une image dedans ou tout autre document de votre choix.
Tout dabord, et par défaut, XP cache longlet sécurité si vous faites Clic Droit propriété sur le dossier Essai vous obtenez ceci :
Dans le poste de travail donc, allez dans le menu Outils / Options des dossiers / Affichage. Descendez lassenceur jusqu en bas et décochez la case : Utiliser le partage de fichiers simple
Faites Ok
A présent, retourner vous placer sur votre répertoire essai et clic droit propriété ! Le nouvel onglet sécurité est apparu !!
Il mérite qu on sy arrete un instant.
Tout dabord, Athena est le nom de la machine.
Comme vous pouvez le voir sur cet écran XP donne des droits a des utilisateurs (tel quamig) ou des Groupes dutilisateurs (tel que le groupe Administrateurs ou Utilisateurs). Ces derniers étant respectivement représenté avec Un seul ou bien 2 petits personnages selon qu il sagisse d un compte seul ou d un groupe.
Dans létat actuel des choses, on voit que le groupe Administrateurs a le Contrôle total sur les fichier. Comme les comptes Tata et Fouine sont des compte « Administrateurs » et qu il font donc partis de ce groupe, ils ont également par « héritage » tout les droits sur ce répertoire.
Tata et Fouines sont également membre du groupe Utilisateurs puisque, évidemment, ils sont utilisateurs de la machine.
Ca veut dire quoi ?
Et bien, tant que les groupes administrateurs ou Utilisateurs auront des droits sur ce répertoire, Tata et Fouine en auront aussi. Et ça, c est mal ! : )
(a titre dinfo, je schématise et il est inutile de retenir cela. System est le compte de XP, qui permet a Windows de gérer le répertoire et Créateur propriétaire est celui qui a créé le répertoire, ici évidemment, Amig)
Nous allons tout dabords nous débarrasser des droits hérités car, dans limmédiat, si vous essayez de supprimer les droit à Administrateurs ou Utilisateurs, vous constaterez que vous ne pourrez pas.
Cliquer sur Paramètres avancés
Un nouvel écran saffiche :
Décochez la case
Hérite de lobjet parent bla bla bla
.
Il vous affiche ceci :
Faites copier, puis OK.
Bien nous sommes de retour la :
Vous pouvez a présent sélectionner successivement Administrateurs et Utilisateurs pour les supprimer !
Vous obtenez ceci :
Notez que lon va cocher des cases autoriser pour amig. Selectionnez Contrôle total, ce qui aura effet de tout cocher, ou, dit autrement, de donner tout les droits à amig et à lui seulement.
[color=blue]
A ce stade. Faites OK, puis fermer la session Amig pour vous rendre sous la session Fouine et/ou Tata.[/color]
Vous constaterez que le système refuse de les laisser pénétrer dans le répertoire essai.
[color=blue]
Retournez sous la session Amig, vous y avez à nouveau Accès[/color].
Faites bouton droit sur le Dossier Essai/Onglet sécurité.
Faites ajouter.
Taper le nom du compte a ajouter, ici : Tata puis OK.
Vous obtenez ceci
Donnez à présent les droits de lectures et exécution, daffichages, et de lecture comme sur le screen puis faites OK.
Si vous loguez la session Tata, vous constaterez qu elle peut désormais accéder au répertoire, regarder limage quil contient, mais en aucun cas le supprimer, le modifier ni même le renommer
Voila, jimagine que vous aurez compris les bases, on peut donner autant de droit que l on veut (ou en retirer) à autant de comptes que lon veut. Par extension, on peut évidemment créer des groupes, à qui lon attribue des droits et dans lesquels on met les membres en masse pour éviter davoir à tout configurer personne par personne
Et c est la que ca se corse ^^
4 Droits a travers le réseau
Tout le problème est la. Imaginons que vous ayez 2 machines. Athéna et Zeus. Si vous donnez des droits a un répertoire (disons a amig seulement) sur Athena et que vous le partager, que ce passera til sur Zeus quand vous tenterez dy accéder ?
Et bien il ne se passera rien. Ca sera tout simplement impossible, même si vous avez créé un utilisateur qui sappelle amig également sur la machine Zeus.
Car vous avez la 2 utilisateurs différents
Amig(ATHENA\amig) et Amig(ZEUS\amig)
Ce ne sont pas les mêmes entités et leurs droits ne sont pas communs !
La solution pour faire valoir les droits a travers un réseau est de concentrer les utilisateurs dans un annuaire Ldap, autrement dit, dutiliser lActive directory et donc, un Windows Serveur.
Votre groupe de machine devient alors un domaine (Active directory) et un compte ou groupe que vous créez est utilisable sur toutes les machines liés a ce domaine.
Voila je vais arreter la la premiere partie de ce topic en esperant que ca tienne en un seul Bloc. Si ca interesse du monde, je continuerai sur les Annuaires Active Directory et la gestion des droits en réseau.
Et si vous avez trouvé tout ceci inepte et indigeste, je ne vous en voudrais pas le moin du monde ^^
